共有 60 条记录
事件描述:Aurellion Labs 的 Diamond Proxy 合约(EIP-2535 标准)因 SafeOwnable Facet 中的 initialize(address) 函数未正确保护(未标记为已初始化,_initialized 槽仍为 0),尽管已设置 owner 但初始化检查失败。攻击者调用 initialize() 成为新 owner,随后通过 diamondCut 注入恶意 Facet(包含 pullERC20 等函数),利用用户历史 USDC 授权(approve)从多个钱包拉取资金。项目方确认事件后暂停运营,承诺补偿受影响用户,并建议撤销旧授权。
损失金额:$ 455,003攻击手法:合约漏洞
事件描述:Renegade 协议的遗留 V1 版本在 Arbitrum 上的 Dark Pool 代理合约遭受攻击。攻击者利用一个未受保护的初始化函数(unprotected initializer),结合 2025 年 4 月一次迁移导致的版本计数器不同步问题,通过注入恶意逻辑并使用 delegatecall,在代理合约的存储中执行权限操作,从合约中提取了约 20.9 万美元的 27 种 ERC-20 代币。攻击者随后以白帽身份与项目方链上协商,项目方提出“归还 90% 资金、保留 10% 作为白帽赏金、不采取法律行动”的方案。白帽黑客在 45 分钟内归还约 19 万美元,所有受影响用户将获得全额补偿。项目方确认问题仅限于 V1 Arbitrum 部署,已暂停相关基础设施,其他部署安全无风险。
损失金额:$ 209,000攻击手法:合约漏洞
事件描述:攻击者利用 Misconfigured Oracle Exploit(配置错误的预言机漏洞) 和协议逻辑问题(Protocol Logic),针对 Arbitrum 上的 Silo V2 合约发起攻击。具体涉及预言机价格操纵或相关配置缺陷,导致资金被抽取。 这是 Silo Finance V2 的一个较小规模事件,核心协议的用户资金影响有限(类似其他事件中常为测试/外围合约受影响)。攻击后资金通过混币器或跨链桥等进行混淆。Silo Finance 是已审计的协议,但新特性或配置仍可能引入风险。
损失金额:$ 392,000攻击手法:预言机攻击
事件描述:Arbitrum 在 X 平台发布安全警报,Arbitrum Governance(@arbitrumdao_gov)的官方X账号已被盗用。请勿点击该账户发布的任何链接或与其互动,团队正在努力恢复账户访问权限,后续将发布更新信息。
损失金额:-攻击手法:账号被黑
事件描述:Aperture Finance 在 X 平台发文称,已察觉到影响 Aperture V3/V4 合约的漏洞利用事件。为防止出现新的授权,已在前端应用中停止了核心功能,正与安全合作伙伴共同调查事件的根本原因。此前,Aperture Finance 遭遇攻击,损失约 367 万美元。2 月 5 日,据 PeckShield 监测,Aperture Finance 攻击者标记地址已将 1242.7 枚ETH(约合 240 万美元)存入隐私协议 Tornado Cash。
损失金额:$ 3,670,000攻击手法:合约漏洞
事件描述:部署于 Arbitrum 上的 FutureSwap 协议在四天前遭首次攻击后,再次被黑客利用重入漏洞攻击,损失约 7.4 万美元。攻击者先在 3 天前通过重入函数 0x5308fcb1 超额铸造 LP 代币,待冷却期结束后赎回超额抵押资产实现获利。
损失金额:$ 74,000攻击手法:重入攻击
事件描述:Fusion 发布安全更新称,其 IPOR USDC Fusion Optimizer 中的 Arbitrum Vault 存在漏洞。IPOR 团队于 1 月 6 日 接到通报并确认,该漏洞已导致约 33.6 万美元的 USDC 损失。此次漏洞利用仅影响 一个特定的旧版 Fusion Vault,由于该 Vault 具有独特配置,这是唯一一个容易受到该攻击路径影响的资金池。据慢雾(SlowMist) 进一步分析,事件的根本原因在于:项目团队通过 EIP‑7702 控制的 EOA 账户 所委托的基础合约存在安全缺陷,该缺陷允许任意外部调用。攻击者正是利用这一问题,创建并配置了针对 Plasma Vault 的恶意熔断合约,从而实现对资金的非法提取。官方表示,本次损失金额仅占 Fusion 所担保资金总额的不足 1%。目前,团队正与 Security Alliance 合作,持续追踪资金流向并尝试追回资产。IPOR DAO 将从财库中弥补资金缺口,所有受影响的存款人均可获得全额补偿。此外,据 CertiK 监测,Fusion 被盗资金中约 267,000 美元 已被跨链转移至以太坊网络,并进一步流入 Tornado Cash。1 月 7 日,IPOR 团队发推表示资金已追回 ,并已与白帽方达成 10% 的赏金协议,由 IPOR DAO 承担。本次事件已作为一次善意的白帽安全事件圆满结束。
损失金额:$ 336,000攻击手法:合约漏洞
事件描述:据 CertiK Alert 监测,其已检测到 Arbitrum 上与 TMX 相关合约存在约 140 万美元漏洞。在漏洞利用循环中,攻击者铸造并质押 TMX LP 代币(使用 USDT),然后将 USDT 兑换成 USDG,解除质押,并卖出更多 USDG。
损失金额:$ 1,400,000攻击手法:合约漏洞
