共有 2092 条记录
事件描述:TON 网络扩展项目 TAC 的跨链层 TON 侧遭外部攻击者利用,损失约 280 万美元的 USDT、BLUM 和tsTON。TAC 代币、TON 本身以及从以太坊跨链过来的 ERC-20 代币未受影响。桥接服务已暂停,团队正在进行取证分析和修复,并计划通过基金会 TAC 代币储备的合法结构化出售来补偿用户并恢复流动性。团队将与执法部门、安全伙伴合作追踪资金,并在 48 小时内发布事后分析报告。
损失金额:$ 2,800,000攻击手法:合约漏洞
事件描述:跨链聚合协议 Transit Finance 的旧版(2022 年部署并已弃用)TRON 网络智能合约遭利用,黑客从中抽走约 188 万美元的 DAI 资产。资金随后转移至以太坊地址。项目方确认这是历史遗留合约漏洞,当前版本合约安全,已完成隔离修复。他们承诺全额补偿受影响用户,并向攻击者地址发送链上消息,提供 48 小时内返还资金的赏金,否则将采取法律行动。
损失金额:$ 1,880,000攻击手法:合约漏洞
事件描述:Aurellion Labs 的 Diamond Proxy 合约(EIP-2535 标准)因 SafeOwnable Facet 中的 initialize(address) 函数未正确保护(未标记为已初始化,_initialized 槽仍为 0),尽管已设置 owner 但初始化检查失败。攻击者调用 initialize() 成为新 owner,随后通过 diamondCut 注入恶意 Facet(包含 pullERC20 等函数),利用用户历史 USDC 授权(approve)从多个钱包拉取资金。项目方确认事件后暂停运营,承诺补偿受影响用户,并建议撤销旧授权。
损失金额:$ 455,003攻击手法:合约漏洞
事件描述:SQ Protocol 在 BNB Chain上的 Staking 合约被攻击者利用硬编码的 owner 后门(hardcoded owner backdoor)进行攻击。攻击者通过特殊交易(type-0x4 + authorizationList)获得权限,接管所有权、铸造假质押凭证、赎回 USDT,并将 SQi 代币抛售到流动性池,总计获利约 34.61 万美元。攻击主要针对已验证的 Staking 合约(地址0x404404a845fff0201f3a4d419b4839fc419c99f7)。
损失金额:$ 346,100攻击手法:合约漏洞
事件描述:Huma Finance 在 Polygon 上的已弃用 v1 BaseCreditPool 合约因逻辑漏洞被利用,从协议费用和资金池所有者费用中转出约 101,400 枚 USDC 和 USDC.e。用户资金无风险,PST 代币不受影响。团队原本已在逐步下线 v1 资金池,已立即完全暂停所有 v1 合约。其 Solana 上的 v2 系统为完全重写,不受影响且保持安全。
损失金额:$ 101,400攻击手法:合约漏洞
事件描述:Ink Finance 在 Polygon 上的 Workspace Treasury Proxy 合约因白名单验证逻辑漏洞被利用。攻击者部署了一个与白名单 claimer 地址匹配的恶意合约,通过 claim() 函数绕过认证检查,并使用约 25,000 美元 Balancer V2 闪电贷放大提取,合计转出约 140,000 美元 USDT。
损失金额:$ 140,000攻击手法:合约漏洞
事件描述:Keith Gill(知名为 Roaring Kitty)的验证 X 账户于 2026 年 5 月 11 日疑似遭黑客入侵。攻击者发布 Solana Pump.fun 上新推出的 meme 币 $RKC(Red Kitten Crew)合约地址和相关图片,短暂推高其市值至约 1100-1200 万美元。随后帖子在一小时内被删除,导致代币崩盘 90% 以上。开发者通过 10 个钱包控制约 39.52% 供应量(投入约 1950 美元),抛售后获利超 61 万美元。超 80 个钱包遭受损失,总计约 286 万美元。Keith Gill 尚未就此事件发表任何声明。
损失金额:$ 2,860,000攻击手法:账号被黑
