共有 1530 条记录
事件描述:根据 Coinbase 向加利福尼亚州检察长办公室提交给受影响客户的一封通知函,允许黑客绕过 Coinbase 的多因素身份验证 SMS 选项的漏洞已经影响了 Coinbase 至少 6000 名用户,在 2021 年 3 月至 5 月 20 日期间,黑客利用该漏掉访问受影响用户账户并将用户资金从 Coinbase 转出。Coinbase 在得知此问题后,立即更新了其 SMS 账户恢复协议以防止黑客进一步绕过该身份验证过程。另外,Coinbase 将向受影响用户账户存入同等价值的资金。Coinbase 还一直与执法部门密切合作,并正在对此事件进行内部调查。
损失金额:-攻击手法:安全机制问题
事件描述:出勤证明徽章协议 POAP 表示,其铸币系统在 9 月 29 日遭到黑客攻击,XCOPY 和 Polygonal Mind 的几个 POAP 被欺诈性发行和出售。POAP 应艺术家要求已烧毁相关 NFT。
损失金额:-攻击手法:铸币攻击
事件描述:Solana 上的 NFT 项目 Iconics 被指控为“Rug pull”,Iconics 背后的 17 岁艺术家在消失前赚了大约 14 万美元,项目开发人员还删除了 Iconics 的 Twitter 帐户并禁用了 Discord 频道聊天。
损失金额:$ 140,000攻击手法:跑路
事件描述:去中心化借贷协议 Compound 通过推特确认,在执行 062 号提案后,该协议的流动性挖矿出现 COMP 代币分发异常情况,Compound Labs 和社区成员正在进行调查 。Compound 表示,存款和借款资金目前未发现存在风险。Compound 创始人 Robert Leshner 表示,出现的问题看起来是根据 062 号提案进行 COMP 代币分发的速率初始设定出错,导致过多(too much) COMP 代币被分发;但是,修改相应代码必须通过治理,最少需要 7 天。
损失金额:$ 80,000,000攻击手法:合约漏洞
事件描述:非托管交易所 DeversiFi 针对此前包含 7676.62 ETH 的 Gas 费用的交易发布事后分析报告称,EthereumJS 库中的潜在问题在某些情况下与 EIP-1559 升级相关的 Gas 费用变化结合,以及 Ledger 硬件钱包可能存在的显示问题,可能导致交易费用极高,当发生这种情况时,只有资金量非常大的钱包才会受到影响,其他用户在交易时则会显示交易失败。另外,Bitfinex 在与矿工协商后,矿工已归还 7626 枚 ETH,剩余 50 ETH 提供给矿工作为退款费用。此前报道,Bitfinex 交易所的一个主要钱包以总计 7676.62 ETH (约合 2354 万美元)的 Gas 费用进行了一笔 10 万美元 USDT 的转账,最终的接收方为 2019 年从 Bitfinex 分拆出来的非托管交易所 DeversiFi。
损失金额:50.62 ETH攻击手法:处理固定精度和扩展数值范围的库存在缺陷
事件描述:Bitcoin.org 网站出现回馈社区的活动,疑似网站被黑。网站主页显示一比特币地址,并说明任何向此地址付款的前 1 万名用户都将收到双倍金额作为回报。Bitcoin.org 网站共同所有者 Cobra 发推称:Bitcoin.org 遭到黑客攻击,正在调查黑客如何在网站上设置诈骗模式,预计会暂停运营几天。据报道,攻击者窃取了 1.7 万多美元。
损失金额:$ 17,000攻击手法:恶意代码注入攻击
事件描述:跨链协议 pNetwork 针对此前攻击事件致 277 枚 BTC 被盗发布分析报告称,UTC 时间 2021 年 9 月 19 日 17:20,pNetwork 系统遭到黑客攻击,该黑客对多个 pToken 网桥进行了攻击,包括 pBTC-on-BSC、TLOS-on-BSC、PNT-on-BSC、pBTC-on-ETH、TLOS-on-ETH 和 pSAFEMOON-on-ETH,不过,黑客仅在 pBTC-on-BSC 跨链桥上攻击成功,并从 pBTC-on-BSC 抵押品中窃取了 277 枚 BTC,其他 pToken 网桥不受影响且资金安全。
损失金额:277 BTC攻击手法:合约漏洞
事件描述:据官方消息,借贷协议 Vee.Finance 官方发布有关攻击事件的说明,内容如下:9 月 20 日,Vee.Finance 团队注意到多次异常转账,经过进一步监控,共有 8804.7 ETH 和 213.93 BTC被盗(总价值超 3500 万美元)。攻击者地址为:0xeeeE458C3a5eaAfcFd68681D405FB55Ef80595BA。 经调查,疑似攻击者系通过上述地址发起攻击,并已获取该地址的被盗资产。为确保更多用户资产安全,团队已暂停平台合约,并已暂停存取款功能。稳定币部分不受此次攻击影响。
