共有 40 条记录
事件描述:Veil Cash 的遗留固定面额隐私池(Base 链)因 Groth16 验证器配置错误(delta2 == gamma2),导致攻击者可伪造 zkSNARK 证明并多次提取资金,总计约 2.9 ETH。白帽干预及攻击者主动归还后,100% 资金已追回,实时池未受影响。
损失金额:$ 5,000攻击手法:合约漏洞
事件描述:Base 链上的 AI 加密交易代理平台 Bankr 遭遇社会工程攻击。攻击者通过针对 Grok 与 Bankrbot 之间自动化代理信任层的提示注入手法(包括 Morse code 等恶意输入),诱导系统执行未经授权的交易签名,从而访问了 14 个用户钱包并进行资金转移。Bankr 官方暂停相关功能,进行调查,并承诺从国库全额赔偿所有损失。
损失金额:$ 440,000攻击手法:社会工程
事件描述:Singularity Finance 的金库 oracle 配置存在严重错误。管理员在 1 月注册 Uniswap V3 fee tier 为 42(不支持的无效参数,仅支持 100/500/3000/10000),导致 factory.getPool() 返回 address(0),oracle 将所有非 USDC 储备定价为零。金库以为只持有少量 USDC 尘埃,而实际收益率代币价值未被计入。攻击者从 Morpho 闪电贷 10 万 USDC,存入金库铸造近 99.99% 份额,然后赎回抽取底层真实资产,总计获利约 41.3 万美元。根因是管理员操作失误 + 配置验证缺失,漏洞潜伏约 3 个月。
损失金额:$ 413,000攻击手法:合约漏洞
事件描述:Base 链上的 Kipseli Router 合约遭受 Improper Validation / Decimal Mismatch Exploit(验证不足 + 小数位不匹配攻击)。路由器使用外部 USDC-only quoter 返回的金额作为 tokenOut 的转移数量,但未验证输出代币是否与报价代币一致。攻击者利用不支持的路径(如 WETH → cbBTC),让 quoter 返回 USDC 精度的金额(6 decimals),却作为 cbBTC(8 decimals)转移,导致严重超额转出。攻击者仅用约 0.04 WETH 就换取了约 0.926 cbBTC(价值约 7.235 万美元)。事件后,交易者(发现者)与项目方联系,以白帽形式归还 80% 资金,保留 20% 作为漏洞赏金。
损失金额:$ 72,350攻击手法:合约漏洞
事件描述:2026 年 4 月 12 日,攻击者通过 SubQuery Network 在 Base 链上的 Settings 合约漏洞(setContractAddress() 函数缺少 onlyOwner 访问控制修饰符)发起攻击。攻击者多次调用该函数,将自身地址设置为 StakingManager 和 RewardsDistributor,从而能够从 Staking 合约池中提取质押 SQT、影响 272 个个人 staker/delegator 钱包、RewardsBooster 以及少量协议 Treasury。总计抽取约 3.82 亿 SQT(当时价值约 13.4 万美元)。项目方迅速响应,部署修复、暂停提款,并承诺全额补偿所有受影响用户,无用户私钥被盗。根因是早期代码重构后遗留的配置问题。
损失金额:$ 134,000攻击手法:合约漏洞
事件描述:据 The Block 报道,DeFi 借贷协议 Moonwell 在 Moonriver 部署上正遭遇治理攻击。一名未知攻击者约花费 1800 美元买入约 4000 万枚 MFAM 代币,在约 11 分钟内完成买入、发起提案并投票过审,试图通过将 7 个借贷市场、控制器及预言机等核心合约的管理员权限转移至其控制合约,从而可提取约 108 万美元用户资金。目前该提案投票将持续至 3 月 27 日,早期已达法定人数,随后反对票占优,但最终结果仍取决于剩余投票及协同。
损失金额:0攻击手法:治理攻击
事件描述:隐私游戏平台 FOOMCASH 在 Base 和 Ethereum 上遭到攻击,损失 24,283,773,519,600 $FOOM (约 226 万美元)。漏洞原因是验证密钥配置错误,攻击者利用该漏洞伪造了 zkSNARK 证明,然后从被攻击合约中提取了海量 $FOOM 。
损失金额:$ 2,260,000攻击手法:合约漏洞
事件描述:据 Decrypt 报道,DeFi 借贷协议 Moonwell 因预言机配置错误导致约 178 万美元坏账。
损失金额:$ 1,780,000攻击手法:预言机配置错误
