共有 98 条记录
事件描述:Terra 研究论坛成员 FatMan 在推特上发文表示,由 Terraform Labs 开发的合成资产协议 Mirror Protocol 长期存在漏洞。自 2021 年 10 月起,攻击者在 7 个月的时间内利用该漏洞多次进行攻击,最高单笔获利超 400 万美元(使用 1 万美元获利 430 万美元),均未被 Terraform Labs 或 Mirror 团队发现。 截止漏洞修复时,攻击者利用该漏洞的总获利可能已超 3000 万美元。FatMan 表示,该漏洞于 11 天前被 Mirror 论坛成员发现并提出质疑,此后该漏洞被修复,但 Mirror 团队并未对此事进行任何声明。
损失金额:$ 30,000,000攻击手法:合约漏洞
事件描述:据 Pinpoint News 报道,基于 Klaytn 的 DeFi 项目 Kronos DAO 挪用用户在其 vault 质押的 DAI 投入 Kairos Cash 中,并亏损了 600 万枚 DAI。用户质押的 600 万枚 DAI 在 Kronos Dao Vault 中变成了 600 万枚 Kairos Cash,Kronos Dao 解释说这是“用作战略投资”。然而,投资者质疑解释不充分,且并没有对此进行提前告知。目前,Kronos Dao 已经关闭了 Kakao Talk 和 Telegram 沟通渠道,只留下了 Discord 作为沟通渠道。
损失金额:6,000,000 DAI攻击手法:挪用资金
事件描述:美国演员 SethGreen 遭遇钓鱼攻击致 4 个 NFT(包括 1 个 BAYC、2 个 MAYC 和 1 个 Doodle)被盗,钓鱼者地址已将 NFT 全部售出,获利近 160 枚 ETH(约 33 万美元)。
损失金额:160 ETH攻击手法:钓鱼攻击
事件描述:加密数据网站 Etherscan、CoinGecko 和其他网站报告了恶意弹出窗口事件,提示用户连接他们的 MetaMask 钱包。网络钓鱼攻击似乎来自显示 Bored Ape Yacht Club 徽标的域。截至发稿时,与该域相关的网站似乎已被删除。
损失金额:-攻击手法:恶意弹出窗口
事件描述:据官方发文称,MM.finance 网站遭到 DNS 攻击,攻击者设法将恶意合约地址注入前端代码。攻击者利用 DNS 漏洞修改托管文件中的路由器合约地址,价值约 2,000,000 美元以上的数字资产被盗,并通过多链桥接到以太坊网络,随后通过 Tornado Cash 清洗。
损失金额:$ 2,000,000攻击手法:DNS 劫持攻击
事件描述:慢雾安全团队发现从 4 月 12 日开始至 4 月 21 日约有 52 个地址中的资金被恶意转出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中,当前总损失约 431 万美元。慢雾安全团队表示,此次攻击为批量谷歌关键词广告投放钓鱼攻击,用户在谷歌搜索知名的 Terra 项目时,谷歌搜索结果页首条广告链接(域名可能相同)实为钓鱼网站。用户访问此钓鱼网站并连接钱包时,钓鱼网站会提醒直接输入助记词,一旦用户输入并点击提交,资产将会被攻击者盗取。
损失金额:$ 4,310,000攻击手法:骗局
事件描述:印度教育资助委员会(UGC)遭遇黑客攻击,黑客利用该推特账户发布虚假的 Azuki NFT 空投链接,并将简介更改为 Azuki NFT 的共同创建者,将头像换成了与 Azuki 相关的图像。该机构在账号挟持 6 个小时后收回了该账号。
损失金额:-攻击手法:Twitter 账户被黑
事件描述:Agora 遭到攻击,损失超四百万美元。
损失金额:$ 4,000,000攻击手法:合约漏洞
事件描述:针对多个 NFT 项目 Discord 账号被攻击一事,Discord 机器人 Ticket Tool 发推称,最近针对 add 命令的更新有一个漏洞,允许进行某种类型的权限攻击。已经回滚至之前未受攻击的安全版本,并将详细调查此事是如何发生的。此外,机器人本身并没有受到损害。
损失金额:-攻击手法:add 命令更新漏洞
事件描述:Fuse 链上的 Ola Finance 对黑客攻击事件发布博客文章,称此次攻击事件损失约为 467 万美元,具体包括216,964.18 USDC、507,216.68 BUSD、200,000 fUSD、550.45 WETH、26.25 WBTC和1,240,000.00 FUSE。 该攻击使用了 ERC677 令牌标准中的可重入漏洞。
损失金额:$ 4,670,000攻击手法:重入攻击
