共有 1534 条记录
事件描述:NFT 市场 OpenSea 的一个漏洞导致至少 42 个 NFT 被发送至一个销毁地址,价值至少 10 万美元。这个问题首先是由以太坊域名服务(ENS)的首席开发者 Nick Johnson 提出的,他指出,当他转移一个 ENS 域名(以 NFT 的形式)时,它被转移到了一个销毁地址。这意味着它被意外地发送到一个无人控制的地址,不能再移动了。关于被销毁的 ENS 域名,Johnson 称,这是第一个注册的 ENS 域名,名为 rilxxlir.eth,当 Johnson 用个人资金注册时它是由一个 ENS 账户持有的。为了把 ENS 域名转到他自己的账户上,他去 OpenSea 进行转移操作,但却发现它被错误地发送到一个销毁地址。 由于 Johnson 仍然是该 ENS 域名的控制人,他仍然能够修改,只是无法移动该域名。随后,Johnson 收到了其他受到类似影响的人的进一步报告,并汇总了一份包含 32 笔受影响交易的清单,涉及 42 个 NFT。大多数 NFT 采用 ERC-721 标准,但也有少数采用 ERC-1155。他查看了每个 NFT 的地板价,合计约为 10 万美元。Johnson 声称 OpenSea 现在已经修复了这个漏洞。
损失金额:$ 100,000攻击手法:合约漏洞
事件描述:推特网友 “mhonkasalo” 表示,dYdX 质押合约存在 bug,用户质押时收到 0 枚 stkDYDX,前端已禁用,共有 64 个受影响的地址。后 dYdX 发布“质押合约 bug”事故报告,dYdX 安全模块在可升级智能合约部署过程中,出现了一个错误,导致 DYDX 兑换 stkDYDX 比率从 1 变为 0,使得质押 DYDX 的用户没有收到 stkDYDX。dYdX 表示,错误是由于智能合约部署过程中出现错误导致的,其认为代码本身没有任何错误,安全模块之前接受了智能合约审计,并且基于流动性模块设计,该设计也经过审计。安全模块在部署前经过全面测试。 目前,用户资金安全的锁定在安全模块中,直至 28 天的 epoch 结束,没有分发安全模块奖励也无法提款。为了恢复合约功能,需要进行升级,建议解决方案为恢复安全模块功能、允许质押用户取回资金、补偿用户因参加安全模块错误的奖励。
损失金额:-攻击手法:合约部署错误
事件描述:Ethereum Classic (ETC)发推称,因以太坊客户端 Geth 此前漏洞导致 ETC 主网遭遇分叉,目前大部分算力在主网上,Core-geth 节点运营商应尽快更新到 v1.12.1 以上版本。
损失金额:-攻击手法:以太坊客户端 Geth 漏洞
事件描述:DAO Maker 的 Vesting 合约遭到黑客攻击。DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)都使用了 Dao Maker 的分发系统,在 DAO Maker 中进行持有者发行(SHO)时因 DAO Maker 合约被攻击,即 SHO 参与者的分发系统中出现了一个漏洞:init 未初始化保护,攻击者初始化了 init 的关键参数,同时变更了 owner,然后通过 emergencyExit 将目标代币盗走,并兑换成了 DAI,攻击者最终获利近 400 万美元。
损失金额:$ 4,000,000攻击手法:合约漏洞
事件描述:某用户在推特上宣称自己误入了一个 NFT 拍卖骗局,被某个艺术网站卷走了价值 33.6 万美元的以太坊。然而故事的发展有些出人意料,因为对方竟然将 100 ETH 悉数奉还。本次骗局,受害者自述始于其从 Discord 上的某个人口中打探到了周一的 NFT 拍卖,而后他以为自己有幸中标了网站上的首个 NFT,并为此付出了 100 ETH(约 33.6 万美元)。然而据 BBC 周二报道,一位黑客利用了艺术家 Banksy 网站的一个安全漏洞,并设置了一个网页(banksy.co.uk/NFT)来兜售所谓的非同质代币(NFT)。最后虽然黑客退回了款项,但该用户还是损失了 5000 美元的交易费用。
损失金额:$ 5,000攻击手法:钓鱼攻击
