共有 1627 条记录
事件描述:流动性挖矿项目 SushiSwap (SUSHI)社区治理人 0xMaki 在 Discord 群中宣布 SushiSwap 漏洞已修复,损失的资金(约 1 万美元)将从 SUSHI 资产库中支出补偿。此前,SushiSwap 遭到流动性提供者攻击,该攻击者通过一笔交易中获取了 1 至 1.5 万美元,不过此次操作被 0xMaki 发现后,0xMaki 向攻击者发送了一笔交易并附上留言称「我发现你了,我们正在努力修复。在 Discord 上与我联系以获取漏洞赏金- 0xMaki」。据分析,攻击者使用 SLP 和 WETH 创建一个新的代币池,使用新代币池的 SLP1 在Sushi Maker中进行 convert,使用少量的 SLP 将Sushi Maker合约中的所有 SLP 转到自己创建的代币池中,即将对应交易对一段时间内的所有手续费收入囊中。并对其他交易对重复这个过程,持续获利。
损失金额:$ 15,000攻击手法:价格操纵
事件描述:DeFi 智能投顾 Rari Capital 发布官方推特称在 Quantstamp 的协作下已修复合约漏洞,没有资金丢失。此前,由于 RGT Distributor 的合约出现漏洞,已暂停 RGT 代币申领和存提款操作。Rari Capital 目前正在对代码更新进行重新审核,以确认整个代码中没有其他漏洞。
损失金额:-攻击手法:合约漏洞
事件描述:Compound 喂价错误致 9000 万美金资产遭清算。据 DeBank 创始人介绍,此次 Compound 巨额清算是由于预言机信息源 Coinbase Pro 的 DAI 价格剧烈波动导致的,操控预言机所依赖的信息源进行短时间的价格操纵以达成误导链上价格是典型的预言机攻击。
损失金额:-攻击手法:预言机攻击
事件描述:以太坊 DeFi 项目 Pickle Finance 遭受攻击,损失约 2000 万 DAI。据慢雾分析,攻击者通过调用 Controller 合约中的 swapExactJarForJar 函数时,伪造 _fromJar 和 _toJar 的合约地址,通过转入假币而换取合约中的真 DAI,完成了一次攻击的过程。慢雾表示 Pickle Finance 的 Controller 合约中的 swapExactJarForJar 函数允许传入两个任意的 jar 合约地址进行代币的兑换,其中的 _fromJar, _toJar, _fromJarAmount, _toJarMinAmount 都是用户可以控制的变量,攻击者利用这个特性,将 _fromJar 和 _toJar 都填上自己的地址,_fromJarAmount 是攻击者设定的要抽取合约的 DAI 的数量,约 2000 万 DAI。
损失金额:$ 20,000,000攻击手法:假币换真币
事件描述:11 月 18 日,一个攻击者利用漏洞获得了 10 万美元的 MPH 代币。之后,88mph 在 MPH 代币铸造合约 MPHMinter 中发现了一个漏洞,该漏洞能使潜在的攻击者窃取 Uniswap 资金池中的所有 ETH。在知名白帽 samczsun 的帮助下,已将 ETH 提取到治理多重签名中,因此所有资金都是安全的。另外,88mph 表示,由于攻击者把 10 万美元资金放在了 LP 池(流动性资金池)中,资金已被转入治理钱包,并已经决定将这些资金分配给包括 MPH 和 ETH 在内的代币持有人。
损失金额:-攻击手法:合约漏洞
事件描述:去中心化共享经济协议 Origin Protocol (OGN)联合创始人 Matthew Liu 撰文披露美元稳定币 Origin Dollar (OUSD)闪电贷攻击事件细节。截止目前,攻击已造成约 700 万美元损失,其中包括 Origin 及创始人和员工存入的超 100 万美元资金。目前,Origin 正在确定漏洞原因以及是否能够收回资金。Origin 提醒称,「目前已禁用了 vault 存款,请不要在 Uniswap 或 Sushiswap 上购买 OUSD。」
损失金额:$ 7,000,000攻击手法:闪电贷攻击
事件描述:Value DeFi 协议周六遭到了闪电贷攻击。据悉,攻击者从 Aave 协议借了 80000 ETH,执行了一次闪电贷攻击,在 DAI 和 USDC 之间进行套利。攻击者在利用 740 万美元 DAI 后,向 Value DeFi 退还了 200 万美元,保留了 540 万美元。此外,攻击者还给 Value DeFi 团队留下了一条带有嘲讽意味的信息:“你真的懂闪电贷吗?”而 Value DeFi 周五在推特上声称它有防止闪电贷攻击的功能。经查询,该推文目前已不存在。 随后,Value DeFi 团队发推证实其 MultiStables vault 遭到了“一次复杂的攻击,净损失达 600 万美元。
