共有 104 条记录
事件描述:据 The Block 报道,DeFi 借贷协议 Cream Finance 遭受攻击,损失约 1.3 亿美元。被盗的资金主要是 Cream LP 代币和其他 ERC-20 代币。据悉,这是有史以来第三大 DeFi 黑客攻击(尽管两个更大的黑客攻击事件都有资金返还),此外,Cream Finance 此前曾多次遭受闪电贷攻击,2 月份损失 3750 万美元,8 月份又损失 1880 万美元。
损失金额:$ 130,000,000攻击手法:闪电贷攻击
事件描述:跨链 DeFi 协议 Alpha Finance Labs 表示历史上共有 20 个地址在使用杠杆挖矿协议 Alpha Homora V2 的时候,因为交易被 MEV 机器人发现而损失总共 40.93 ETH。Alpha Finance 表示将以 ALPHA 代币的形式全额赔偿这些损失。对于该问题,Alpha Finance 认为是 Uniswap V2 的智能合约有隐含假设(implicit assumptions),这些假设未在合约层面上明确说明,所以他们认为这会导致滑点未被检查。Alpha Finance 表示会修复该问题,在交易时进行检查,所以这些情况将不再发生。
损失金额:40.93 ETH攻击手法:三明治攻击
事件描述:被动收益协议 Indexed Finance 遭到攻击,受影响的资金池包括 DEFI5 and CC10。漏洞被发现后触发了包括 DEGEN、NFTP、FFF (包含 DEFI5 and CC10)资金池的保护措施,并被冻结。约半个小时之前 Indexed Finance 官方表示已经确定了攻击根源,DEGEN、NFTP 两个指数代币资金池已经恢复正常运行,而 FFF 池目前仍处于冻结状态。官方在 Discord 中表示,本次攻击造成的损失约 1600 万美元。
损失金额:$16,000,000攻击手法:定价机制问题
事件描述:质押流动性解决方案 Lido Finance 通过 Lido 漏洞赏金计划发现了一个漏洞,该漏洞能被列入白名单的节点运营商利用,以窃取一小部分用户资金。漏洞报告时大约有 2 万枚 ETH 暴露在风险之中,目前团队已经采取了短期的补救措施,同时正在讨论和研究长期的解决方案。本次报告漏洞的白帽子是 StakeWise 的创始人 Dmitri Tsumak,预计其将获得漏洞赏金计划的最高赏金额 10 万美元。
损失金额:-攻击手法:漏洞
事件描述:就在去中心化借贷协议 Compound 试图通过 63 号或 64 号社区提案修补流动性挖矿代币分发合约含有的漏洞的同时,另外一笔价值 6880 万美元的 COMP 代币(共计 202472 枚 COMP)因为 drip() 函数的调用而被打入了已经存在漏洞的流动性挖矿代币分发合约。
损失金额:$ 68,800,000攻击手法:合约漏洞
事件描述:去中心化借贷协议 Compound 通过推特确认,在执行 062 号提案后,该协议的流动性挖矿出现 COMP 代币分发异常情况,Compound Labs 和社区成员正在进行调查 。Compound 表示,存款和借款资金目前未发现存在风险。Compound 创始人 Robert Leshner 表示,出现的问题看起来是根据 062 号提案进行 COMP 代币分发的速率初始设定出错,导致过多(too much) COMP 代币被分发;但是,修改相应代码必须通过治理,最少需要 7 天。
损失金额:$ 80,000,000攻击手法:代币分发的速率初始设定出错
