共有 350 条记录
事件描述:SQ Protocol 在 BNB Chain上的 Staking 合约被攻击者利用硬编码的 owner 后门(hardcoded owner backdoor)进行攻击。攻击者通过特殊交易(type-0x4 + authorizationList)获得权限,接管所有权、铸造假质押凭证、赎回 USDT,并将 SQi 代币抛售到流动性池,总计获利约 34.61 万美元。攻击主要针对已验证的 Staking 合约(地址0x404404a845fff0201f3a4d419b4839fc419c99f7)。
损失金额:$ 346,100攻击手法:合约漏洞
事件描述:BSC 链上 JUDAO 代币/流动性池遭受 Flashloan-assisted Manipulation(闪电贷辅助操纵攻击)。攻击者利用闪电贷操纵池子储备或价格,通过 PancakeSwap V2 等路由抽取资金。具体涉及 BUSD-JUDAO 等交易对,损失至少 20.5 万 USDT + 36 BNB。
损失金额:$ 228,000攻击手法:价格操纵
事件描述:2026 年 4 月 14 日,攻击者针对 BSC 上 MONA 代币的 BurnAddress 机制发起储备操纵攻击(Deferred LP Burn Exploit)。攻击者先通过 25 个新账户 farming 获得 10,000 MONA,然后卖出 9,900 MONA 创建延迟燃烧信用,同时大量买入 MONA 清空池中库存。随后使用零值 transferFrom 触发 BurnAddress.burn(),直接从 LP 中燃烧 MONA 并 sync() 储备,使池中 MONA 储备接近零但 USDT 储备几乎不变。最后用少量剩余 MONA 卖出,抽取大量 USDT。攻击者使用 Moolah 闪电贷和 Venus 借贷作为资金,攻击后偿还并获利转移。根因是 MONA 代币的 _handleSell() 和 burnsellMona() 逻辑中,USDT 支付与 MONA 燃烧未原子化绑定,导致储备不一致。
损失金额:$ 60,950攻击手法:储备操纵攻击
事件描述:据 ExVul 监测,BSC 链上发生 TMM/USDT 储备操纵攻击,导致约 166.5 万 USDT 的损失。攻击者利用来自 Lista DAO Moolah、Venus、Aave V3、Pancake SwapVault 和 Uniswap PoolManager 的闪电贷操纵 TMM/USDT 交易对。攻击者将 TMM 销毁至黑洞地址,使交易对储备降至 1 枚 TMM,随后将 8.5 亿枚 TMM 兑换为约 2.72 亿 USDT。在偿还所有闪电贷后,攻击者将约 166.5 万 USDT 的利润转移至相关地址。
损失金额:$ 1,665,000攻击手法:闪电贷储备操纵漏洞
事件描述:BSC 链上的 SAS Token 遭受 自定义转账逻辑漏洞攻击(Flawed Business Logic / Deferred Burn Exploit)。代币的自定义 transfer 逻辑存在缺陷:向 LP 池发送 SAS 仅增加全局 sellBurn 计数器,而后续普通转账即可直接从池中燃烧 SAS 并调用 sync() 重写储备,且绕过 AMM 的 swap 逻辑。攻击者通过卖出累积 sellBurn 信用,再触发普通转账将池中 SAS 储备燃烧至接近 1 wei,最后反向 swap 抽取 USDT 等资金。
损失金额:$ 12,000攻击手法:价格操纵
事件描述:据 BlockSec 监测,发现 BSC 链上一个疑似 LML/USDT 质押协议的未知合约遭攻击,损失约 95 万美元。分析显示,漏洞或源于定价设计缺陷:可领取奖励基于 TWAP 或快照价格计算,而攻击者可在受操纵的现货价格下出售奖励代币。攻击者首先通过包含接收者为零地址的路径进行交易推高 LML 价格,随后通过此前存入代币的地址调用领取功能,在攻击过程中直接获取奖励。