损失金额:$ 6,000,000攻击手法:闪电贷攻击
事件描述:黑客利用波卡生态 Akropolis 项目存在的存储资产校验缺陷,向合约发起连续多次的重入攻击,致使 Akropolis 合约在没有新资产注入的情况下,凭空增发了大量的 pooltokens,进而再利用这些 pooltokens 从 YCurve 和 sUSD 池子中提取 DAI,最终导致项目合约损失了203万枚 DAI。
损失金额:$ 2,030,000攻击手法:重入攻击
事件描述:基于以太坊的去中心化自治数字银行平台 Cheese Bank 因黑客攻击遭受了 330 万美元的损失。黑客通过利用基于自动做市商(AMM)的预言机在 dYdX、Uniswap 等平台上进行了一系列恶意借贷操作,共导致价值超 330 万美元的损失,其中包括 200 万美元的 USDC。
损失金额:$ 3,300,000攻击手法:闪电贷攻击
事件描述:加密货币交易所 Liquid 首席执行官 Mike Kayamori 在官网发布通知说,11 月 13 日交易所发生了一起数据泄漏安全事件。管理一个核心域名的域名托管提供商错误地将该帐户和域名的控制权转移给了一个恶意入侵者,使其可以改变 DNS 记录,进而控制大量的内部电子邮件帐户,并且能够部分破坏交易所的基础设施并获得存储文档的访问权限。在检测到入侵者之后,立即采取行动拦截并遏制了攻击,以防止进一步的入侵行为并减轻客户账户和资产的风险,同时对基础设施进行了全面审查。可以确认客户资金安全,基于 MPC (多方计算协议)的冷钱包是安全的,没有受到破坏。已将有关入侵行为通知了相关监管机构,并将在未来几天内继续进行沟通。攻击者可能已经获得了用户的电子邮件、姓名、地址和密码等数据。目前,Liquid 正在调查攻击者是否访问了提交给 KYC 验证的身份文件和照片,并且将在调查结束后提供更新。Liquid 于 2021 年 1 月 20 日公布最终调查结果。Liquid 表示,包括电子邮件地址,名称,加密密码,API 密钥等 169,782 项用户数据信息已泄漏。其中,可能被非法访问的个人信息是在 2018 年 10 月之前进行 KYC 过程的用户,例如用户身份证,自拍图片,住址证明等本人确认文件 28,639 个。
损失金额:-攻击手法:信息泄露
事件描述:据 FXStreet 报道,社区指责基于 Tron 区块链的 DeFi 项目、JustSwap 白名单项目 SharkTron 的匿名开发者 Daniel Wood 跑路,尽管目前不清楚具体损失,但推特用户报告称损失了 3.66 亿至 4 亿枚 TRX (价值约 1000 万美元)。波场基金会官方发推证实称,已联系币安共同追查被盗资金和相关人员,部分资金已由币安冻结。波场基金会还将与其他交易所合作,以追踪被盗资金。另外,波场基金会建议受害者向当地警察提交报告。
损失金额:$ 10,000,000攻击手法:跑路
事件描述:11 月 9 日消息,名为 “aaron67” 的用户发文讲述其 BSV 被盗经历称,请立即停止使用 ElectrumSV 实现的 multisig accumulator 多签方案。该方案的锁定脚本有严重 bug,以至于其于 11 月 6 号被盗了 600 BSV。事件发生后,该用户已第一时间联系了 ElectrumSV 的作者 Roger Taylor,随后这个严重的 bug 被确认。与此同时,Note.SV 开发者表示,已第一时间做了分析找到了 bug 源头,并且通知了钱包作者和社区用户。
损失金额:600 BSV攻击手法:安全漏洞
事件描述:据报道,Grin 网络最近遭受 51% 攻击。一个未知实体在周六控制了超过 57% 的网络算力。根据 Grin 网站的说法,该团队建议人们等待“关于支付最终性(Finality)的额外确认”。 根据 Grin 网站 11 月 9 日发布的提醒公告,“重要通知:Grin 网络算力在短时间内大幅提高。值得注意的是,这与 Nicehash 速率翻倍的时间相吻合,目前超过 50% 的网络算力在已知池之外。考虑到这些情况,明智的做法是等待对交易的额外确认,以确保支付的最终性。” 据此前报道,11 月 8 日,2Miners 发推表示,Grin Network 正受到 51% 攻击,付款已停止。请自行承担风险,因为新的区块可能会被拒绝。
损失金额:-攻击手法:51% 攻击
