共有 507 条记录
事件描述:Bitcoin.org 网站出现回馈社区的活动,疑似网站被黑。网站主页显示一比特币地址,并说明任何向此地址付款的前 1 万名用户都将收到双倍金额作为回报。Bitcoin.org 网站共同所有者 Cobra 发推称:Bitcoin.org 遭到黑客攻击,正在调查黑客如何在网站上设置诈骗模式,预计会暂停运营几天。
损失金额:-攻击手法:钓鱼攻击
事件描述:跨链协议 pNetwork 针对此前攻击事件致 277 枚 BTC 被盗发布分析报告称,UTC 时间 2021 年 9 月 19 日 17:20,pNetwork 系统遭到黑客攻击,该黑客对多个 pToken 网桥进行了攻击,包括 pBTC-on-BSC、TLOS-on-BSC、PNT-on-BSC、pBTC-on-ETH、TLOS-on-ETH 和 pSAFEMOON-on-ETH,不过,黑客仅在 pBTC-on-BSC 跨链桥上攻击成功,并从 pBTC-on-BSC 抵押品中窃取了 277 枚 BTC,其他 pToken 网桥不受影响且资金安全。另外,由于已将黑客地址报告给交易所,所以被盗资金当前仍然在黑客 BTC 地址上,未发生过转移。
损失金额:277 BTC攻击手法:代码漏洞
事件描述:据官方消息,借贷协议 Vee.Finance 官方发布有关攻击事件的说明,内容如下:9 月 20 日,Vee.Finance 团队注意到多次异常转账,经过进一步监控,共有 8804.7 ETH 和 213.93 BTC被盗(总价值超 3500 万美元)。被攻击的 Vee.Finance 交易合约地址为:0xd1F855ceF146D36CC5851E2139c54524420797f2。攻击者地址为:0xeeeE458C3a5eaAfcFd68681D405FB55Ef80595BA。 经调查,疑似攻击者系通过上述地址发起攻击,并已获取该地址的被盗资产。为确保更多用户资产安全,团队已暂停平台合约,并已暂停存取款功能。稳定币部分不受此次攻击影响。
损失金额:$ 35,000,000攻击手法:利用了 cToken 伪造问题以及精度处理问题
事件描述:SushiSwap Launchpad 平台 MISO 上 Jay Pegs Auto Mart 项目的 DONA 代币拍卖遭到攻击,攻击者向 MISO 前端插入了恶意代码,将拍卖钱包地址改为了自己的钱包地址,损失目前已达 865 ETH (约 307 万美元)。SushiSwap 首席技术官 Joseph Delong 在推特表示该漏洞已被修复,且已要求 FTX 和币安提供攻击者的 KYC 信息,但两家交易所均拒绝配合。此外,Joseph Delong 还表示已经通过律师向 FBI 报案,并提醒项目方检查是否存在类似的前端漏洞。后据以太坊区块浏览器 Etherscan 显示,攻击者向 SushiSwap 归还了全部 ETH ,该操作分为两笔交易,第一笔归还 100 ETH,第二笔归还 700 ETH,第三笔归还 65 ETH。
损失金额:-攻击手法:前端插入恶意代码
事件描述:Defibox 于 9 月 16日 晚 22 时发现 EOS-EMOON 交易对异常兑换情况,经过紧急排查,于 9 月 17 日 0 时暂停 Swap 合约,并于 9 月 17 日上午在完成审计以及多签后重新开放 Swap 合约。本次兑换异常是由于 Defibox Swap 合约和 EMOON 合约互相调用的不兼容性导致,事件发生前底池数为 482636464535179.88 EMOON/4866.1494 EOS,合约暂停时 EMOON 底池为 5790970803030.11 EMOON/3.4553EOS,造成约 4863 EOS 损失。目前 Defibox 团队已排除其他燃烧型代币会引起的此类型风险,并已升级 Swap 合约,进一步提高合约的安全性。Defibox 基金会将启动风险准备金,赔付 4863 EOS 给 EMOON 社区。
损失金额:4,863 EOS攻击手法:Swap 合约和 EMOON 合约互相调用的不兼容性
事件描述:隐私公链 Secret Network 在推特表示,主网已经进行了一次计划外升级,将主网版本从 secret-2 升级为 secret-3,以防止网络出现重大安全问题而导致资金损失。团队表示,原生代币 SCRT 和跨链桥合约都没有受到影响,只有一个单一的智能合约受到了影响,该合约来自于 SecretSwap,有一个漏洞被利用了,使攻击者可以抽走质押 SEFI 合约中的资金。目前跨链桥仍处于关闭状态,交易所的存款功能也处于关闭状态。
