共有 55 条记录
事件描述:部署于 Arbitrum 上的 FutureSwap 协议在四天前遭首次攻击后,再次被黑客利用重入漏洞攻击,损失约 7.4 万美元。攻击者先在 3 天前通过重入函数 0x5308fcb1 超额铸造 LP 代币,待冷却期结束后赎回超额抵押资产实现获利。
损失金额:$ 74,000攻击手法:重入攻击
事件描述:Fusion 发布安全更新称,其 IPOR USDC Fusion Optimizer 中的 Arbitrum Vault 存在漏洞。IPOR 团队于 1 月 6 日 接到通报并确认,该漏洞已导致约 33.6 万美元的 USDC 损失。此次漏洞利用仅影响 一个特定的旧版 Fusion Vault,由于该 Vault 具有独特配置,这是唯一一个容易受到该攻击路径影响的资金池。据慢雾(SlowMist) 进一步分析,事件的根本原因在于:项目团队通过 EIP‑7702 控制的 EOA 账户 所委托的基础合约存在安全缺陷,该缺陷允许任意外部调用。攻击者正是利用这一问题,创建并配置了针对 Plasma Vault 的恶意熔断合约,从而实现对资金的非法提取。官方表示,本次损失金额仅占 Fusion 所担保资金总额的不足 1%。目前,团队正与 Security Alliance 合作,持续追踪资金流向并尝试追回资产。IPOR DAO 将从财库中弥补资金缺口,所有受影响的存款人均可获得全额补偿。此外,据 CertiK 监测,Fusion 被盗资金中约 267,000 美元 已被跨链转移至以太坊网络,并进一步流入 Tornado Cash。1 月 7 日,IPOR 团队发推表示资金已追回 ,并已与白帽方达成 10% 的赏金协议,由 IPOR DAO 承担。本次事件已作为一次善意的白帽安全事件圆满结束。
损失金额:$ 336,000攻击手法:合约漏洞
事件描述:据 CertiK Alert 监测,其已检测到 Arbitrum 上与 TMX 相关合约存在约 140 万美元漏洞。在漏洞利用循环中,攻击者铸造并质押 TMX LP 代币(使用 USDT),然后将 USDT 兑换成 USDG,解除质押,并卖出更多 USDG。
损失金额:$ 1,400,000攻击手法:合约漏洞
事件描述:Arbitrum (ARB) 上检测到多笔涉及代理合约的可疑交易,预计造成约 150 万美元损失。初步分析表明,USDGambit 和 TLP 项目的单一部署者可能已失去对其账户的访问权限。随后,攻击者部署了一个新合约,并更新了代理管理员(ProxyAdmin) 权限以获取控制权。被盗资金随后被桥接至 ETH 网络,并存入 Tornado Cash。
损失金额:$ 1,500,000攻击手法:权限管理漏洞
事件描述:据慢雾 MistEye 安全监控系统监测,发现与 @futureswapx 相关的潜在可疑活动。经分析,事件根源在于攻击者创建恶意提案,并利用闪电贷进行投票,最终使攻击合约获得权限,从而转移其他用户的代币。
损失金额:$830,000攻击手法:治理攻击
事件描述:据 BlockSec Phalcon 警报,Sharwa.Finance 已披露其遭遇攻击,随后暂停运行。然而,数小时后又发生了多笔可疑交易,攻击者可能通过略有不同的攻击路径,利用了同一底层漏洞。总体而言,攻击者首先创建一个保证金账户,然后利用提供的抵押品通过杠杆借贷借入更多资产,最后针对涉及所借资产的兑换操作发起“三明治攻击”。根本原因似乎是 MarginTrading 合约的 swap() 函数中缺少破产检查,该函数用于将所借资产从一种代币(如 WBTC)兑换为另一种代币(如 USDC)。该函数仅在资产兑换执行前,根据兑换开始时的账户状态来验证偿付能力,这就为操作过程留下了被操纵的空间。攻击者1(0xd356 开头)实施了多次攻击,获利约 6.1 万美元。攻击者2(0xaa24 开头)实施了一次攻击,获利约 8.5 万美元。
损失金额:$ 146,000攻击手法:合约漏洞
事件描述:AI 驱动的 Web3 社交平台 UXLINK 相关资产遭遇攻击,造成超过 1100 万美元损失。调查显示,攻击者在事件发生前经过数月准备,通过伪装成商务合作伙伴并使用深度伪造视频会议等社会工程手段,成功入侵多名 SAFE 授权密钥持有者的个人设备,获取密码、私钥等敏感信息。在取得旧版 arb-UXLINK 智能合约控制权限后,攻击者对代币进行未授权增发并完成转移与出售。UXLINK 首席执行官 RollandSaf 表示,通过与交易所的即时沟通,已追回数百万美元,这些资金全部用于回购,以支持社区发展。另一方面,已对签名设备、内部流程和系统进行了重大安全升级,以防止此类事件再次发生。
损失金额:$ 11,000,000攻击手法:社会工程