事件描述:Revert Finance 在 Base 链新上线的 Aerodrome Lend vault 遭受攻击,损失 50,101 美元。攻击者通过 Morpho 闪电贷铸造 Aerodrome 集中流动性 NFT,将其作为抵押品存入并借出 USDC,随后利用 GaugeManager 合约中缺少的安全约束(允许对有债务的质押仓位进行操作),提取全部流动性,导致 vault 只剩空壳 NFT。另一攻击者约 58 分钟后复制了攻击。用户资金安全,损失主要来自 Revert 团队自有种子 USDC。团队已禁用存款并发布事后报告。
损失金额:$ 50,101攻击手法:合约漏洞
事件描述:SwapNet 的闭源聚合器合约因输入验证不足出现任意调用漏洞。攻击者滥用用户(尤其是 Matcha Meta 上关闭“One-Time Approval”并直接无限授权 SwapNet 的用户)的已有代币授权,通过构造恶意 calldata 执行 transferFrom 操作,跨 Base、以太坊、Arbitrum 和 BSC 链共造成约 1343 万美元损失。攻击者在 Base 上将约 1050 万 USDC 换成约 3655 ETH 并开始跨链。Matcha Meta 和 0x 核心合约未受影响。
损失金额:$ 13,430,000攻击手法:合约漏洞
事件描述:据 BlockSec 警报,SynapLogic 合约因 swapExactTokensForETHSupportingFeeOnTransferTokens 函数缺乏关键参数校验,导致攻击者可操控“白名单”逻辑并指定任意收益地址。此外,合约未验证原生代币分发总额是否超出实际支付,使攻击者可超额提取原生代币并同时获得新铸造的 SYP,造成约 18.6 万美元损失。
损失金额:$ 186,000攻击手法:合约漏洞
事件描述:BasisOS 在 X 平台发文披露:“由于发生安全漏洞,Agentic FoF 遭到入侵,约 53.1 万美元资金泄露。所有金库目前均已暂停,Agentic FoF 的提款功能也已暂停,等待内部调查结果。”
损失金额:$ 531,000攻击手法:未知
事件描述:基于 Base 的 DEX Aerodrome 发推表示,Velodrome 和 Aerodrome 中心化域名于 11 月 21 日遭 NameSilo 内部安全漏洞劫持,重定向至恶意内容。经 Blockaid、Groom Lake、Security Alliance 和 FTI Consulting 等安全伙伴快速响应,2 分钟内 MetaMask 和 Coinbase Wallet 显示警告,4 小时内完全缓解,损失约 70 万美元。
损失金额:$ 700,000攻击手法:域名劫持
事件描述:据 CertiK 监测,Moonwell 借贷合约遭到多笔攻击交易。攻击者利用错误预言机返回的 wrst 价格(约 580 万美元),通过仅闪电贷约 0.02 wrstETH 并存入,反复借出超过 20 枚 wstETH,从中获利 295 ETH(约100万美元)。
损失金额:$ 1,000,000攻击手法:预言机攻击
事件描述:据 Arcadia Finance 发布的事故分析报告,2025 年 7 月 15 日 UTC 时间凌晨 04:05,发生了一起针对一系列外围合约的主动攻击。攻击者滥用了 Arcadia 账户所有者在资产再平衡器(rebalancer)和复合器(compounder)资产管理合约上的委托权限,导致损失约 360 万美元。此次攻击仅限于资产管理合约,借贷合约及代币合约未受影响。
损失金额:$ 3,600,000攻击手法:合约漏洞
事件描述:Impermax 在 Base 网络上遭攻击,Impermax 在推文中表示有人发起了闪电贷攻击,抽干了其 V3 流动池。Impermax 正在调查此事件,请勿与任何 V3 池交互。
损失金额:$ 400,000攻击手法:闪电贷攻击
事件描述:据慢雾安全团队监测,由于 @odosprotocol 缺乏输入验证,该漏洞已在多个链上被利用,损失约 10 万美元。ODOS 发推表示此次攻击利用了其经过审计的 executor 合约中的一个漏洞,窃取了存储在合约中的收入,但未影响任何用户资金。
损失金额:$ 100,000攻击手法:合约漏洞
事件描述:针对 Alien Base Bunnihub 合约的多次攻击交易导致约 3.8 万美元的损失。
损失金额:$ 38,000攻击手法:合约漏洞
事件描述:Virtuals Protocol 在 X 平台发文表示,官方 Discord 服务器遭攻击,请不要点击来自管理员的所有帖子和私人消息,直至另行通知。
损失金额:-攻击手法:账号被黑
事件描述:Standing on Bizness (BIZNESS) 疑似在 Base 上遭重入攻击,导致约 15,700 美元的损失。
损失金额:$ 15,700攻击手法:重入攻击