事件描述:推特用户 cr0ss.eth 表示,Defiance Capital 创始人 Arthur 热钱包疑似被盗。OpenSea 数据显示,Arthur 的钱包地址 0x4C53c32980ccE49aaA4bCc53Eef3f143Bc27E0aF 中,包括 17 枚 azuki、5 枚 cloneX 在内的的 60 枚 NFT 在链上被转移,总计约 310 ETH。
损失金额:310 ETH攻击手法:热钱包被盗
事件描述:据 Cointelegragh 报道,加密贷款机构 BlockFi 确认其第三方供应商之一 Hubspot 发生了数据泄露事件。 Hubspot 存储了 BlockFi 的用户数据,包括姓名、电子邮件地址和电话号码。 根据公告,黑客在 3 月 18 日盗窃了 BlockFi 的客户数据。Hubspot 已经证实,一个未经授权的第三方获得了存放在其平台上的某些 BlockFi 客户数据。目前 BlockFi 正在配合 Hubspot 的调查,以明确数据泄露的整体影响。虽然被盗数据的具体细节尚未被确定和披露,但 BlockFi 强调,密码、政府颁发的身份证和社会安全号码等数据从未存储在 Hubspot 上。
损失金额:-攻击手法:数据泄露
事件描述:Gnosis 链上 Compound 分叉项目 Hundred Finance 发推称,遭遇黑客攻击,损失超 600 万美元。
损失金额:$ 6,000,000攻击手法:闪电贷攻击
事件描述:Gnosis Chain 上 Agave 合约因为一个非信任的外部调用遭受攻击。攻击者在没有任何负债的情况下调用了 liquidateCall 函数来清算自己。在清算过程中,清算合约调用了攻击者合约,攻击合约在此过程中存入了 2728 个通过闪电贷获取的 WETH,铸造出 2728 aWETH。并以此为抵押,借出了 Agave 项目中所有可用资产。外部调用结束后,liquidateCall 函数直接清算了攻击者之前存入的 2728 aWETH,并将其转给清算者。
损失金额:$ 5,400,000攻击手法:闪电贷攻击
事件描述:比特币金融服务公司 Unchained Capital 首席执行官 Joe Kelly 表示,Unchained 使用的外部电子邮件营销提供商 ActiveCampaign(AC)上周遭到黑客攻击。与 AC 共享的信息,包括客户电子邮件地址、用户名、账户状态、客户是否拥有活跃的多重签名保险库或使用 Unchained Capital 的贷款以及可能的 IP 地址可能已经未经授权流出。Kelly 表示,Unchained 上任何系统都没有受到影响,这意味着从未与 AC 共享的客户资料信息没有泄露。Kelly 补充说,虽然客户比特币保管受到多重签名冷存储的保护,但客户仍应了解发生的事情并警惕网络钓鱼攻击。
损失金额:-攻击手法:网络钓鱼攻击
事件描述:美国南达科他州提供自主退休账户的 IRA Financial Trust 发推称,发现“可疑活动影响了我们在 Gemini 加密货币交易所拥有账户的有限客户群。发现后,我们立即展开调查,并联系了州和联邦执法部门。”同一天,身份不明的黑客从 IRA Financial Trust 的账户中提取了 2100 万美元的比特币和 1500 万美元的以太坊。
损失金额:$ 36,000,000攻击手法:未知
事件描述:韩国 DeFi 项目 KLAYswap 日前发布公告称遭黑客攻击,损失约 22 亿韩元,约合 183 万美元。公告中称黑客通过篡改 KLAYswap 前端的第三方 js 链接,导致用户访问 KLAYswap 页面时被投毒,然后授权资产给黑客钱包地址,最终导致相关资产被盗,期间共有 325 个钱包发生 407 笔异常交易。
损失金额:$ 1,830,000攻击手法:前端恶意攻击
事件描述:数字资产服务商 StoboxCompany 遭黑客攻击,其官方表示私钥已泄露,受此影响代币跌幅达 96.93%。StoboxCompany 官方表示,Stobox 代币的部署者地址被黑客入侵,由于 ETH 和 BSC 的部署者地址相同,因此所有储备资金都已被盗或清算。提醒用户停止购买/出售,官方将把 STBU 快照恢复到黑客攻击前的最后一笔交易。
损失金额:-攻击手法:私钥泄露
事件描述:基于 Algorand 的自动做市商(AMM)Tinyman 发推称,从 1 月 1 日开始,未经授权的用户利用 Tinyman 合约中未知的漏洞对 Tinyman pools 进行了精心策划的攻击,并允许攻击者从其无权访问的池中提取资产。
损失金额:$ 2,000,000攻击手法:合约漏洞
事件描述:CoinMarketCap 的网站数据闪现 Bug,多种加密货币的报价出错。
损失金额:-攻击手法:数据错误