事件描述:针对 Ledger 钱包所有者的网络钓鱼和诈骗正在增加,其中一个诈骗网站从受害者处获得了超过 1150000 枚 XRP。这一骗局利用钓鱼邮件将用户引导到一个假冒的 Ledger 网站。在这个假网站上,受害者被诱骗下载了冒充为安全更新的恶意软件,从而导致 Ledger 钱包余额悉数被盗。据社区运营的欺诈识别网站 xrplorer 称,从骗局中获取的 XRP 通过 5 笔存款被发送到 Bittrex,但该交易所“无法及时冻结 XRP”。
损失金额:1,150,000 XRP攻击手法:钓鱼攻击
事件描述:DeFi 借贷平台 PercentFinance 在 11 月 4 日的博客中写道,某些货币市场遇到了可能导致用户资金永久被锁定的问题,该团队冻结了专门针对 USDC、ETH 和 WBTC 的货币市场。目前共冻结了 44.6 万枚 USDC,28 枚 WBTC 和 313 枚 ETH,价值约 100 万美元。文章称, 这些固定资金中有一半属于 PercentFinance 的“社区改进团队”。其他市场的取款已经开始,但是该团队敦促用户不要在此期间从 PercentFinance 的任何市场借钱。据悉,PercentFinance 是 Compound Finance 的分叉。
损失金额:$ 1,000,000攻击手法:未知
事件描述:Cointelegraph 报道称,在 11 月 2 日,一个名为 Axion Network 的项目上线代币 AXN 几个小时后即遭到黑客攻击,790 亿枚 AXN 被铸造并且抛售到市场,代币价格几近归零,黑客获利 1300 枚 ETH,约合 50 万美元。
损失金额:$ 500,000攻击手法:利用 Axion Staking 合约的 unstake 函数设法铸造了约 800 亿个 AXN 代币
事件描述:近日,网络犯罪情报公司 HudsonRock 首席技术官 AlonGal 发推表示,10 月 27 日,自称“以太坊最成熟、规模最大的菠菜游戏 ”EtherCrash“ 冷钱包被盗,损失约 250 万美元,疑似为内部人员所为。据悉, EtherCrash 已在 Discord 发布通知,通知中提到 EtherCrash 冷钱包被盗并且有两笔巨额提款。EtherCrash 表示将会对用户的财产损失进行赔偿,但由于损失较为严重所以需要一段时间。
损失金额:$ 2,500,000攻击手法:钱包被盗
事件描述:链上数据显示,Harvest Finance 资金池中有大量资金被转移,通过多个合约交易成功套现约 2400 万美元(具体为 3380 万美元),其中大部分通过 renBTC 套现提款。此次黑客使用的初始 ETH 来源为以太坊匿名转账平台 Tornado.cash。此次操作的 Hash 为:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。 从以太坊浏览器上可以看到,该黑客向 Harvest Finance 合约(地址: 0xc6028a9fa486f52efd2b95b949ac630d287ce0af)转账 20 枚 WETH,最后又将这 20 枚 ETH 转回了自己的地址。Harvest Finance 更新推特称,像其他套利经济攻击,这一次起源于一笔巨额闪电贷,并多次操纵一个货币乐高(Curve y Pool)的价格,以耗尽另一个货币乐高(fUSDT、fUSDC)的资金。攻击者随后将资金转换为 renBTC 并套现。像其他闪电贷攻击,攻击者没有给出响应时间,连续 7 分钟端到端地进行攻击。攻击者以 USDT 和 USDC 的形式向 Deployer 退回 2478549.94 美元。12 月 7 日,Harvest Finance 官方宣布上线 GRAIN、USDC 和 USDT 索赔门户网站。官方表示,根据此前黑客退还 250 万美元资金,这将用户损失减少到 13.5%。官方正在通过 USDC、USDT 和 GRAIN 代币进行混合赔偿的方式,帮助此前受攻击事件影响的用户进行索赔。用户将根据其存款按比例获得 GRAIN 代币,以及按比例分配黑客退回的 250 万美元。
损失金额:$ 21,500,000攻击手法:闪电贷攻击
事件描述:ZDNet 一项调查显示,黑客通过引诱用户安装假软件更新,从比特币钱包 Electrum 的用户那里窃取了 2200 万美元。而该手法最高出现在 2018 年。而自两年前首次发现这种攻击以来,Electrum 团队已经采取了一些措施来防止这种攻击。但这种攻击仍然适用于使用旧版本应用程序的用户。
损失金额:$ 22,000,000攻击手法:假软件更新
事件描述:近日有用户访问 Curve 交易所网站时遭受钓鱼攻击,损失 20 枚比特币。据悉,诈骗团伙利用谷歌广告系统购买谷歌搜索广告,伪装成 Curve 交易所进行诈骗广告投放。由于 google 新广告计划,广告通常会显示在搜索第一名,因此造成不少用户上当受骗。
损失金额:20 BTC攻击手法:钓鱼攻击