共有 1909 条记录
事件描述:2023 年 2 月 24 日,Earning.farm 的 USDC 金库被利用,损失约 515 万 USDC。
损失金额:$ 5,150,000攻击手法:闪电贷攻击
事件描述:AMM 流动性管理协议 Revert Finance 在推特上披露,其 v3utils 合约被攻击,其中有 90% 资金是从单个账户中盗取,被盗窃资产包括:22983.235188 枚 USDC、4106.316699 枚 USDT、485.5786287699002 枚 OP、0.18217977664322793 枚 WETH、36.59093198260223 枚 DAI、211.21463945524238 枚 WMATIC与 22 枚 Premia。按照目前的价格,约合 2.9 万美元。
损失金额:$ 29,000攻击手法:合约漏洞
事件描述:Baby Doll (BABYDOLL) 项目遭到闪电贷攻击,损失 25 枚 BNB(约 7,900 美元)。BSC 合约地址为 0x449cfecbc8e8469eeda869fca6cccd326ece0c04a1cdd96b23d21f3b599adee2
损失金额:$ 7,900攻击手法:闪电贷攻击
事件描述:黑客利用 Dexible 智能合约代码中的一个漏洞,使用已批准支出的资金从加密钱包中提取资金。该团队补充说,“少数鲸鱼”损失的资金占本次被盗资金总量的 85%。链上数据显示,数字资产投资公司 Block Tower Capital 是受害者之一。被标记为 Block Tower Capital 的地址在本次事件中被盗价值 150 万美元的 TRU 代币。攻击者将 TRU 代币转移到 SushiSwap 兑换为以太币 (ETH),随后转入 TornadoCash。
损失金额:$ 1,500,000攻击手法:Dexible 事件影响
事件描述:稳定币交易项目 Platypus 在 AAVE 上遭遇闪电贷攻击,导致总价值约 900 万美元的资产损失。据分析,漏洞似乎在于 emergencyWithdraw 函数对 MasterPlatypusV4 合约的验证,只有在借入资产超过借入限额时才会失败。然后该函数继续转移所有用户的存款资产,而不考虑用户借入的资产价值。2 月 18 日,据 The Block 报道,Platypus 遭黑客攻击后,在安全公司的帮助下,至少已有 240 万美元资金被追回。
损失金额:$ 9,000,000攻击手法:闪电贷攻击
事件描述:DEX 工具 Dexible 疑似遭遇攻击,损失约 200 万美元。据分析,Dexible 合约 selfSwap 函数存在逻辑漏洞,会调用其中的 fill 函数,该函数存在一个调用攻击者自定义的 data,而攻击者在此 data 中构造了一个 transferfrom 函数,并将其他用户 (0x58f5f0684c381fcfc203d77b2bba468ebb29b098) 的地址和自己的攻击地址 (0x684083f312ac50f538cc4b634d85a2feafaab77a) 传入,导致该用户授权给该合约的代币被攻击者转走。
损失金额:$ 2,000,000攻击手法:合约漏洞
事件描述:Multichain 的 AnyswapV4Router 合约遭遇抢跑攻击,攻击者获利约 87 个以太坊,约 13 万美元。经分析,攻击者利用 MEV 合约 (0xd050) 在正常的交易执行之前(用户授权了 WETH 但是还未进行转账)抢先调用了 AnyswapV4Router 合约的 anySwapOutUnderlyingWithPermit 函数进行签名授权转账,虽然函数利用了代币的 permit 签名校验,但是本次被盗的 WETH 却并没有相关签名校验函数,仅仅触发了一个 fallback 中的 deposit 函数。在后续的函数调用中攻击者就能够无需签名校验直接利用 safeTransferFrom 函数将 _underlying 地址授权给被攻击合约的 WETH 转移到攻击合约之中。
损失金额:$ 130,000攻击手法:抢跑攻击
事件描述:域名注册商 Namecheap 的电子邮件账号遭到黑客攻击,黑客利用将该账号发送钓鱼邮件。根据 BleepingComputer 的报告,网络钓鱼活动起源于 SendGrid,为 Namecheap 用来发送营销邮件和续订通知的电子邮件平台。这些钓鱼邮件假装来自物流供应商 DHL 和加密货币钱包 MetaMask。其中冒充 MetaMask 的电子邮件称收件人的账户已被暂停,需要完成 KYC 验证过程才能重新激活。该电子邮件还包含 Namecheap 营销链接,该链接将用户重定向到一个虚假的 MetaMask 页面,要求用户输入他们的助记词或私钥,寻求窃取收件人的个人信息和加密货币钱包资产。MetaMask 官方回应称,MetaMask 不会收集 KYC 信息,也不会向用户发送有关帐户的电子邮件。
损失金额:-攻击手法:钓鱼攻击
事件描述:网络安全初创公司 Unciphered 对 OneKey 制造的加密硬件钱包实施了攻击。在 YouTube 上的一个视频中,Unciphered 展示了一种所谓的“中间人”钱包攻击方法,它能够利用一个漏洞从 OneKey Mini 硬件钱包中提取助记种子短语,也就是私钥。OneKey 在一份声明中承认了该漏洞,并表示已经更新了安全补丁,没有人受到影响。OneKey 表示已向 Unciphered 公司支付了一笔赏金。
损失金额:-攻击手法:“中间人”攻击
事件描述:BSC 上项目 fcdep(EPMAX) 遭到闪电贷攻击,损失约 35 万美元。
损失金额:$ 350,000攻击手法:闪电贷攻击
