共有 365 条记录
事件描述:BSC 链上 DTXT/USDT 流动性池遭受攻击。攻击者利用 DTXT 合约中可伪造的加池识别逻辑漏洞(通过直接向 Pair 地址转入少量 USDT,误导合约将大额卖出判定为加池),绕过卖出手续费并抽干池中储备,共造成约 $35,041 USDT 损失。
损失金额:$ 35,041攻击手法:业务逻辑漏洞
事件描述:BSC 链上 ATM 代币因其 transferFrom() 函数中的自定义逻辑漏洞(自动将转账金额的约 20% 兑换为 BSC-USD)被攻击者反复触发 swap 机制,导致协议损失约 24.35 万美元。
损失金额:$ 243,500攻击手法:合约漏洞
事件描述:BSC 上 BYToken 合约的公开维护函数 triggerAutoBurn() 被利用。攻击者通过 Moolah 闪电贷(约 42.25 万 WBNB)、PancakeSwap 换仓后调用该无权限函数,从 BY/WBNB 池直接燃烧约 6.78 千万亿 BY 并执行 pair.sync(),将储备重写成 1 BY + 完整 WBNB。极端储备偏差导致后续大量 BY 卖出抽干几乎全部 WBNB 流动性,攻击者净获利约 146.60 BNB($87,402)。
损失金额:$ 87,402攻击手法:合约漏洞
事件描述:BSC 链上 ApeBond 项目(ApeYieldVault 合约)遭利用。攻击者通过公开辅助合约调用 migrateToVotingEscrow 函数,使用重复 pool ID 膨胀锁定金额(从约 1.71 千万亿 ABOND 膨胀至约 29 千万亿 ABOND),随后解锁并领取膨胀锁定代币,在 ABOND/WBNB 池中卖出 ABOND,偿还 Moolah 闪电贷本金后,净获利约 5.72 WBNB。整个过程无需权限、全链上完成。
损失金额:$ 3,421攻击手法:合约漏洞
事件描述:BSC 链上 DeFi 项目 TesseraDAO(TSR 代币)遭遇攻击,黑客通过控制核心合约铸造 9900 万枚 TSR 代币,并在 PancakeSwap 抛售获利约 240 万美元,导致 TSR 价格暴跌 99%。资金后续桥接至 Ethereum 并经 Tornado Cash 洗钱。
损失金额:$ 2,400,000攻击手法:私钥泄漏
事件描述:BSC 上的 DeFi 项目 AROS 遭受攻击,攻击者通过与 AROS/USDT PancakeSwap 流动性池交互,抽走约$295.3K USDT。
损失金额:$ 295,300攻击手法:合约漏洞
事件描述:Computility 关联的 YSDAO 项目在 BSC PancakeSwap V2 流动性池遭受攻击,黑客通过合约调用操纵储备并提取资金,造成约 1.95 万美元损失。
损失金额:$ 19,500攻击手法:储备操纵攻击
事件描述:Joe Agent($JOE)项目合约存在单函数重入漏洞,攻击者在 _removeLiquidityViaContract 函数中利用 BNB 发送后才更新状态的逻辑,通过约 25 次重入循环,盗取了 62.5 BNB 和约 119.6万 JOE。
损失金额:$ 45,000攻击手法:重入攻击
事件描述:BNB Chain 上老牌 DeFi Launchpad 兼流动性锁定平台 DxSale 的 legacy liquidity locker 合约被利用,约 730 万美元资金(1400 + 个 2021 年老 LP)被抽干。攻击者利用所有者权限,通过自定义 drainer 合约降低费用、将解锁时间回溯至1970 年并提取资金,链上证据指向可能与团队相关地址有关,平台目前保持沉默。
损失金额:$ 7,300,000攻击手法:所有者权限覆盖攻击
事件描述:2026 年 5 月 27 日,Superfortune($GUA)项目发生安全事件。团队原计划将额外解锁的代币转入空投领取合约,但在多签交易执行过程中,目标地址被异常替换,导致约 1498 万 GUA(转出时价值约 1518 万美元)被发送至疑似黑客控制的地址。黑客随后将代币全部抛售,换得约 2784 ETH(当时价值约 566 万美元),并分散至多个钱包。事件导致 GUA 代币价格暴跌约 70-76%。官方初步调查指向多签交易中的地址篡改,虽最初提及“疑似地址投毒”,但因黑客地址此前无任何交互记录,投毒可能性被评估为较低。项目方正在持续调查中,并承诺后续更新。
损失金额:$ 15180000攻击手法:多签地址篡改
事件描述:BSC 上 SKP 遭遇一次 token-side LP balance drain + sync 型攻击。攻击者单笔交易获利约 $212,850(162,854.21 USDT + 75.88 BNB)。根本原因是 SKP 代币逻辑存在缺陷,允许在大额买入后从 Pancake V2 SKP/USDT LP 中额外转出 SKP 余额,并通过 sync() 函数写入错误储备,将 SKP reserve 压至接近零。攻击者利用闪电贷放大操作完成攻击。
损失金额:$ 212,850攻击手法:合约漏洞