事件描述:Fantom 生态与 FTM 挂钩的算法稳定币项目 Tomb Finance 代币 TOMB 昨日最大跌幅一度达到 77%,并被社区怀疑遭到攻击,对此,Tomb Finance 表示,其用来在卖出 TOMB 时征收服务费的机制 Gatekeeper 被第三方利用,从而导致恐慌性抛售,但项目未遭到攻击,也没有资金被盗。
损失金额:-攻击手法:服务费征收机制缺陷
事件描述:OpenZeppelin 发布错误漏洞修复分析,Whitehat Zb3 于 2021 年 8 月 21 日在 OpenZeppelin 的 TimelockController 合约中提交了一个严重的可重入漏洞,该漏洞影响了 Immunefi 漏洞赏金平台上托管的一个项目。该项目选择保持匿名,已向白帽子支付了一笔未公开的金额(包括匿名奖金),OpenZeppelin向白帽子支付了 25,000 美元的奖金,以表彰他们对社区安全的贡献,并发布了补丁。 据其所知,这是 OpenZeppelin 在其开源智能合约库中唯一存在的严重漏洞。该漏洞已在受影响的项目中进行了修补,OpenZeppelin 已发布了修复该漏洞的更新合约版本。所有使用 TimelockController 的项目都应该迁移。
损失金额:-攻击手法:合约漏洞
事件描述:抵押借贷平台 Cream Finance 出现闪电贷攻击,其在发布的闪电贷攻击事后分析报告中表示,漏洞导致 AMP 代币和 ETH (价值约合 1900 万美元)被盗,并承诺将所有协议费用的 20% 用于偿还,直至全部偿还。此次安全事件有一个主要的漏洞攻击者和一个模仿者。10 月 4 日,据 Cointelegraph 报道,DeFi 安全机构 Lossless 已协助收回被盗的 5152.6 枚 ETH,价值近 1670 万美元。
损失金额:$ 2,300,000攻击手法:闪电贷攻击
事件描述:Bilaxy(币系)交易所发推称,热钱包被黑客攻击,损失约 296 个代币(包括 ETH)。
损失金额:$ 21,709,378攻击手法:钱包被盗
事件描述:遭遇闪电贷攻击的 DeFi 质押和流动性策略平台 xToken 发布 xSNX 合约漏洞事件分析报告。UTC 时间 8 月 29 日4:43,xSNX 合约中一个漏洞被利用,估计持有人的损失为 450 万美元。 xToken 认为此时最好是停止提供 xSNX 产品。xToken 表示,将不再使用 xSNX 合约进行 SNX 质押。
损失金额:$ 4,500,000攻击手法:闪电贷攻击
事件描述:波卡生态 DeFi 收益聚合器 Dot.Finance 遭受闪电贷攻击。Dot.Finance 的代币 PINK 短时急跌 35%,从 0.77 USD 跌至约 0.5 USD。攻击者获利 900.89 BNB(合计约 $429,724)。
损失金额:$429,724攻击手法:闪电贷攻击
事件描述:今年 5 月 SEC 对 5 名涉嫌推广 BitConnect 的人提起诉讼。SEC 认为 BitConnect 是一种未注册的数字资产证券产品,该计划通过发起人网络从散户投资者那里筹集了超过 20 亿美元。BitConnect 是在 2017 年推出具备庞氏骗局特征的一项加密货币投资计划,其代币 BCC 是当时价值最高 20 种加密货币之一,市值超过 26 亿美元。9 月份,BitConnect 创始人 Glenn Arcaro 承认参与诈骗计划,该计划涉嫌金额达 20 亿美元。
损失金额:$ 2,000,000,000攻击手法:骗局
事件描述:Cosmos 生态 dVPN 项目 Sentinel 在推特表示,因 HitBTC 交易所泄漏了助记词,导致 4000 万美元的 DVPN 代币被盗。Sentinel 表示,用户自己的 DVPN 是安全的,而出现问题的是 HitBTC,他们在事发一个小时后向 Sentinel 报告了此次黑客事件。所以 Sentinel 希望 HitBTC 采取行动,向用户退还 DVPN。HitBTC 回应称 Sentinel 在试图推卸其技术缺陷的责任并欺骗大家。HitBTC 认为,Sentinel 的技术存在漏洞,很容易使用户助记词被公开披露,在 Sentinel 网络中这种漏洞很常见,而且该区块链和软件没有经过彻底的测试,该公司也未投入足够的时间和资源来保障用户。所以 HitBTC 建议 Sentinel 修复软件中的安全漏洞,进行更多测试,并且重新启动目前的中心化系统。