事件描述:DeFi 聚合平台 dForce 在 Arbitrum 和 Optimism 遭到攻击,攻击者获利约 365 万美金。据慢雾分析,此次攻击的根本原因在于攻击者利用在 wstETH/ETH Pool 中移除流动性时先转移 Native 代币后燃烧 LP 的流程,触发接收 Native 代币回调来重入操控虚拟价格并清算其他用户获利。2 月 13 日,dForce 发推表示,攻击者已将被盗资金全部返还给 Arbitrum 和 Optimism 上的项目多签地址,所有受影响的用户都将得到补偿。
损失金额:$ 3,650,000攻击手法:价格操纵
事件描述:SushiSwap 的 BentoBoxv1 合约遭受攻击,黑客获利约 2.6 万美元。据分析,该攻击是由于 Kashi Medium Risk ChainLink 价格更新晚于抵押/借贷后。在两笔攻击交易中,攻击者分别 flashloan 了 574,275 和 785,560 个 xSUSHI,在抵押和借贷之后,LINK Oracle 中的 kmxSUSHI/USDT 的价格从下降了 16.9%。通过利用这一价格差距,攻击者可以调用 liquidate() 函数清算从而获得 15,429 和 11,333 个 USDT。
损失金额:$ 26,000攻击手法:价格操纵
事件描述:Arbitrum 上 DeFi 协议 Umami Finance 为机构客户提供收益产品。在 1 月 31 日,他们宣布他们将暂停收益率,声称他们担心监管策略。不久之后,项目 CEO 开始在市场上抛售代币,套现 44,000 个 UMAMI 代币。这些表面上的价格为 800,000 美元,尽管抛售使 UMAMI 价格暴跌了 60% 以上,但 CEO 仍净赚了约 380,000 美元的 USDC。
损失金额:$ 380,000攻击手法:跑路
事件描述:以太坊链上一名为“Nostr”的虚假代币项目已经跑路,其资金已经转移到一个新的 EOA 地址 0xeeB8EB5CC144eDddDB204c3ABA499de6b6081696,最终欺诈者获利 232.1 枚 ETH, 价值约 37 万美元。该代币合约为 0xA2be922174605BAd450775C76CEb632369480336。
损失金额:232.1 ETH攻击手法:跑路
事件描述:LianGoPay 项目于 2 月 7 日宣称其在 BNB Chain 上的 LGTPool 质押合约中的资产被盗,有 6,148,859 个 LGT 奖励币被盗,损失约 160 万美元。据分析,被盗原因是 LGTPool 的 owner 管理员创建了一个伪造的 LP 代币质押池(3 号池),然后盗币者将海量的 LP 代币放进该池进行质押,获取了 614 万枚 LGT 奖励代币。
损失金额:$ 1,600,000攻击手法:利用伪造的 LP 质押池
事件描述:Arbitrum 生态稳定币协议 SperaxUSD 发推称,一攻击者在没有提供相应抵押品的情况下,将其地址的代币余额增加至 97 亿枚,并在 Sperax 团队和 Arbitrum 生态系统合作伙伴联合阻止之前,清算了约 30 万美元。
损失金额:$ 300,000攻击手法:合约漏洞
事件描述:交易所聚合平台 Orion Protocol 遭到重入攻击,损失约 300 万美元资产。攻击者已将部分加密货币转入 Tornado Cash。Orion Protocol 首席执行官 Alexey Koloskov 在推特上表示,在此事件中没有用户遭受任何损失,所有用户的资金都是安全,包括质押、Orion Pool、桥和流动性提供者。处于风险中的资产位于 Orion 团队运营的内部经纪人账户中。这个问题不是核心协议代码的缺陷造成的,而可能是由其实验性和私人经纪人使用的智能合约中混合第三方库的漏洞造成的。
损失金额:$ 3,000,000攻击手法:重入攻击
事件描述:非托管借贷平台 BonqDAO 和加密基础设施平台 AllianceBlock 因 BonqDAO 的智能合约漏洞而被黑客攻击,损失约 1.2 亿美元。其中黑客从 BonqDAO 的一个金库中移除了大约 1.14 亿 WALBT(1100 万美元)、AllianceBlock 的包装原生代币和 9800 万 BEUR 代币(1.08 亿美元)。据慢雾分析,此次攻击的根本原因在于攻击者利用预言机报价所需抵押物的成本远低于攻击获得利润从而通过恶意提交错误的价格操控市场并清算其他用户。此外 AllianceBlock 表示该事件与 BonqDAO 金库无关,没有智能合约被破坏,两个团队都致力于消除流动性,以减轻黑客将被盗代币转换为其他资产的行为。
损失金额:$ 120,000,000攻击手法:价格操纵
事件描述:BSC 上的 BEVO NFT 艺术代币 (BEVO) 被利用,总损失约为 $45,000。根本原因是 BEVO 是通缩代币,攻击者调用函数 deliver(),_rTotal 的值将减少,这会进一步影响用于计算余额的 getRate() 的返回值。攻击者操纵 token 余额后,调用函数 skim 将增加的 PancakePair 余额转入自己的账户。最后,攻击者再次调用函数 deliver() 并将增加的 BEVO 换回 WBNB。
损失金额:$ 45,000攻击手法:奖励机制缺陷
事件描述:据官方消息,NFT 项目 Azuki 证实其推特账户遭黑客攻击,目前团队已经重新控制了账户。黑客在 Azuki 推特账户发布两条推文,提示用户认领虚拟土地,其中一条推文被置顶。Azuki 官方提醒用户警惕该骗局,不要点击任何链接。1 月 29 日,黑客已将被盗资金兑换为总计 618 枚 ETH(一笔 468 ETH,另一笔 150 ETH)并转移到混币器 Tornadao Cash。
损失金额:618 ETH攻击手法:账号被黑