事件描述:Renegade 协议的遗留 V1 版本在 Arbitrum 上的 Dark Pool 代理合约遭受攻击。攻击者利用一个未受保护的初始化函数(unprotected initializer),结合 2025 年 4 月一次迁移导致的版本计数器不同步问题,通过注入恶意逻辑并使用 delegatecall,在代理合约的存储中执行权限操作,从合约中提取了约 20.9 万美元的 27 种 ERC-20 代币。攻击者随后以白帽身份与项目方链上协商,项目方提出“归还 90% 资金、保留 10% 作为白帽赏金、不采取法律行动”的方案。白帽黑客在 45 分钟内归还约 19 万美元,所有受影响用户将获得全额补偿。项目方确认问题仅限于 V1 Arbitrum 部署,已暂停相关基础设施,其他部署安全无风险。
损失金额:$ 209,000攻击手法:合约漏洞
事件描述:TrustedVolumes(1inch Fusion 等协议的重要流动性提供商/Resolver)遭黑客利用其自定义 RFQ Swap Proxy 合约漏洞攻击,损失约 670 万美元。项目方在 X 上确认事件,并公开存放被盗资金的三个地址,表示愿意与攻击者就漏洞赏金进行建设性沟通和协商解决。1inch 官方表示其协议、基础设施和用户资金不受影响,此次攻击仅限于 TrustedVolumes 控制的自定义组件。
损失金额:$ 6,700,000攻击手法:合约漏洞
事件描述:据 Blockaid 监测,Ekubo Protocol 在以太坊上的自定义扩展合约凌晨遭受攻击,目前已被盗约 140 万美元。Ekubo 用户本身不受影响,只有授权该 V2 合约作为代币支出者的用户存在风险。漏洞根源在于 Ekubo 扩展合约的 IPayer.pay 回调函数中,token.transferFrom 的 payer、token 和 amount 参数直接来自锁定载荷,由攻击者控制。合约未检查 payer 是否为锁定的发起者或授权的支付方,攻击者可利用用户此前对该合约的 ERC-20 授权,通过 Core 锁定路由至扩展合约,将任意授权用户设为 payer 并将自己设为提款接收方,从而盗取资产。
损失金额:$ 1,400,000攻击手法:合约漏洞
事件描述:SmartCredit 的 Leveraged Lido 功能模块遭受攻击。攻击者利用该模块的漏洞抽取资金。项目方已暂停 Leveraged Lido 功能,并使用协议的 Loss Provision Fund(损失准备金)全额覆盖受影响用户的损失。
损失金额:$ 72,000攻击手法:闪电贷攻击
事件描述:Bisq v1 交易协议存在漏洞,攻击者利用修改后的客户端绕过验证机制,从开放报价(open offers)中抽取比特币。主要影响 altcoin 交易对,用户钱包中的资金未直接受影响。项目方已激活紧急机制暂停相关交易,并计划通过 DAO 投票全额补偿受影响用户。
损失金额:$ 858,000攻击手法:业务逻辑漏洞
事件描述:2026年4月30日(UTC),Wasabi Protocol发生安全事件。攻击者利用项目 AWS 基础设施上的分析界面(Spring Boot Actuator堆转储),泄露凭证并最终获取了控制 EVM 智能合约的私钥,随后发起提现攻击,从 EVM 智能合约中窃取 480 万美元用户资金,并从 Wasabi 项目金库额外窃取 90 万美元资金。该漏洞仅影响以太坊主网、Base、Blast 和 Berachain 上的 EVM 部署,Solana 部署及 Prop AMM 完全未受影响。团队在事件发生后 48 小时内完成遏制,轮换所有密钥、锁定受影响合约,并于 5 月 2 日为未受影响的金库重新开放提现,同时聘请外部安全机构 zeroShadow 进行链上追踪、资金追回及执法协调。
损失金额:$ 5,700,000攻击手法:私钥泄漏
事件描述:Syndicate Labs 的 Commons 跨链桥合约因私钥泄露遭到攻击。攻击者利用泄露的升级密钥恶意升级桥合约,从中提取约 1850 万 SYND 代币(价值约 33 万美元)以及约 5 万美元的用户资产,总损失约 380,000 美元。事件仅影响特定链,项目方承诺全额补偿受影响用户。
