共有 2152 条记录
事件描述:Solana 生态去中心化交易所 Raydium 披露,其已于 2021 年停用的 AMM V3 程序存在漏洞,导致攻击者从五个不活跃的流动性池(包括 Sollet USDT-RAY、Sollet ETH-RAY、SRM-RAY、USDC-RAY、RAY-SOL)中盗走约 134 万美元资产。漏洞源于 LP 代币铸造地址验证不足,攻击者通过创建虚假 LP 代币绕过比例检查提取资金。当前活跃用户、SDK 和 dApp 均未受影响,Raydium 将从金库全额补偿损失,并正在对主网程序进行安全审查。
损失金额:$ 1,340,000攻击手法:合约漏洞
事件描述:Humanity Protocol 发生安全事件,基金会成员私钥被泄露,导致多个相关钱包(用户与项目合约交互的钱包)中 $H 代币被大量抽走并换成 ETH,总损失超 3000 万美元,$H 代币价格暴跌约 90%。项目方要求用户暂勿与桥或流动性池交互。
损失金额:$ 31,000,000攻击手法:私钥泄漏
事件描述:Asterix Labs(Flooring Protocol 的 NFT 流动性平台分叉项目)遭遇攻击,$ASTX 代币合约被利用。攻击者利用与前一天 Flooring Protocol 相同的智能合约漏洞(DN404/BT404 代币标准共享代码库中的 accounting/ownership 逻辑问题),从合约中抽取了约 4 万美元资产。项目方已在 X 上确认事件,正在调查原因,并计划发布完整事后报告。
损失金额:$ 40,000攻击手法:合约漏洞
事件描述:Sui 链上 Haedal Protocol 的 Vault 金库池因 2025 年底升级遗留的跨版本逻辑漏洞被攻击。攻击者通过旧版存款路径铸造超额 LP 份额,再经新版赎回路径提取超额底层资产,造成约 91.5 万美元直接损失。 Haedal 已暂停相关合约,将全额补偿用户损失,并正准备修复升级版本。
损失金额:$ 915,179攻击手法:合约漏洞
事件描述:NovaBox 平台的奖励池在以太坊上遭到黑客攻击。攻击者通过 Aave V3 闪电贷借入 427.5 WETH,利用平台在用户存取款时“先发放股息后更新余额”的奖励分配机制缺陷,先存入少量 NOVA 代币触发股息计算,再存入大量 ETH 使实际份额大幅增加,但系统仍按旧小额份额计算股息、按新大额份额支付,从而制造约 145.82 ETH 的“幻影股息”,一笔交易将池中资金几乎耗尽。安全公司 F12 确认,此次事件非智能合约代码漏洞,而是奖励机制的逻辑缺陷。
损失金额:$ 93,600攻击手法:闪电贷攻击
事件描述:Syscoin Bridge 遭受攻击。攻击者利用桥接流程中的验证问题,导致在 UTXO 侧产生约 50 亿 SYS 的未授权输出。资金随后被转移并拆分。项目方已暂停桥接、追踪污点资金并联系交易所进行冻结/监控,同时准备修复方案。
损失金额:$ 10,000,000攻击手法:桥验证漏洞
事件描述:Flooring Protocol V2(Floor Protocol)及 BitmapPunks(BT404 / $BMP)因 BT404-style 合约的 packed ownership 逻辑漏洞(高位 token ID 别名 + unchecked 整数下溢)遭受攻击。攻击者以少量 WETH 铸造近无限 fpTokens/$BMP,耗尽流动性池并低成本提取高价值 NFT(如 BAYC、CryptoPunks)。Yuga Labs 迅速介入,通过白帽操作使用 GrailsOTC 救回 68 个价值超 50 万美元的 NFT,目前安全托管中。
损失金额:-攻击手法:合约漏洞
事件描述:Ambient Finance(前 CrocSwap)遭受记账逻辑漏洞攻击。攻击者利用 flash loan + Surplus Collateral(DEPOSIT_SURPLUS / DISBURSE_SURPLUS)记账不一致,通过 HotProxy / WarmPath / ColdPath 循环操作,从单合约核心中抽走约 83.72 ETH(价值约 11.06 万美元)。
损失金额:$ 110,600攻击手法:合约漏洞
事件描述:2026 年 6 月 8 日,OpenMonero P2P 交易平台服务器遭到入侵,黑客获得 root 权限,窃取约 200 XMR。项目方在 Telegram 宣布所有资金丢失,攻击非应用层问题。
损失金额:$ 62,900攻击手法:供应链攻击
事件描述:BSC 链上 DTXT/USDT 流动性池遭受攻击。攻击者利用 DTXT 合约中可伪造的加池识别逻辑漏洞(通过直接向 Pair 地址转入少量 USDT,误导合约将大额卖出判定为加池),绕过卖出手续费并抽干池中储备,共造成约 $35,041 USDT 损失。