损失金额:$ 950,000攻击手法:合约漏洞
事件描述:据 BlockSec Phalcon 监测,发现一起针对 BSC 链上未知合约(Stake)的可疑交易,造成约 13.3 万美元损失。攻击者利用 Stake 合约中的现货价格依赖漏洞,操纵 TUR-NOBEL 池中的 TUR 价格后质押 TUR,基于被推高的价格触发奖励计算,通过推荐账户领取放大后的奖励,最终将盗取的 TUR 兑换为 USDT 获利。
损失金额:$ 133,000攻击手法:预言机操纵
事件描述:据 BlockSec Phalcon 监测,BSC 链上的 PancakeSwap BCE-USDT 池数小时前遭遇攻击,损失约 67.9 万美元。根本原因在于 BCE 代币的销毁机制存在缺陷。攻击者部署了两个恶意合约,绕过买卖限制并触发池内代币销毁,通过操纵池中储备从 BCE-USDT 池中提取约 67.9 万美元获利。
损失金额:$ 679,000攻击手法:流动性池储备操纵
事件描述:攻击者利用 Venus Protocol 的漏洞,借助闪电贷获取了大量资产。在此次攻击中,攻击者的地址(0x1a35...6231)成功获取了 20 枚 BTC、150 万枚 CAKE 以及 200 枚 BNB,总价值超过 370 万美元。为了进行操作,攻击者将大量 THE 代币作为抵押品,借出了 Cake、BTCB 和 BNB,导致大量 THE 代币持续被清算。经过 Venus Protocol 风险管理方Allez Labs 的最新调查,确认此次攻击源自 BNB Chain 核心池的供应上限操纵。攻击者自 2025 年 6 月起,逐步积累 THE 代币,最终在 9 个月内将其持有量提升至供应上限的 84%(约 1450 万枚 THE)。随后,攻击者通过直接向协议合约转账的方式绕过了正常的存款流程,完全规避了供应上限,最终建立起 5320 万枚 THE 的头寸(为上限的 3.67 倍)。利用 THE 代币链上流动性低的弱点,攻击者操控了 TWAP 预言机,将 THE 价格从 0.27 美元推高至 0.53 美元,借出了大量其他资产。峰值时,攻击者以 5320 万枚 THE 作为抵押品,借出了 667 万枚 CAKE、2801 枚 BNB、1970 枚 WBNB、158 万枚 USDC 和 20 枚 BTCB。为了防止进一步的损失,Venus Protocol 已经暂停了涉及 THE 资产以及其他流动性高度集中的市场(如 BCH、LTC、UNI、AAVE、FIL、TWT 等)的借贷和提现功能。然而,其他 Venus 市场未受到影响,仍在正常运行。Venus 表示将继续与安全合作伙伴合作,深入调查此次事件,并及时提供进一步的更新。
损失金额:$ 2,150,000攻击手法:业务逻辑漏洞
事件描述:BSC 链上 AM/USDT 池数小时前遭遇攻击,估计损失约 13.1 万美元。根本原因在于销毁机制存在缺陷,被利用来操纵池中的 AM 储备并人为推高代币价格。攻击者首先操纵 toBurnAmount,然后在调整池中 AM 余额后触发销毁逻辑,使 AM 储备降至异常低水平,从而允许攻击者以人为抬高的价格将 AM 卖回池中获利。
损失金额:$ 131,000攻击手法:闪电贷 + 储备量操纵
事件描述:据 BlockSec Phalcon 监测,数小时前在 BSC 上检测到一笔针对 MT-WBNB 交易池的可疑交易,估计造成约 24.2 万美元的损失。根本原因在于买家限制机制存在缺陷:在通缩模式下,正常买入被回退,但路由器和交易对地址被列入白名单,攻击者通过路由器交换和移除流动性绕过限制,从交易对中获得 MT 代币。攻击者随后出售 MT 以积累 pendingBurnAmount,并调用 distributeFees() 直接从交易对中销毁 MT,人为推高价格,再将 MT 换回 WBNB 获利。此外,允许前 0.2 枚 MT 转账绕过买家限制的推荐规则使攻击者得以启动攻击。