损失金额:$ 35,000,000攻击手法:合约漏洞
事件描述:SushiSwap Launchpad 平台 MISO 上 Jay Pegs Auto Mart 项目的 DONA 代币拍卖遭到攻击,攻击者向 MISO 前端插入了恶意代码,将拍卖钱包地址改为了自己的钱包地址,损失目前已达 865 ETH (约 307 万美元)。SushiSwap 首席技术官 Joseph Delong 在推特表示该漏洞已被修复,且已要求 FTX 和币安提供攻击者的 KYC 信息,但两家交易所均拒绝配合。此外,Joseph Delong 还表示已经通过律师向 FBI 报案,并提醒项目方检查是否存在类似的前端漏洞。后据以太坊区块浏览器 Etherscan 显示,攻击者向 SushiSwap 归还了全部 ETH ,该操作分为两笔交易,第一笔归还 100 ETH,第二笔归还 700 ETH,第三笔归还 65 ETH。
损失金额:-攻击手法:恶意代码注入攻击
事件描述:Defibox 于 9 月 16日 晚 22 时发现 EOS-EMOON 交易对异常兑换情况,经过紧急排查,于 9 月 17 日 0 时暂停 Swap 合约,并于 9 月 17 日上午在完成审计以及多签后重新开放 Swap 合约。本次兑换异常是由于 Defibox Swap 合约和 EMOON 合约互相调用的不兼容性导致,事件发生前底池数为 482636464535179.88 EMOON/4866.1494 EOS,合约暂停时 EMOON 底池为 5790970803030.11 EMOON/3.4553EOS,造成约 4863 EOS 损失。目前 Defibox 团队已排除其他燃烧型代币会引起的此类型风险,并已升级 Swap 合约,进一步提高合约的安全性。Defibox 基金会将启动风险准备金,赔付 4863 EOS 给 EMOON 社区。
损失金额:4,863 EOS攻击手法:兼容性问题
事件描述:隐私公链 Secret Network 在推特表示,主网已经进行了一次计划外升级,将主网版本从 secret-2 升级为 secret-3,以防止网络出现重大安全问题而导致资金损失。团队表示,原生代币 SCRT 和跨链桥合约都没有受到影响,只有一个单一的智能合约受到了影响,该合约来自于 SecretSwap,有一个漏洞被利用了,使攻击者可以抽走质押 SEFI 合约中的资金。目前跨链桥仍处于关闭状态,交易所的存款功能也处于关闭状态。
损失金额:-攻击手法:合约漏洞
事件描述:以太坊上的去中心化交易所 Nowswap 遭到闪电贷攻击,攻击者掏空了 Nowswap 的流动资金池,流动资金池规模从 1,069,197 美元缩至 24.15 美元,攻击者获利 53.6 万 USDT 和 158 WETH,合计 100 多万美元。攻击者利用 Nowswap USDT/WETH 交易对合约中的 K 值验证漏洞,进行多次兑换,每次兑换获得正常应得兑出资产的多倍,直至将交易对池子中的资产薅光。
损失金额:$ 1,000,000攻击手法:K 值验证漏洞
事件描述:以太坊扩容网络 Arbitrum One 发布针对网络故障的报告。从美东时间 9 月 14 日 10:14 开始,Arbitrum One 停机持续 45 分钟,期间 Arbitrum Sequencer(定序器)处于离线状态,资金从未面临风险。停机的根本原因是一个 Bug,导致 Sequencer 在短时间内收到大量交易时卡住,Arbitrum 团队已经定位到该问题并已部署修复程序。团队还表示,就算 Sequencer 故障,也不会影响该网络的持续运行,用户可以绕开 Sequencer,将交易直接提交到以太坊。
损失金额:-攻击手法:安全漏洞
事件描述:公链 Solana 的主网 Beta 版自北京时间昨夜 19:52 开始出现不稳定状况,至今已达 12 小时,Solana 链上应用至今无法正常运转。Solana Status 发布的信息称,Solana 验证人社区选择协同重启网络,快照高度为 slot 96542804。Solana Status 建议验证节点更新至 Mainnet-Beta 1.6.24 版本。9 月 21 日消息,Solana 官方发布 9 月 14 日网络中断初步概述,据悉,9 月 14 日,Solana 网络离线 17 个小时。没有资金损失,网络在 24 小时内恢复了全部功能。网络停滞的原因是拒绝服务攻击。UTC 时间 12:00,Grape Protocol 在 Raydium 上启动 IDO,机器人生成的交易使网络拥堵。这些交易造成了内存溢出,导致许多验证节点崩溃,迫使网络变慢并最终停止。当验证节点网络无法就区块链的当前状态达成一致时,网络就会脱机,从而阻止网络确认新区块。