损失金额:$ 35,041攻击手法:业务逻辑漏洞
事件描述:BSC 链上 ATM 代币因其 transferFrom() 函数中的自定义逻辑漏洞(自动将转账金额的约 20% 兑换为 BSC-USD)被攻击者反复触发 swap 机制,导致协议损失约 24.35 万美元。
损失金额:$ 243,500攻击手法:合约漏洞
事件描述:BSC 上 BYToken 合约的公开维护函数 triggerAutoBurn() 被利用。攻击者通过 Moolah 闪电贷(约 42.25 万 WBNB)、PancakeSwap 换仓后调用该无权限函数,从 BY/WBNB 池直接燃烧约 6.78 千万亿 BY 并执行 pair.sync(),将储备重写成 1 BY + 完整 WBNB。极端储备偏差导致后续大量 BY 卖出抽干几乎全部 WBNB 流动性,攻击者净获利约 146.60 BNB($87,402)。
损失金额:$ 87,402攻击手法:合约漏洞
事件描述:BSC 链上 ApeBond 项目(ApeYieldVault 合约)遭利用。攻击者通过公开辅助合约调用 migrateToVotingEscrow 函数,使用重复 pool ID 膨胀锁定金额(从约 1.71 千万亿 ABOND 膨胀至约 29 千万亿 ABOND),随后解锁并领取膨胀锁定代币,在 ABOND/WBNB 池中卖出 ABOND,偿还 Moolah 闪电贷本金后,净获利约 5.72 WBNB。整个过程无需权限、全链上完成。
损失金额:$ 3,421攻击手法:合约漏洞
事件描述:Gnosis Pay 披露其 Delay Module(延迟模块)存在漏洞且正在被利用。该模块为 Gnosis Pay 自托管卡支付系统提供交易安全延时保护。项目方紧急建议用户立即将 EURe 和 GNO 余额从卡中提现至钱包。Gnosis 团队确认将对受影响用户进行全额赔偿。
损失金额:0攻击手法:合约漏洞
事件描述:GoPlus 发布安全警报称,加密 KOL Jadoodoo(@jadoodoo_ )的 X 账号被盗,攻击者正以合作名义疯狂私信粉丝发送钓鱼链接。已有多个 KOL 中招,总损失约 5000 美元。
损失金额:$ 5000攻击手法:社会工程
事件描述:BSC 链上 DeFi 项目 TesseraDAO(TSR 代币)遭遇攻击,黑客通过控制核心合约铸造 9900 万枚 TSR 代币,并在 PancakeSwap 抛售获利约 240 万美元,导致 TSR 价格暴跌 99%。资金后续桥接至 Ethereum 并经 Tornado Cash 洗钱。
损失金额:$ 2,400,000攻击手法:私钥泄漏
事件描述:ATOHook 智能合约因 rewards mapping 的 storage slot 与 Solady ReentrancyGuard 的固定 slot(0x02215292eb9609279094554c6e223f800950648ddfa3da30329838d6c170928d)发生碰撞,导致攻击者在调用 getReward() 时,nonReentrant 修改器写入的哨兵值被误读为奖励余额,允许攻击者用碰撞地址反复提取固定金额 ETH,共被抽走约 14.41 ETH(200 次重复领取)。
损失金额:$ 25,000攻击手法:合约漏洞
事件描述:Fluid DeFi 协议的 off-chain Merkle 奖励分发基础设施遭受攻击,黑客利用妥协的 proposer 和 approver 操作密钥提交虚假 Merkle root 并通过空证明领取奖励,造成约 21.5 万美元损失。核心借贷、DEX 和用户资金未受影响,项目方已撤销受损密钥并暂停领取进行升级。
损失金额:$ 215,000攻击手法:私钥泄漏
事件描述:Phala Cloud API 端点存在漏洞,允许攻击者对部分 Offchain KMS CVM 进行未经授权的修改。攻击者向受影响 CVM 部署恶意预启动脚本,可能在 CVM 启动后访问解密的加密环境变量。问题已于 2026 年 6 月 1 日修复并控制,受影响用户/CVM 已通过邮件直接通知。
损失金额:0攻击手法:API 端点漏洞
事件描述:连接 Ethereum 与 Cosmos 生态的跨链桥 Gravity Bridge 疑似因合约密钥/签名权限泄露遭到攻击,黑客直接从桥合约提取约 $5.4M 资产(主要为 USDC、ETH、USDT)。攻击者已开始通过交易所和混币器洗钱,部分资金仍在攻击者控制中。
损失金额:$ 5,400,000攻击手法:私钥泄漏