事件描述:SQ Protocol 在 BNB Chain上的 Staking 合约被攻击者利用硬编码的 owner 后门(hardcoded owner backdoor)进行攻击。攻击者通过特殊交易(type-0x4 + authorizationList)获得权限,接管所有权、铸造假质押凭证、赎回 USDT,并将 SQi 代币抛售到流动性池,总计获利约 34.61 万美元。攻击主要针对已验证的 Staking 合约(地址0x404404a845fff0201f3a4d419b4839fc419c99f7)。
损失金额:$ 346,100攻击手法:合约漏洞
事件描述:BSC 链上 JUDAO 代币/流动性池遭受 Flashloan-assisted Manipulation(闪电贷辅助操纵攻击)。攻击者利用闪电贷操纵池子储备或价格,通过 PancakeSwap V2 等路由抽取资金。具体涉及 BUSD-JUDAO 等交易对,损失至少 20.5 万 USDT + 36 BNB。
损失金额:$ 228,000攻击手法:合约漏洞
事件描述:2026 年 4 月 14 日,攻击者针对 BSC 上 MONA 代币的 BurnAddress 机制发起储备操纵攻击(Deferred LP Burn Exploit)。攻击者先通过 25 个新账户 farming 获得 10,000 MONA,然后卖出 9,900 MONA 创建延迟燃烧信用,同时大量买入 MONA 清空池中库存。随后使用零值 transferFrom 触发 BurnAddress.burn(),直接从 LP 中燃烧 MONA 并 sync() 储备,使池中 MONA 储备接近零但 USDT 储备几乎不变。最后用少量剩余 MONA 卖出,抽取大量 USDT。攻击者使用 Moolah 闪电贷和 Venus 借贷作为资金,攻击后偿还并获利转移。根因是 MONA 代币的 _handleSell() 和 burnsellMona() 逻辑中,USDT 支付与 MONA 燃烧未原子化绑定,导致储备不一致。
损失金额:$ 60,950攻击手法:储备操纵攻击
事件描述:Computility 关联的 TGAI 项目在 BSC PancakeSwap V2 流动性池遭受储备操纵攻击,黑客使用约 240 万USDT 闪电贷,部署多个 helper 合约买入 TGAI 代币,通过 sync() 函数注入资金操纵储备,随后 swap 提取利润,造成约 1.194 万美元损
损失金额:$ 11,940攻击手法:储备操纵攻击
事件描述:据 ExVul 监测,BSC 链上发生 TMM/USDT 储备操纵攻击,导致约 166.5 万 USDT 的损失。攻击者利用来自 Lista DAO Moolah、Venus、Aave V3、Pancake SwapVault 和 Uniswap PoolManager 的闪电贷操纵 TMM/USDT 交易对。攻击者将 TMM 销毁至黑洞地址,使交易对储备降至 1 枚 TMM,随后将 8.5 亿枚 TMM 兑换为约 2.72 亿 USDT。在偿还所有闪电贷后,攻击者将约 166.5 万 USDT 的利润转移至相关地址。
损失金额:$ 1,665,000攻击手法:储备操纵攻击
事件描述:BNB Chain(部分来源提及跨链影响,但核心为 EIP-7702 委托)上一个启用 EIP-7702 委托代码的用户 EOA 账户被攻击。受害者曾使用 EIP-7702 Type-4 交易为账户设置委托代码(用于执行 swap 相关逻辑),但委托的代码中 pancakeV3SwapCallback() 函数缺少严格的访问控制(access control)。攻击者直接调用该 callback 函数并构造恶意 calldata,迫使受害者账户将持有的代币转移至攻击者地址,导致约 17,200 美元损失。
损失金额:$ 17,200攻击手法:合约漏洞
事件描述:BSC 链上的 SAS Token 遭受 自定义转账逻辑漏洞攻击(Flawed Business Logic / Deferred Burn Exploit)。代币的自定义 transfer 逻辑存在缺陷:向 LP 池发送 SAS 仅增加全局 sellBurn 计数器,而后续普通转账即可直接从池中燃烧 SAS 并调用 sync() 重写储备,且绕过 AMM 的 swap 逻辑。攻击者通过卖出累积 sellBurn 信用,再触发普通转账将池中 SAS 储备燃烧至接近 1 wei,最后反向 swap 抽取 USDT 等资金。
损失金额:$ 12,000攻击手法:合约漏洞
事件描述:BSC 链上 LML/USDT 质押协议遭受价格操纵攻击,黑客使用闪电贷大幅推高 LML/USDT 池现货价格,利用质押合约奖励计算逻辑缺陷(依赖过时存储价格而非实时 AMM 价格),通过预存地址批量领取超额 LML 奖励,随后在池中抛售获利约 95 万美元,导致 LML 代币价格暴跌 99.6%。
损失金额:$ 950,000攻击手法:价格操纵
事件描述:据 BlockSec Phalcon 监测,发现一起针对 BSC 链上未知合约(Stake)的可疑交易,造成约 13.3 万美元损失。攻击者利用 Stake 合约中的现货价格依赖漏洞,操纵 TUR-NOBEL 池中的 TUR 价格后质押 TUR,基于被推高的价格触发奖励计算,通过推荐账户领取放大后的奖励,最终将盗取的 TUR 兑换为 USDT 获利。
损失金额:$ 133,000攻击手法:价格操纵