损失金额:-攻击手法:合约漏洞
事件描述:以太坊上的去中心化交易所 Nowswap 遭到闪电贷攻击,攻击者掏空了 Nowswap 的流动资金池,流动资金池规模从 1,069,197 美元缩至 24.15 美元,攻击者获利 53.6 万 USDT 和 158 WETH,合计 100 多万美元。攻击者利用 Nowswap USDT/WETH 交易对合约中的 K 值验证漏洞,进行多次兑换,每次兑换获得正常应得兑出资产的多倍,直至将交易对池子中的资产薅光。
损失金额:$ 1,000,000攻击手法:K 值验证漏洞
事件描述:以太坊扩容网络 Arbitrum One 发布针对网络故障的报告。从美东时间 9 月 14 日 10:14 开始,Arbitrum One 停机持续 45 分钟,期间 Arbitrum Sequencer(定序器)处于离线状态,资金从未面临风险。停机的根本原因是一个 Bug,导致 Sequencer 在短时间内收到大量交易时卡住,Arbitrum 团队已经定位到该问题并已部署修复程序。团队还表示,就算 Sequencer 故障,也不会影响该网络的持续运行,用户可以绕开 Sequencer,将交易直接提交到以太坊。
损失金额:-攻击手法:未知
事件描述:公链 Solana 的主网 Beta 版自北京时间昨夜 19:52 开始出现不稳定状况,至今已达 12 小时,Solana 链上应用至今无法正常运转。Solana Status 发布的信息称,Solana 验证人社区选择协同重启网络,快照高度为 slot 96542804。Solana Status 建议验证节点更新至 Mainnet-Beta 1.6.24 版本。9 月 21 日消息,Solana 官方发布 9 月 14 日网络中断初步概述,据悉,9 月 14 日,Solana 网络离线 17 个小时。没有资金损失,网络在 24 小时内恢复了全部功能。网络停滞的原因是拒绝服务攻击。UTC 时间 12:00,Grape Protocol 在 Raydium 上启动 IDO,机器人生成的交易使网络拥堵。这些交易造成了内存溢出,导致许多验证节点崩溃,迫使网络变慢并最终停止。当验证节点网络无法就区块链的当前状态达成一致时,网络就会脱机,从而阻止网络确认新区块。
损失金额:-攻击手法:拒绝服务攻击
事件描述:Klondike Finance 遭到黑客攻击,总损失大约 35,281.71 KXUSD(6.5629 WETH)。
损失金额:35,281.71 KXUSD攻击手法:闪电贷攻击
事件描述:Avalanche 链上 Zabu Finance 官方表示,攻击者从 Zabu Farm Contract 提取 45 亿个 ZABU 代币,使供应达到 50 亿,并将全部倾销给 ZABU 的 Pangolin LPs 和 Trader Joe LPs,窃取了约 60 万美元。单币资产质押是安全的,ZABU 相关池受到影响。官方将对攻击前进行快照,并在 Zabu V2 中分发,重启 V2 Farm 并附有 Zabu V1 Staking Pool。 此外,Zabu Finance 表示,将把 AutoFarm 和 IDO Launchpad 的所有费用收入转回给 Zabu 持有者。 此前消息,Avalanche 链上 Zabu Finance 项目遭受闪电贷攻击。
损失金额:4,525,726,903 ZABU攻击手法:抵押模型与代币不兼容
事件描述:推特网友 “mhonkasalo” 表示,dYdX 质押合约存在 bug,用户质押时收到 0 枚 stkDYDX,前端已禁用,共有 64 个受影响的地址。后 dYdX 发布“质押合约 bug”事故报告,dYdX 安全模块在可升级智能合约部署过程中,出现了一个错误,导致 DYDX 兑换 stkDYDX 比率从 1 变为 0,使得质押 DYDX 的用户没有收到 stkDYDX。dYdX 表示,错误是由于智能合约部署过程中出现错误导致的,其认为代码本身没有任何错误,安全模块之前接受了智能合约审计,并且基于流动性模块设计,该设计也经过审计。安全模块在部署前经过全面测试。 目前,用户资金安全的锁定在安全模块中,直至 28 天的 epoch 结束,没有分发安全模块奖励也无法提款。为了恢复合约功能,需要进行升级,建议解决方案为恢复安全模块功能、允许质押用户取回资金、补偿用户因参加安全模块错误的奖励。