损失金额:$ 40,000,000攻击手法:HitBTC 事件影响
事件描述:俄罗斯最大的加密货币骗局之一的创始人已入狱,罪名是涉嫌从其投资者那里骗取 1 亿美元。Finiko 于 2019 年在喀山市成立,并冒充一家合法的 BTC 投资公司。2020 年 12 月,Finiko 发布了其原生数字货币 FNK。根据当地报道,创始人将从投资者那里拿走 BTC 并奖励他们 FNK 代币。
损失金额:$ 100,000,000攻击手法:骗局
事件描述:Solana 链经历了它的第一次地毯式拉动。Luna Yield ($LUNY) 是一个通过 Solana 启动板“SolPad”推出的收益聚合器,已经消失了,价值约 670 万美元的各种数字货币。Luna Yield 将自己宣传为一个合法项目,可以为其用户聚合和优化产量农业;它甚至得到了著名的基于 Solana 的项目启动板“SolPad”的支持,该启动板使提交“合格文件”的项目能够通过其基于 Solana 的去中心化平台上的初始 DEX 产品(IDO)筹集资金。尽管 Luna Yield 提交了“合格文件”,但它对投资者的态度却是冷淡。在 8 月 16 日筹款之前,Luna Yield 看起来是合法的。在其 IDO 三天后,Luna Yield 将其筹集的资金发送给了混合服务 Tornado Cash 以使其无法被追踪,然后它关闭了其网站以及所有社交媒体账户——没有人能够联系 Luna Yield 团队。
损失金额:$ 6,700,000攻击手法:跑路
事件描述:总部位于日本的加密货币交易所 Liquid 称其热钱包遭到攻击,正在将资产转移到冷钱包中,目前正在进行调查,另外已暂停了存取款服务。
损失金额:$ 91,350,000攻击手法:钱包被盗
事件描述:Pinecone 在 2021 年 8 月 18 日 09::00 UTC 上线了协议代币 PCT 的质押池,之后在 11:41:19 AM UTC 时间遭到攻击。Pinecone PCT 质押池上线时在前端做了处理,限制了非法操作,但黑客在攻击时绕过前端页面,直接通过普通账户调用智能合约, deposit 了大于本身账户余额数量的 PCT 代币,PCT 池子错误的记录了用户 deposit 数量,在 withdraw 时,可以提取更多的 PCT token。项目方发现币价大幅跳水后,第一时间终止了智能合约调用,目前损失的 PCT 数量 :353 万枚左右。
损失金额:3,530,000 PCT攻击手法:兼容性问题
事件描述:Solana 生态借贷协议 Solend 发推称,协议于北京时间 8 月 19 日 20:40 遭到黑客攻击,攻击者破解了 UpdateReserveConfig 函数中对不安全身份的检查,使得其可以清算所有账户。此外,黑客还将借入资金的 APY 设置为了 250%。此期间,有 5 名用户的资金被误清算,目前清算人正在退还这 5 名用户总计 1.6 万美元的损失。Solend 表示,本次攻击没有造成资金被盗的情况,之后将提高漏洞赏金的规模并建立更好的监控和报警系统。
损失金额:$ 16,000攻击手法:合约漏洞
事件描述:8 月 17 日,BSC 上 DeFi 项目 XSURGE 遭遇闪电贷攻击。当地时间 8 月 16 日,XSURGE 官方在遭攻击前曾发布了关于 SurgeBNB 漏洞的声明,由于 SurgeBNB 合约不可更改且已被放弃,因此无法修补该漏洞。 XSURGE 称没有透露任何关于此漏洞性质的具体细节,但强烈建议用户尽快迁移出 SurgereBnb,该漏洞随时可能被攻击者触发。在声明发布后,XSURGE 随后便遭遇攻击,攻击者在 SurgeBNB 中窃取了 500 万美元。
损失金额:$ 5,000,000攻击手法:闪电贷攻击
事件描述:NEAR 生态去中心化交易所 Ref.Finance 团队发推称,UTC 时间 8 月 14 日下午 2 点左右,Ref 团队注意到 REF-NEAR 交易对的异常行为,随即发现最近所部署合约的修补程序中的一个错误,且该错误已被多个用户利用,致使约 100 万枚 REF 和 58 万枚 NEAR 受到影响。
损失金额:$ 3,202,539攻击手法:修补程序错误