损失金额:$ 242,000攻击手法:通缩/销毁机制操纵
事件描述:据 BlockSec 监测,BSC 链上一未知合约遭利用,黑客通过“burn pair”机制缺陷实施两次反向交易,最终导致约 10 万美元资金损失。攻击者先抽干 PGNLZ,再触发 PGNLP 销毁与价格操纵,借此套走资金池中大部分 USDT。
损失金额:$100,000攻击手法:合约漏洞
事件描述:据 TenArmorAlert 监测,其已检测到 BSC 上涉及 OLY 的三明治攻击,损失约 6.34 万美元。
损失金额:$ 63,400攻击手法:三明治攻击
事件描述:BSC 链上未知智能合约 MSCST 遭遇闪电贷攻击,预计造成约 13 万美元损失。该漏洞源于 MSCST 合约中releaseReward() 函数缺失访问控制(ACL),使得攻击者能够操纵 PancakeSwap 流动性池(0x12da) 中 GPC 代币的价格。
损失金额:$130,000攻击手法:闪电贷攻击
事件描述:据慢雾创始人余弦与 ZEROBASE 官方披露,BSC 链上恶意合约“Vault”(0x0dd2…2396)通过伪装 ZEROBASE 前端诱导用户授权 USDT,疑因 ZEROBASE 前端被攻击,非 Binance Web3 钱包问题。目前已致数百地址受害,最大单笔损失达 12.3 万美元,被盗资金已转移至 ETH 地址 0x4a57…fc84。ZEROBASE 已启用授权检测机制,社区呼吁尽快通过 revoke.cash 撤销风险授权。
损失金额:$ 123,000攻击手法:前端攻击
事件描述:据链上安全分析师 ZachXBT 透露,BSC 链上的支付项目 GANA Payment 数小时前遭攻击,损失约 310 万美元。攻击者已将 1140 枚 BNB(约 104 万美元)存入 BSC 上的 Tornado Cash,并通过跨链桥将资金转移至以太坊,其中 346.8 枚 ETH(约 105 万美元)亦存入以太坊上的 Tornado Cash。目前,另有 346 枚ETH(约 104.6 万美元)仍静置在以太坊地址 0x7a 开头地址。
损失金额:$ 3,100,000攻击手法:未知
事件描述:攻击者利用了 LayerZero 跨链桥配置错误以及 GAIN BSC 合约的私钥泄露问题。通过在以太坊上设置恶意的对端合约,他们绕过了校验机制,并在 BSC 上伪造铸造了 50 亿枚 GAIN 代币。攻击者在 PancakeSwap 上抛售了约 1.5 亿枚伪造代币(占虚假铸造总量的约 2.8%),套现约 300 万美元。
损失金额:$ 3,000,000攻击手法:私钥泄露
事件描述:BSC 上的 ABCCApp 疑似遭攻击,损失约 1.01 万美元。根本原因在于合约的 addFixedDay() 函数缺乏访问控制,而 fixedDay 被用于计算可领取的 USDT。
损失金额:$ 10,100攻击手法:合约漏洞
事件描述:D3X AI (@D3X_AI) 在 BSC 上遭到攻击,损失约 15.89 万美元。攻击的原因在于合约 0xb8ad 的 exchange() 函数依赖于 UniswapV2 交易对提供的 d3xat 代币现货价格,攻击者通过价格操纵攻击利用了这一点。
损失金额:$ 158,900攻击手法:价格操纵
事件描述:据慢雾 MistEye 安全监控系统监测,BSC 上的 VDS 疑似遭攻击,损失约 13,000 美元。
损失金额:$ 13,000攻击手法:业务逻辑漏洞