共有 1914 条记录
事件描述:此前有加密社区成员披露“某 Web3 项目合约疑似被员工植入恶意代码,导致损失数十万美元”,DeFi 交易及资产管理项目 QuantMaster 的开发者 Thomson 称其系此“被盗事件的冤大头”,Thomson 表示嫌疑人基本锁定,提交代码的有明确的 GitHub 记录(某个员工),提交代码的设备也是唯一的,Cursor 有着完整的 AI 本地记录,已经查看,排除 AI 修改相关代码可能。
损失金额:-攻击手法:内部作恶
事件描述:基于 Solana 构建的模块化 DeFi 贷款市场 Loopscale 遭遇攻击,本次攻击的根本原因已确认,系 Loopscale 针对 RateX-based collateral 定价机制存在孤立性问题。此次事件导致约 570 万枚 USDC 和 1200 枚 SOL 被盗,约占平台总资金的 12%。4 月 29 日消息,据 Loopscale 官方推特称,经过成功谈判,4 月 26 日被盗的 5,726,725 枚 USDC 及 1,211 枚 SOL 已全部归还,用户存款未受损失。
损失金额:$ 5,800,000攻击手法:预言机攻击
事件描述:开源数据可视化工具 Grafana 回复了最近被攻击的情况,称攻击者通过 fork 一个 Grafana 仓库,运行 curl 命令注入恶意代码,并将环境变量导出至使用私钥加密的文件中,从而窃取了令牌。随后攻击者删除 fork,以隐藏其行为。利用所获取的凭证,攻击者进一步对四个私有仓库进行了类似操作。此次未授权访问仅影响自动化系统,未波及生产环境或发布产物。从攻击行为判断,其目的是窃取令牌并潜伏以备将来使用。
损失金额:-攻击手法:恶意代码注入攻击
事件描述:Impermax 在 Base 网络上遭攻击,Impermax 在推文中表示有人发起了闪电贷攻击,抽干了其 V3 流动池。Impermax 正在调查此事件,请勿与任何 V3 池交互。
损失金额:$ 400,000攻击手法:闪电贷攻击
事件描述:2025 年 4 月 26 日,借贷协议 Term Labs 对 tETH 预言机的一次更新在小数精度处理上引入了内部不一致,导致协议中 tETH 资产定价错误。这一错误触发了非预期清算,造成约 918 枚 ETH 被清算。事故源于一次敏感系统升级中的内部人为操作失误,反映出的是执行流程中的问题,而非代码或智能合约层面的缺陷。通过紧急应对和协商,Term Labs 共追回约 556 枚 ETH,使最终协议净损失降至 362 枚 ETH(约 65 万美元)。
损失金额:$ 1,650,000攻击手法:人为操作失误
事件描述:据慢雾 MistEye 安全监控系统监测,ACB 疑似在 BSC 上遭攻击,损失约 2.2 万美元。
损失金额:$ 22,804攻击手法:合约漏洞
事件描述:NUMA. 在 Arbitrum 链上遭攻击,损失约 53 万美元。攻击者将所有资产兑换为 ETH,跨链转移至以太坊主网,并将资金存入 Tornado Cash。
损失金额:$ 530,000攻击手法:价格操纵
事件描述:R0AR 遭遇攻击,损失约 78 万美元。据慢雾安全团队分析,本次被攻击的根本原因在于合约中存在后门。在部署过程中,R0ARStaking 合约通过直接修改存储槽,篡改了某个指定地址的余额(user.amount)。随后,攻击者利用紧急提现函数将合约中的全部资金提取走。R0AR 在推文中表示:目前我们认为这并非一次外部攻击。初步调查显示,资金被盗事件背后似乎是一名恶意开发者所为,该开发者并非 R0AR 核心团队成员。目前他已被移除出项目,所有权限也已被撤销。
损失金额:$ 780,000攻击手法:内部作恶
事件描述:AI 区块链项目 DIN 官方 X 账号(@din_lol_) 遭遇黑客攻击。当前账号发布的信息并非由官方团队所发,建议用户不要点击任何链接或参与相关互动。此外,DIN 创始人 Harold、DIN 基金会(@Foundation_DIN)的 X 账号也已被盗。DIN 团队表示正在积极处理该事件,后续公告请以官方渠道为准。
损失金额:-攻击手法:账号被黑