损失金额:-攻击手法:智能合约部署出现错误
事件描述:Ethereum Classic (ETC)发推称,因以太坊客户端 Geth 此前漏洞导致 ETC 主网遭遇分叉,目前大部分算力在主网上,Core-geth 节点运营商应尽快更新到 v1.12.1 以上版本。
损失金额:-攻击手法:以太坊客户端 Geth 漏洞
事件描述:据慢雾区情报,DAO Maker 的 Vesting 合约遭到黑客攻击。DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)都使用了 Dao Maker 的分发系统,在 DAO Maker 中进行持有者发行(SHO)时因 DAO Maker 合约被攻击,即 SHO 参与者的分发系统中出现了一个漏洞:init 未初始化保护,攻击者初始化了 init 的关键参数,同时变更了 owner,然后通过 emergencyExit 将目标代币盗走,并兑换成了 DAI,攻击者最终获利近 400 万美元。
损失金额:$ 4,000,000攻击手法:初始化未鉴权
事件描述:某用户在推特上宣称自己误入了一个 NFT 拍卖骗局,被某个艺术网站卷走了价值 33.6 万美元的以太坊。然而故事的发展有些出人意料,因为对方竟然将 100 ETH 悉数奉还。本次骗局,受害者自述始于其从 Discord 上的某个人口中打探到了周一的 NFT 拍卖,而后他以为自己有幸中标了网站上的首个 NFT,并为此付出了 100 ETH(约 33.6 万美元)。然而据 BBC 周二报道,一位黑客利用了艺术家 Banksy 网站的一个安全漏洞,并设置了一个网页(banksy.co.uk/NFT)来兜售所谓的非同质代币(NFT)。最后虽然黑客退回了款项,但该用户还是损失了 5000 美元的交易费用。
损失金额:$ 5,000攻击手法:骗局
事件描述:Fantom 生态与 FTM 挂钩的算法稳定币项目 Tomb Finance 代币 TOMB 昨日最大跌幅一度达到 77%,并被社区怀疑遭到攻击,对此,Tomb Finance 表示,其用来在卖出 TOMB 时征收服务费的机制 Gatekeeper 被第三方利用,从而导致恐慌性抛售,但项目未遭到攻击,也没有资金被盗。Tomb Finance 解释称,团队已停用该机制 Gatekeeper,目前正在讨论未来发展规划,开发者没有放弃该项目的计划。
损失金额:-攻击手法:服务费征收机制
事件描述:抵押借贷平台 Cream Finance 出现闪电贷攻击,其在发布的闪电贷攻击事后分析报告中表示,漏洞导致共 4.6 亿枚 AMP 代币和 2804 枚 ETH (当时价值约合 3400 万美元)被盗,并承诺将所有协议费用的 20% 用于偿还,直至全部偿还。此次安全事件有一个主要的漏洞攻击者和一个模仿者。Cream Finance 会将所有相关信息转交执法机关,并在法律允许的范围内进行起诉。
损失金额:$ 34,000,000攻击手法:闪电贷攻击
事件描述:Bilaxy(币系)交易所发推称,热钱包被黑客攻击,损失约 296 个代币(包括 ETH),用户请不要再向 Bilaxy 账户发送任何资金。
损失金额:$ 21,709,378攻击手法:热钱包被盗
事件描述:遭遇闪电贷攻击的 DeFi 质押和流动性策略平台 xToken 发布 xSNX 合约漏洞事件分析报告。UTC 时间 8 月 29 日4:43,xSNX 合约中一个漏洞被利用,估计持有人的损失为 450 万美元。 xToken 认为此时最好是停止提供 xSNX 产品。xToken 表示,将不再使用 xSNX 合约进行 SNX 质押。
损失金额:$ 4,500,000攻击手法:闪电贷攻击
事件描述:波卡生态 DeFi 收益聚合器 Dot.Finance 遭受闪电贷攻击。Dot.Finance 的代币 PINK 短时急跌 35%,从 0.77 USD 跌至约 0.5 USD。攻击者获利 900.89 BNB(合计约 $429,724)。
损失金额:$429,724攻击手法:闪电贷攻击