事件描述:据慢雾区情报,DAO Maker 的 Vesting 合约遭到黑客攻击。DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)都使用了 Dao Maker 的分发系统,在 DAO Maker 中进行持有者发行(SHO)时因 DAO Maker 合约被攻击,即 SHO 参与者的分发系统中出现了一个漏洞:init 未初始化保护,攻击者初始化了 init 的关键参数,同时变更了 owner,然后通过 emergencyExit 将目标代币盗走,并兑换成了 DAI,攻击者最终获利近 400 万美元。
损失金额:$ 4,000,000攻击手法:初始化未鉴权
事件描述:抵押借贷平台 Cream Finance 出现闪电贷攻击,其在发布的闪电贷攻击事后分析报告中表示,漏洞导致共 4.6 亿枚 AMP 代币和 2804 枚 ETH (当时价值约合 3400 万美元)被盗,并承诺将所有协议费用的 20% 用于偿还,直至全部偿还。此次安全事件有一个主要的漏洞攻击者和一个模仿者。Cream Finance 会将所有相关信息转交执法机关,并在法律允许的范围内进行起诉。
损失金额:$ 34,000,000攻击手法:闪电贷攻击
事件描述:遭遇闪电贷攻击的 DeFi 质押和流动性策略平台 xToken 发布 xSNX 合约漏洞事件分析报告。UTC 时间 8 月 29 日4:43,xSNX 合约中一个漏洞被利用,估计持有人的损失为 450 万美元。 xToken 认为此时最好是停止提供 xSNX 产品。xToken 表示,将不再使用 xSNX 合约进行 SNX 质押。
损失金额:$ 4,500,000攻击手法:闪电贷攻击
事件描述:DAO Maker 发布公告称,UTC 时间 8 月 12 日 1 点左右,黑客恶意使用 DAO Maker 的一个钱包并获得管理员权限。这名网络罪犯在初步测试这一漏洞并成功窃取 1 万枚 USDC 后,又悄悄地进行 15 笔交易。通过这种方式,在安全团队能够追踪、控制并阻止资金外流之前,黑客挪用大约 700 万美元。总共有 5251 名用户受到影响,每个用户平均损失 1250 美元。不过幸运的是,最多持有 900 美元资金的用户完全不受影响。
损失金额:$ 7,000,000攻击手法:管理员私钥泄漏
事件描述:去中心化年金协议 Punk Protocol 表示在公平启动的过程中遭遇攻击,造成 890 万美元损失,后来团队又找回了 495 万美元,已转移至一个安全的钱包。Punk Protocol 团队表示,该攻击者在投资策略中找到了一个关键漏洞,从 Forge-CompoundModel 模块中提取了超过 890 万美元的三种稳定币资产(USDC、USDT、DAI),不过一个白帽黑客注意到了攻击者的意图,所以执行了一个交易,得以恢复 495 万美元。丢失的资金已转移至以太坊混币平台 Tornado.cash 中,所以很难继续追踪。
损失金额:$ 3,950,000攻击手法:Initialize 函数未做重复初始化检查
事件描述:跨链互操作协议 Poly Network 称遭到攻击,共计超 6.1 亿美元转出至 3 个地址,其中,转出至 0x0D6e2 开头币安智能链地址的资金有超 2.5 亿美元,转至 0xC8a65 开头的以太坊地址有超 2.7 亿美元,转至 Polygon 地址的有超 8500 万美元。受此影响,此前 O3 Swap 跨链池大额资产被转出,官方正展开调查。在多方努力下,黑客目前已返还价值3.42亿美元的代币。
损失金额:$ 613,062,100.7攻击手法:EthCrossChainData 合约的 keeper 被修改
事件描述:多链收益优化平台 Popsicle Finance 遭到攻击。本次漏洞的核心在于由于奖励更新记录缺陷导致同个 PLP 凭证能在同个时间节点给多个持有者都带来收益。
损失金额:$ 20,000,000攻击手法:奖励更新记录缺陷