损失金额:-攻击手法:DDoS 攻击
事件描述:Klondike Finance 遭到黑客攻击,总损失大约 35,281.71 KXUSD(6.5629 WETH)。
损失金额:35,281.71 KXUSD攻击手法:闪电贷攻击
事件描述:Avalanche 链上 Zabu Finance 项目遭受闪电贷攻击。官方表示,攻击者从 Zabu Farm Contract 提取 45 亿个 ZABU 代币,使供应达到 50 亿,并将全部倾销给 ZABU 的 Pangolin LPs 和 Trader Joe LPs。根据 DeFi 分析提供商 DeFiprime 的说法,总额估计为 320 万美元的漏洞利用。
损失金额:$ 3,200,000攻击手法:合约漏洞
事件描述:NFT 市场 OpenSea 的一个漏洞导致至少 42 个 NFT 被发送至一个销毁地址,价值至少 10 万美元。这个问题首先是由以太坊域名服务(ENS)的首席开发者 Nick Johnson 提出的,他指出,当他转移一个 ENS 域名(以 NFT 的形式)时,它被转移到了一个销毁地址。这意味着它被意外地发送到一个无人控制的地址,不能再移动了。关于被销毁的 ENS 域名,Johnson 称,这是第一个注册的 ENS 域名,名为 rilxxlir.eth,当 Johnson 用个人资金注册时它是由一个 ENS 账户持有的。为了把 ENS 域名转到他自己的账户上,他去 OpenSea 进行转移操作,但却发现它被错误地发送到一个销毁地址。 由于 Johnson 仍然是该 ENS 域名的控制人,他仍然能够修改,只是无法移动该域名。随后,Johnson 收到了其他受到类似影响的人的进一步报告,并汇总了一份包含 32 笔受影响交易的清单,涉及 42 个 NFT。大多数 NFT 采用 ERC-721 标准,但也有少数采用 ERC-1155。他查看了每个 NFT 的地板价,合计约为 10 万美元。Johnson 声称 OpenSea 现在已经修复了这个漏洞。
损失金额:$ 100,000攻击手法:合约漏洞
事件描述:推特网友 “mhonkasalo” 表示,dYdX 质押合约存在 bug,用户质押时收到 0 枚 stkDYDX,前端已禁用,共有 64 个受影响的地址。后 dYdX 发布“质押合约 bug”事故报告,dYdX 安全模块在可升级智能合约部署过程中,出现了一个错误,导致 DYDX 兑换 stkDYDX 比率从 1 变为 0,使得质押 DYDX 的用户没有收到 stkDYDX。dYdX 表示,错误是由于智能合约部署过程中出现错误导致的,其认为代码本身没有任何错误,安全模块之前接受了智能合约审计,并且基于流动性模块设计,该设计也经过审计。安全模块在部署前经过全面测试。 目前,用户资金安全的锁定在安全模块中,直至 28 天的 epoch 结束,没有分发安全模块奖励也无法提款。为了恢复合约功能,需要进行升级,建议解决方案为恢复安全模块功能、允许质押用户取回资金、补偿用户因参加安全模块错误的奖励。
损失金额:-攻击手法:合约部署错误
事件描述:Ethereum Classic (ETC)发推称,因以太坊客户端 Geth 此前漏洞导致 ETC 主网遭遇分叉,目前大部分算力在主网上,Core-geth 节点运营商应尽快更新到 v1.12.1 以上版本。
损失金额:-攻击手法:以太坊客户端 Geth 漏洞
事件描述:DAO Maker 的 Vesting 合约遭到黑客攻击。DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)都使用了 Dao Maker 的分发系统,在 DAO Maker 中进行持有者发行(SHO)时因 DAO Maker 合约被攻击,即 SHO 参与者的分发系统中出现了一个漏洞:init 未初始化保护,攻击者初始化了 init 的关键参数,同时变更了 owner,然后通过 emergencyExit 将目标代币盗走,并兑换成了 DAI,攻击者最终获利近 400 万美元。
损失金额:$ 4,000,000攻击手法:合约漏洞