事件描述:Arbitrum (ARB) 上检测到多笔涉及代理合约的可疑交易,预计造成约 150 万美元损失。初步分析表明,USDGambit 和 TLP 项目的单一部署者可能已失去对其账户的访问权限。随后,攻击者部署了一个新合约,并更新了代理管理员(ProxyAdmin) 权限以获取控制权。被盗资金随后被桥接至 ETH 网络,并存入 Tornado Cash。
损失金额:$ 1,500,000攻击手法:权限管理漏洞
事件描述:据慢雾 MistEye 安全监控系统监测,发现与 @futureswapx 相关的潜在可疑活动。经分析,事件根源在于攻击者创建恶意提案,并利用闪电贷进行投票,最终使攻击合约获得权限,从而转移其他用户的代币。
损失金额:$830,000攻击手法:治理攻击
事件描述:据 BlockSec Phalcon 警报,Sharwa.Finance 已披露其遭遇攻击,随后暂停运行。然而,数小时后又发生了多笔可疑交易,攻击者可能通过略有不同的攻击路径,利用了同一底层漏洞。总体而言,攻击者首先创建一个保证金账户,然后利用提供的抵押品通过杠杆借贷借入更多资产,最后针对涉及所借资产的兑换操作发起“三明治攻击”。根本原因似乎是 MarginTrading 合约的 swap() 函数中缺少破产检查,该函数用于将所借资产从一种代币(如 WBTC)兑换为另一种代币(如 USDC)。该函数仅在资产兑换执行前,根据兑换开始时的账户状态来验证偿付能力,这就为操作过程留下了被操纵的空间。攻击者1(0xd356 开头)实施了多次攻击,获利约 6.1 万美元。攻击者2(0xaa24 开头)实施了一次攻击,获利约 8.5 万美元。
损失金额:$ 146,000攻击手法:合约漏洞
事件描述:AI 驱动的 Web3 社交平台 UXLINK 相关资产遭遇攻击,造成超过 1100 万美元损失。调查显示,攻击者在事件发生前经过数月准备,通过伪装成商务合作伙伴并使用深度伪造视频会议等社会工程手段,成功入侵多名 SAFE 授权密钥持有者的个人设备,获取密码、私钥等敏感信息。在取得旧版 arb-UXLINK 智能合约控制权限后,攻击者对代币进行未授权增发并完成转移与出售。UXLINK 首席执行官 RollandSaf 表示,通过与交易所的即时沟通,已追回数百万美元,这些资金全部用于回购,以支持社区发展。另一方面,已对签名设备、内部流程和系统进行了重大安全升级,以防止此类事件再次发生。
损失金额:$ 11,000,000攻击手法:社会工程
事件描述:Arbiturm 生态模块化交易平台 Kinto 联合创始人 Ramon Recuero 针对攻击事件发推表示,昨日黑客利用在 Arb 上铸造无限量 K 代币的漏洞,铸造了 110,000 枚 K 并开始攻击,以耗尽 Morpho Vault 和 Uniswap v4 池。最终损失约 155 万美元 ETH 和 USDC,并造成 K 代币价格波动。
损失金额:$ 1,550,000攻击手法:合约漏洞
事件描述:7 月 9 日,据慢雾 MistEye 安全监控系统监测,知名去中心化交易平台 GMX (@GMX_IO) 遭攻击,损失价值超 4200 万美元的资产。据分析,本次攻击的核心在于攻击者利用了 Keeper 系统执行订单时会启用杠杆,以及做空时会更新全局平均价格而平空却不会更新的这两个特性,通过重入攻击创建大额空头头寸,操控了全局空头平均价格和全局空头仓位规模的值,从而直接放大了 GLP 价格来赎回获利。经协商,攻击者返还所有被盗资金,并得到 500 万美元赏金。
损失金额:$ 42,000,000攻击手法:合约漏洞
事件描述:5 月 16 日,Demex 的借贷市场 Nitron 遭攻击,导致用户资金损失达 950,559 美元。根据 Demex 发布的事故分析报告显示,此次攻击的根本原因,是对已废弃的 dGLP 金库进行了一次基于捐赠的预言机操纵攻击。
损失金额:$ 950,559攻击手法:价格操纵
事件描述:NUMA. 在 Arbitrum 链上遭攻击,损失约 53 万美元。攻击者将所有资产兑换为 ETH,跨链转移至以太坊主网,并将资金存入 Tornado Cash。
损失金额:$ 530,000攻击手法:价格操纵
事件描述:根据 Moby 的事后分析报告,1 月 8 日,一名攻击者控制了用于授权 Moby 核心合约升级的私钥,导致协议遭到破坏。这次攻击导致 sOLP 和 mOLP 流动性池中的 3.77 wBTC、207.76 wETH 和 1,500,351.5 USDC 曝露于风险之中。Moby 在 Seal911 团队的协助下追回了 1,470,091.74 USDC。
损失金额:$ 2,500,000攻击手法:私钥泄露
事件描述:基于 Arbitrum 的流动性管理项目 Orange Finance 由于多签配置错误被利用,导致价值 83 万美元的资产被盗。攻击者获取了每个金库的所有权,修改了它们的实现,并提取了存入的资产以及过度授权的资金。总损失中约 94%(约 78 万美元)来源于存入资产,其余 6%(约 4.7 万美元)则是由于过度授权造成的。
损失金额:$ 830,000攻击手法:私钥泄露
事件描述:Ramses Exchange 在 Arbitrum 上的合约遭攻击,损失约 9.3 万美元。
损失金额:$ 93,000攻击手法:合约漏洞
事件描述:Tapioca DAO 遭遇重大安全漏洞,攻击者通过社会工程攻击获取到相关私钥,窃取了约 470 万美元的加密货币。10 月 25 日,Tapioca DAO 发布事件分析报告表示,此次安全漏洞的发生是由于攻击者成功入侵了一名负责智能合约开发的核心贡献者的私钥。SEAL911 确认攻击者为一个朝鲜黑客组织,采用了传染性面试的攻击方法,在该贡献者的计算机上注入恶意软件,从而获取其地址的私钥以实施盗窃。
损失金额:$ 4,700,000攻击手法:恶意软件