事件描述:去中心化跨链交易协议 THORChain (RUNE) 称,有黑客向以太坊地址空投 UniH 代币为诱饵,盗取用户钱包中的 RUNE 代币。黑客已向至少 7.6 万个以太坊地址空投带有恶意合约的 UniH 代币,一旦接收用户在去中心化交易平台如 Uniswap 出售了他们新收到的 UniH 代币(甚至只是批准出售),黑客将可以窃取他们钱包中拥有的任何 RUNE 代币。这是因为 RUNE 代币使用非标准代币合约,称为「tx.origin」。根据 Thorchain 的 RUNE 代币合约代码「谨防可能通过拦截 tx.origin 窃取代币的钓鱼合同」,它知道这种类型的攻击可能发生,在短短数小时内,黑客已窃取价值 7.6 万美元的代币。
损失金额:$ 76,000攻击手法:骗局
事件描述:去中心化跨链交易协议 THORChain (RUNE) 称再次遭遇攻击,包括 XRUNE 在内的多种 ERC20 代币受到影响。这次攻击针对 ETH 路由,损失 800 万美元,攻击者「有意限制了攻击造成的影响,似乎为白帽所为」。
损失金额:$ 8,000,000攻击手法:未知
事件描述:利用通缩代币(deflation token)KEANU 的机制对 Sanshu Inu 部署的 Memestake 合约的奖励漏洞进行攻击,攻击者最后获利约 56 个 ETH。
损失金额:56 ETH攻击手法:合约的奖励漏洞
事件描述:DeFi 项目 Array Finance 遭到闪电贷攻击,攻击者利用 Array Finance 的计价机制依赖于 aBPT 的 totalSupply 这一点攻击了 Array Finance,官方表示,攻击者获利约 272.94 ETH,价值约 51.5 万美元。
损失金额:272.94 ETH攻击手法:闪电贷攻击
事件描述:去中心化跨链交易协议 THORChain (RUNE) 更新被攻击情况,称损失资产数量约为 4000 ETH,初步评估此次攻击是 Eth Bifrost 用路由合约来捕获 ERC-20 代币时的逻辑漏洞被攻击者利用。前不久 THORChain 更新了 Eth Bifrost 以允许路由合约被合约「封装」,攻击者藉此发送一个 msg.value = 200 ETH 的交易,同时立即使用合约将其转回给自己,而 Bifrost 则会报告 msg.value = 200 而非 depositAmount = 0 ,从而实现以 0 ETH 的金额调用路由合约牟利。
损失金额:$ 7,600,000攻击手法:假充值漏洞
事件描述:以太坊和币安智能链上的借贷协议 DeFiPie (PIE)遭到黑客攻击,建议所有流动性提供者从应用程序中提取所有流动性,PIE 代币 24 小时跌逾 66%。攻击者通过重入攻击的方式进行了超额借贷,借出了一部分有价值资产。后来又利用假币进行清算操作,拿走了抵押的有价值资产,这也就导致 DeFiPie 协议不仅借出了资产,还丢失了所有抵押资产,流动性遭到损失。
损失金额:124,999 BUSD攻击手法:重入攻击
事件描述:跨链桥项目 Anyswap 发布公告表示,新推出的 V3 跨链流动性池在昨日凌晨遭到黑客攻击, 总计损失为239 万 USDC 与 550 万 MIM,根据 Etherscan 显示,黑客已将所有 MIM 出售并获得 548 万 DAI,这意味 Anyswap 总损失超过 787 万美元。根据 Anyswap 公告对被盗原因的解释,在 BSC 上的 V3 路由器 MPC 帐户下检测到两个 v3 路由器交易,这两个交易具有相同的 R 值签名,而黑客反推到这个 MPC 账户的私钥。目前团队已修复代码以避免使用相同的 R 签名,多链路由器 V3 将在大约 48 小时后重新启动,v1 和 v2 不存在安全风险。Anyswap 表示已经采取了补救措施,以提供全额赔偿。Anyswap 将在 48 小时内重新填充被盗的流动性,流动性提供者将能够再次从资金池中提取资产,不会产生任何损失。
损失金额:$ 7,870,000攻击手法:相同的 R 值签名