共有 47 条记录
事件描述:游戏区块链 Ronin 疑似遭攻击,Ronin Bridge 项目出现异常提取跨链资产的行为。慢雾安全团队分析,漏洞原因是由于权重被修改为意外值,资金无需经过任何多重签名阈值检查即可提取。攻击者从桥中提取了约 4000 个 ETH 和 200 万 USDC,价值约 1200 万美元。截至 8 月 7 日,白帽归还了 1200 万美元的资产,并获得 50 万美元的漏洞赏金。
损失金额:$ 12,000,000攻击手法:合约漏洞
事件描述:比特币 DeFi 应用程序 ALEX Lab 的桥接服务遭到疑似私钥泄露攻击,导致其各种代币损失超过 430 万美元。黑客转移了价值超过 30 万美元的 BTC、价值 330 万美元的稳定币和价值 7.5 万美元的 Sugar Kingdom(SKO)代币。
损失金额:$ 4,300,000攻击手法:私钥泄露
事件描述:跨链桥项目 XBridge 因合约漏洞在以太坊主网和 BNB 链上遭遇攻击,导致约 144 万美元的损失。
损失金额:$ 1,440,000攻击手法:合约漏洞
事件描述:跨链桥 X Bridge 发生多笔可疑交易,且仍在进行。一个可疑地址通过 TornadoCash 在 BNBChain 上获得了资金,随后被桥接到ETH,然后将 0.15 枚ETH存入“OwnedUpgradeabilityProxy”。没过多久,该项目的“OwnedUpgradeabilityProxy”合约中,有 4.82 亿枚 STC 被提取出来,总价值为 82.4 万美元。
损失金额:$ 824,000攻击手法:未知
事件描述:跨链桥 Meson Finance 的推特账号发布了一条带有钓鱼链接的帖子。Meson Finance 于推特发文表示,已删除了相关内容,并确认问题源于第三方 API,而不是对帐户的直接攻击。
损失金额:-攻击手法:账号被黑
事件描述:L2 跨链桥 LayerSwap 的 http://layerswap[.]io 域名的 @GoDaddy 账号遭到了入侵。域名泄露导致出现了一个钓鱼网站,大约 50 位用户损失了价值约 10 万美元的资产。Layerswap 表示将全额退款给受影响的用户,并额外支付 10% 作为由此造成的不便的补偿。
损失金额:$ 100,000攻击手法:DNS 攻击
事件描述:宣传为以太坊网络和比特币之间的隐私桥梁的 OrdiZK 跑路,导致约 140 万美元的损失。
损失金额:$ 1,400,000攻击手法:跑路
事件描述:跨链桥协议 Orbit Chain 遭黑客攻击,损失 8,160 万美元。Orbit Chain 发推表示,团队已要求全球主要加密货币交易平台冻结被盗资产。
损失金额:$ 81,600,000攻击手法:未知
事件描述:LayerZero 在 Discord 上的一名管理员表示,一名诈骗者在 Stargate Snapshot 平台的提案投票中引入了网络钓鱼链接,诱使用户质押 STG 代币。超过 1000 名用户参与了投票,导致损失约 43,000 美元。
损失金额:$ 43,000攻击手法:钓鱼攻击
事件描述:OmniBTC 的 Discord 被黑,攻击者在公告频道中发布了一个钓鱼链接。
损失金额:-攻击手法:账号被黑
事件描述:据多位社区用户反映,Layer2 互操作性协议 Connext 空投申领环节疑似出现问题,有部分账户的 NEXT 代币被 claim 到非预期的地址。链上数据显示,0x44Af 开头地址在过去 1 小时内通过 230 个账号领取大量 Connext 代币 NEXT 空投,并全部卖出换成 ETH、USDT 与 USDC,收入近 39,000 美元。据慢雾分析,用户可以通过 NEXT Distributor 合约的 claimBySignature 函数领取 NEXT 代币。其中存在 recipient 与 beneficiary 角色,recipient 角色用于接收 claim 的 NEXT 代币,beneficiary 角色是有资格领取 NEXT 代币的地址,其在 Connext 协议公布空投资格时就已经确定。在用户进行 NEXT 代币 claim 时,合约会进行两次检查:一是检查 beneficiary 角色的签名,二是检查 beneficiary 角色是否有资格领取空投。在进行第一次检查时其会检查用户传入的 recipient 是否是由 beneficiary 角色进行签名,因此随意传入 recipient 地址在未经过 beneficiary 签名的情况下是无法通过检查的。如果指定一个 beneficiary 地址进行构造签名即使可以通过签名检查,但却无法通过第二个对空投领取资格的检查。空投领取资格检查是通过默克尔证明进行检查的,其证明应由 Connext 协议官方生成。因此没有资格领取空投的用户是无法绕过检查领取他人的空投的。9 月 7 日,Connext 发布事后分析,称攻击者对 Tokensoft 的 API 进行 DOS 操作,导致申领数据库和 UI 宕机。在此过程中,来自 253 个钱包(与 Connext 无关)的 274,956 枚 NEXT 被申领(占此次空投总量的 0.26%),并在普通用户能够申领之前以约 4 万 USDT 的价格出售。但 Connext 没有以任何方式受到损害。在 DOS 攻击结束后,空投申领恢复正常。
损失金额:$ 39,000攻击手法:Dos 攻击