事件描述:去中心化的永续期货交易所 KiloEx 被攻击,涉及到 BNB、Base 等多条链上资产。据慢雾安全团队分析,本次事件的根本原因在于 KiloEx 的顶层合约(MinimalForwarder)缺乏访问控制检查,从而导致预言机价格被操控。在项目方的积极应对和慢雾等多方协作下,历时 3.5 天,最终成功追回了全部被盗资产。
损失金额:$ 8,440,000攻击手法:合约漏洞
事件描述:混合区块链 Aergo 的官网因 DDoS 攻击暂时无法访问,技术团队正积极处理,将尽快恢复。Aergo 提醒用户警惕冒充和诈骗行为,团队不会主动私信或索要资金、钱包信息。
损失金额:-攻击手法:DDoS 攻击
事件描述:ZKsync 安全团队发现有一个管理员账户被攻破,并控制了约 500 万美元的 ZK 代币 —— 这部分代币是 ZKsync 空投中尚未被认领的部分。ZKsync 安全委员会于协调世界时 4 月 21 日(星期一)15:03 向黑客发送了一条链上消息。为以“安全港”精神解决此事,委员会提议若黑客归还 90% 的被盗资金,即可获得 10% 的赏金。协调世界时 4 月 23 日(星期三)14:39,90% 的资金已归还至由安全委员会控制的 ZKsync Era 与以太坊 L1 地址。
损失金额:$ 5,000,000攻击手法:私钥泄露
事件描述:数字资产交易平台 Emblem Vault 首席执行官 Jake Gallen 在一次可疑的 Zoom 视频会议后遭遇黑客攻击,损失超过 10 万美元的比特币和以太坊资产。攻击者冒充拥有超过 9 万订阅者的 YouTube 博主,在视频采访过程中利用 Zoom 默认开启的远程访问功能,在 Gallen 的电脑上安装了名为“GOOPDATE”的恶意软件。
损失金额:$ 100,000攻击手法:社会工程
事件描述:据慢雾 MistEye 安全监控系统监测,一个 MEV Bot(地址:0x49e27d11379f5208cbb2a4963b903fd65c95de09)因缺乏访问控制,导致损失约 116.7 枚 ETH。
损失金额:$ 210,000攻击手法:缺乏严格的权限控制
事件描述:据慢雾 MistEye 安全监控系统监测,NFT 项目 Next Earth 在 Polygon 上遭遇重入攻击。
损失金额:$ 17,000攻击手法:重入攻击
事件描述:据区块链支付平台 UPCX 公告,其管理账户出现未授权活动,目前已紧急暂停平台的 UPC 充值与提现操作。官方表示用户资产未受影响,正在积极调查事件原因,并承诺将持续更新进展。此前消息,Upcx 官方地址疑似遭到未授权访问。攻击者从三个管理账户转移了共计 1,840 万枚 UPC(约 7,000 万美元)。4 月 4 日,UPCX 发推表示,尽管各方报道信息不一,但项目方仍掌控着 18,473,290 枚 UPC。目前可疑活动仍在调查中,项目团队将于 2025 年 4 月 4 日协调世界时 09:00(±0)左右继续进行相关 UPC 的转移操作。
损失金额:$ 70,000,000攻击手法:未知
事件描述:据 DeFi 资管协议 Zapper 官方公告,其 .fi 域名遭攻击者通过社交工程方式劫持,当前 zapper(.fi) 页面存在风险,用户应避免点击相关链接。
损失金额:-攻击手法:域名劫持
事件描述:据慢雾 MistEye 安全监控系统监测,Ethereum 链上的杠杆交易项目 SIR.trading (@leveragesir) 遭攻击,损失价值超 30 万美元的资产。本次被黑事件的根本原因是,在函数中调用 tstore 进行瞬态存储的值在函数调用结束后并没有被清空,导致攻击者可以利用这个特性构造特定的恶意地址来绕过权限检查转出代币。
损失金额:$ 355,000攻击手法:合约漏洞
事件描述:据慢雾安全团队监测,Min Token (MIN) 疑似在 BSC 上遭攻击,损失约 2.14 万美元。
损失金额:$ 21,415攻击手法:价格操纵
事件描述:一名攻击者利用闪电贷攻击从 Abracadabra Money 项目中盗取了 1300 万美元的 Magic Internet Money 代币。此次攻击源于该平台智能合约的漏洞,最终黑客获利约 6,262 枚 ETH。
损失金额:$ 13,000,000攻击手法:合约漏洞