损失金额:$ 380,000攻击手法:私钥泄漏
事件描述:Sweat Foundation 遭受攻击,攻击者在约 30 秒内从基金会控制的多个账户中抽走约 13.71 亿 SWEAT 代币(占总供应量约 65%),损失约 350万美元。攻击者利用 SWEAT token 合约漏洞,部署自定义 drainer 合约快速执行抽取,随后尝试通过 Ref Finance 和 Wormhole 转移资金。Sweat 团队迅速暂停合约、冻结攻击者账户,并已恢复所有外部用户余额。
损失金额:$ 3,500,000攻击手法:合约漏洞
事件描述:基于 Sui 区块链的去中心化永续合约交易平台 Aftermath Finance 遭受攻击。其永续合约(perps)协议因费用记账逻辑存在漏洞(具体为允许设置负的 builder code 费用),被攻击者利用。该漏洞使攻击者能够虚增合成抵押品并从协议金库中提取资金。攻击者在约 36 分钟内通过 11 笔交易窃取了约 114 万美元(约 1.14M)USDC。安全公司 Blockaid 实时监测并标记了此次攻击(攻击者地址以0x1a65...2d41e开头)。Aftermath Finance 团队迅速作出响应,暂停了受影响的永续合约产品,并与 Blockaid、CertiK 等安全伙伴合作进行调查。项目方强调,此次事件仅限于永续期货市场,现货交易、AMM 池、afSUI 质押等其他产品未受影响。
损失金额:$ 1,140,000攻击手法:合约漏洞
事件描述:Trading Protocol 下的 YieldCore-3rd-deal 金库遭受攻击。攻击者利用合约中调用者授权检查缺失(missing caller authorization check) 的漏洞,绕过权限机制,直接将金库中的所有资金转出。金库为 permissionlessly listed(任何人可上架),并非协议核心部分。此次攻击导致金库被完全清空。
损失金额:$ 398,000攻击手法:合约漏洞
事件描述:BSC 链上 JUDAO 代币/流动性池遭受 Flashloan-assisted Manipulation(闪电贷辅助操纵攻击)。攻击者利用闪电贷操纵池子储备或价格,通过 PancakeSwap V2 等路由抽取资金。具体涉及 BUSD-JUDAO 等交易对,损失至少 20.5 万 USDT + 36 BNB。
损失金额:$ 228,000攻击手法:价格操纵
事件描述:ZetaChain 在 X 平台发文披露,ZetaChain GatewayEVM 合约今日遭到攻击,仅影响 ZetaChain 内部团队钱包。已封堵攻击途径,防止更多资金被盗。作为预防措施,ZetaChain 上的跨链交易目前已暂停。调查仍在进行中,目前没有用户资金受到攻击影响。4 月 29 日,ZetaChain 在 X 平台发布更新称,4 月 27 日,ZetaChain 遭遇了一次有预谋的定向攻击,攻击者使用了 Tornado Cash 进行资金充值并伪造了钱包地址。跨链 ZETA 转账未受影响,用户资金未受影响,受影响钱包均为 ZetaChain 控制。主网补丁已部署,跨链交易将在持续监控后重新启用。该攻击影响了 GatewayEVM 的特定任意调用功能,导致四条连接链共损失约 33.4 万美元。
损失金额:$ 334,000攻击手法:合约漏洞
事件描述:Singularity Finance 的金库 oracle 配置存在严重错误。管理员在 1 月注册 Uniswap V3 fee tier 为 42(不支持的无效参数,仅支持 100/500/3000/10000),导致 factory.getPool() 返回 address(0),oracle 将所有非 USDC 储备定价为零。金库以为只持有少量 USDC 尘埃,而实际收益率代币价值未被计入。攻击者从 Morpho 闪电贷 10 万 USDC,存入金库铸造近 99.99% 份额,然后赎回抽取底层真实资产,总计获利约 41.3 万美元。根因是管理员操作失误 + 配置验证缺失,漏洞潜伏约 3 个月。
损失金额:$ 413,000攻击手法:合约漏洞