事件描述:Arbiturm 生态模块化交易平台 Kinto 联合创始人 Ramon Recuero 针对攻击事件发推表示,昨日黑客利用在 Arb 上铸造无限量 K 代币的漏洞,铸造了 110,000 枚 K 并开始攻击,以耗尽 Morpho Vault 和 Uniswap v4 池。最终损失约 155 万美元 ETH 和 USDC,并造成 K 代币价格波动。
损失金额:$ 1,550,000攻击手法:合约漏洞
事件描述:7 月 9 日,据慢雾 MistEye 安全监控系统监测,知名去中心化交易平台 GMX (@GMX_IO) 遭攻击,损失价值超 4200 万美元的资产。据分析,本次攻击的核心在于攻击者利用了 Keeper 系统执行订单时会启用杠杆,以及做空时会更新全局平均价格而平空却不会更新的这两个特性,通过重入攻击创建大额空头头寸,操控了全局空头平均价格和全局空头仓位规模的值,从而直接放大了 GLP 价格来赎回获利。经协商,攻击者返还所有被盗资金,并得到 500 万美元赏金。
损失金额:$ 42,000,000攻击手法:合约漏洞
事件描述:5 月 16 日,Demex 的借贷市场 Nitron 遭攻击,导致用户资金损失达 950,559 美元。根据 Demex 发布的事故分析报告显示,此次攻击的根本原因,是对已废弃的 dGLP 金库进行了一次基于捐赠的预言机操纵攻击。
损失金额:$ 950,559攻击手法:价格操纵
事件描述:NUMA. 在 Arbitrum 链上遭攻击,损失约 53 万美元。攻击者将所有资产兑换为 ETH,跨链转移至以太坊主网,并将资金存入 Tornado Cash。
损失金额:$ 530,000攻击手法:价格操纵
事件描述:根据 Moby 的事后分析报告,1 月 8 日,一名攻击者控制了用于授权 Moby 核心合约升级的私钥,导致协议遭到破坏。这次攻击导致 sOLP 和 mOLP 流动性池中的 3.77 wBTC、207.76 wETH 和 1,500,351.5 USDC 曝露于风险之中。Moby 在 Seal911 团队的协助下追回了 1,470,091.74 USDC。
损失金额:$ 2,500,000攻击手法:私钥泄露
事件描述:基于 Arbitrum 的流动性管理项目 Orange Finance 由于多签配置错误被利用,导致价值 83 万美元的资产被盗。攻击者获取了每个金库的所有权,修改了它们的实现,并提取了存入的资产以及过度授权的资金。总损失中约 94%(约 78 万美元)来源于存入资产,其余 6%(约 4.7 万美元)则是由于过度授权造成的。
损失金额:$ 830,000攻击手法:私钥泄露
事件描述:Ramses Exchange 在 Arbitrum 上的合约遭攻击,损失约 9.3 万美元。
损失金额:$ 93,000攻击手法:合约漏洞
事件描述:Tapioca DAO 遭遇重大安全漏洞,攻击者通过社会工程攻击获取到相关私钥,窃取了约 470 万美元的加密货币。10 月 25 日,Tapioca DAO 发布事件分析报告表示,此次安全漏洞的发生是由于攻击者成功入侵了一名负责智能合约开发的核心贡献者的私钥。SEAL911 确认攻击者为一个朝鲜黑客组织,采用了传染性面试的攻击方法,在该贡献者的计算机上注入恶意软件,从而获取其地址的私钥以实施盗窃。
损失金额:$ 4,700,000攻击手法:恶意软件
事件描述:DeFi 项目 DeltaPrime 官方于 X 平台确认发生安全事件,其表示 DeltaPrime Blue(Arbitrum)遭到攻击,损失 598 万美元,原因为私钥被盗。
损失金额:$ 5,980,000攻击手法:私钥泄露
事件描述:据链上侦探 ZachXBT 消息,Sorta Finance 很可能未来会在 Arbitrum 上进行退出诈骗,因此不要使用该协议。这个诈骗者之前已经通过 Magnate、Kokomo、Lendora、Solfire、Crolend、HashDAO 等骗局盗取了超过 2500 万美元。
损失金额:-攻击手法:骗局
事件描述:arbitrum.com 网站疑似被黑客攻击,被重定向至 Meme 项目 MOG 官网。请用户保持警惕,注意资产安全。
损失金额:-攻击手法:DNS 攻击
事件描述:据慢雾安全团队监测,Arbitrum 上的 MixedSwapRouter 遭攻击,损失约 29.3 万枚 WINR ,价值约 1.6 万美元。
损失金额:$ 16,000攻击手法:合约漏洞
事件描述:Arbitrum 上的去中心化交易所 Predy Finance 遭攻击,导致其借贷池中价值 46.4 万美元的加密资产损失。
损失金额:$ 464,000攻击手法:合约漏洞