事件描述:价值约 1.26 亿美元的代币已从 Fantom 网络上的 Multichain 桥上撤出,转移的代币包括价值 5800 万美元的稳定币 USDC、1020 枚 WBTC(约合 3090 万美元)、7,200 枚 WETH(约合 1370 万美元)和 400 万美元稳定币 DAI(上述四种代币价值已超 1 亿美元),这还包括 Chainlink、YFI、Wootrade Network 等其他代币以及 UniDex 总供应量的近四分之一。资产似乎也在 Multichain 的 Moonriver bridge上移动,其中包括 480 万枚 USDC 和 100 万枚 USDT。Dogechain 也出现了异常资金流动,至少 66 万枚 USDC 被发送到与 Moonriver 资金流动相同的钱包。Multichain 在推特上表示,“团队不确定发生了什么,目前正在调查”,并建议用户停止使用该服务并撤销合同批准。
损失金额:$ 126,000,000攻击手法:未知
事件描述:跨链互操作协议 Poly Network 再次遭受攻击,本次攻击导致 11 个区块链上的 58 种资产受到影响。据慢雾分析,Poly Network 黑客已获利价值超 1000 万美元的主流资产。攻击者在程序编译环境中植入木马病毒,从而获取Poly Network中继链的共识密钥。随后,他们利用这些密钥来伪造跨链交易。黑客在程序编译过程中植入木马代码块,在程序启动时获取并上传共识密钥。然后,他们使用这些密钥对伪造的 Poly Network 中继链的区块头进行签名,最终将伪造的跨链交易和区块头提交到目标链以执行跨链漏洞利用。
损失金额:$ 10,000,000攻击手法:木马病毒
事件描述:基于分片架构的区块链网络 Cellframe Network 疑似遭遇闪电贷攻击,攻击者获利 245 枚 BNB(约 7.4 万美元),代币 CELL 已下跌逾 65%。据 MistTrack 分析,以太坊上的攻击者地址(0x252...079)曾从 binance 提款 1.37 ETH。
损失金额:$ 74,000攻击手法:闪电贷攻击
事件描述:Multichain 推特发文称,虽然 Multichain 协议的大部分跨链路由运行正常,但由于不可抗力,部分跨链路由无法使用,恢复服务的时间未知。服务恢复后,待处理的交易将自动入账。Multichain 将对在此过程中受到影响的用户进行补偿,补偿方案将在后续公布。据多个社群用户此前反映,Multichain 跨链资金到账存在异常延迟。行情显示,Multichain 代币 MULTI 过去 24 小时下跌 24.1%,目前报 5.36 美元。
损失金额:-攻击手法:未知
事件描述:据 The Block 报道,跨链互操作性协议 Celer Network 周三报告称,它已修补由 Jump Crypto 首次发现的一个代码漏洞。在 Celer 和 Jump Crypto 发布的博客文章中,披露了 Celer 权益证明 (PoS) 区块链 State Guardian Network(SGN) 中的一个漏洞。如果被执行,该漏洞可能允许恶意验证节点提交大量欺诈性“投票”,从而导致网络状态改变。Celer 强调,漏洞没有造成任何资金损失。该漏洞无法公开访问,在发现时也没有资金面临直接风险。Celer 表示,由于该发现,它将提议为 Jump Crypto 提供漏洞赏金。
损失金额:-攻击手法:合约漏洞
事件描述:跨链交易平台 zkLink 的 Discord 服务器已被入侵,有黑客发布了网络钓鱼链接。在团队确认重获对服务器的控制之前,请勿点击任何链接。
损失金额:-攻击手法:Discord 被黑
事件描述:跨链桥 Allbridge 遭黑客攻击,损失约 57 万美元(包含约 28 万枚 BUSD 和约 29 万枚 USDT)。根本原因似乎是资金池的 Swap 价格被操纵。黑客扮演流动性提供者和交易者的双重角色,耗尽池中的资金。4 月 4 日,Allbridge 在推特表示:“0xC578 地址所有者联系了我们并退还了 1500 枚 BNB(约合 46.36 万美元),剩余的资金将被视为对此人的白帽赏金。
损失金额:$ 570,000攻击手法:价格操纵
事件描述:Multichain 的 AnyswapV4Router 合约遭遇抢跑攻击,攻击者获利约 87 个以太坊,约 13 万美元。经分析,攻击者利用 MEV 合约 (0xd050) 在正常的交易执行之前(用户授权了 WETH 但是还未进行转账)抢先调用了 AnyswapV4Router 合约的 anySwapOutUnderlyingWithPermit 函数进行签名授权转账,虽然函数利用了代币的 permit 签名校验,但是本次被盗的 WETH 却并没有相关签名校验函数,仅仅触发了一个 fallback 中的 deposit 函数。在后续的函数调用中攻击者就能够无需签名校验直接利用 safeTransferFrom 函数将 _underlying 地址授权给被攻击合约的 WETH 转移到攻击合约之中。
损失金额:$ 130,000攻击手法:抢跑攻击
事件描述:多链兑换协议 Rubic 遭到黑客攻击,损失超 140 万美元,攻击者已将 1100 枚 ETH 转入 Tornado Cash 混币协议。慢雾安全团队分析认为此次攻击的根本原因在于 Rubic 协议错误的将 USDC 代币添加进 Router 白名单中,导致已授权给 RubicProxy 合约的用户的 USDC 代币被窃取。
损失金额:$ 1,400,000攻击手法:数据传入错误