共有 48 条记录
事件描述:多链兑换协议 Rubic 遭到黑客攻击,损失超 140 万美元,攻击者已将 1100 枚 ETH 转入 Tornado Cash 混币协议。慢雾安全团队分析认为此次攻击的根本原因在于 Rubic 协议错误的将 USDC 代币添加进 Router 白名单中,导致已授权给 RubicProxy 合约的用户的 USDC 代币被窃取。
损失金额:$ 1,400,000攻击手法:数据传入错误
事件描述:一个 BNB Chain 上地址凭空铸造了超 10 亿美元的 pGALA 代币,并通过 PancakeSwap 售出获利,pGALA 合约黑客已获利 430 万美元。一 Smart Money 地址在此攻击事件中套利近 650 万美元,甚至超过了攻击者的利润。多链路由协议 pNetwork 发推表示,因跨链桥配置错误需要重新部署 BNB Chain 上的 pGALA 合约。Huobi Global 在提出将异常事件后买入的 GALA 将更名为 pGALA 的措施,且项目方同意对事故发生前的持币用户进行全额赔付后,宣布将重新上架 GALA。
损失金额:$ 10,800,000攻击手法:配置错误
事件描述:多链兑换协议 Rubic 发推称,管理员的一个钱包地址被盗用了,该地址管理 RBC/BRBC 跨链桥和质押奖励,团队怀疑是恶意软件盗取了私钥。攻击者在 Uniswap 和 PancakeSwap 上售出了大约 3400 万 RBC/BRBC,用户的质押资金是安全的,智能合约没有被利用。
损失金额:$ 1,200,000攻击手法:私钥泄露
事件描述:跨链 DeFi 协议 THORChain 网络中断,官方称已确定共识问题,将发布补丁(Patch)。代码将 cosmos.Uint(而不是 uint64)推送到字符串中,这导致字符串获取任意大的整数而不是实际值,导致备忘录字符串在不同的节点。10 月 28 日,THORChain 已重新上线并生产区块。网络正在签署出块交易,因此挂起的交易应该开始通过。一旦队列被清除,交易将被重新启用。预计 2-3 小时。在网络中断期间,投资者没有损失任何资金。然而,Thorchain 的原生币 RUNE 的兑换存款和取款在 Kucoin 等中心化交易所被暂停。
损失金额:-攻击手法:网络中断
事件描述:抗量子计算攻击的 Layer1 区块链 QANplatform(QANX) 发推文称,其智能合约跨链桥遭到攻击,攻击者设法提取了代币,提醒用户不要执行任何与 QANX 代币相关的交易。根据调查结果,黑客获得了桥接钱包的私钥,并在两笔交易中提取了超过 14 亿个价值超过 100 万美元的 QANX 代币。
损失金额:$ 2,000,000攻击手法:Profanity 漏洞
事件描述:Aurora Labs 的首席执行官 Alex Shevchenko 透露,一名试图从 Rainbow Bridge 窃取资金的攻击者在 31 秒内被阻止,在此过程中损失了 5 ETH。
损失金额:-攻击手法:伪造 NEAR 区块
事件描述:Celer 表示,cBridge 的前端界面遭受 DNS 缓存中毒攻击。本次攻击针对的是第三方 DNS 提供商,Celer 本身合约未收到影响,将对在此次事件中承受损失的用户 Celer 进行全额赔付。
损失金额:128.4 ETH攻击手法:BGP 劫持
事件描述:跨链互操作协议 Nomad 桥遭受黑客攻击,本次攻击是由于 Nomad 桥 Replica 合约在初始化时可信根被设置为 0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取,攻击者能够从攻击中榨取超过 1.9 亿美元的价值。到目前为止,已有 40 多个地址向 Nomad 返还了超过 3600 万美元。
损失金额:$ 154,000,000攻击手法:合约漏洞
事件描述:Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析,攻击者获利超 1 亿美元,包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD。26 日 Harmony 创始人 Stephen Tse 在 Twitter 上表示,Horizon 被攻击并非因为智能合约漏洞,而是由私钥泄露导致。虽然 Harmony 对私钥进行了加密存储,但攻击者还是解密了其中部分私钥并签名了一些未经授权的交易。目前 Harmony 已将 Horizon 在以太坊一侧的验证权限迁移至 4/5 多重签名。据悉,此次事件疑似与朝鲜黑客组织 Lazarus Group 有关。
损失金额:$ 100,000,000攻击手法:私钥泄露
事件描述:5 月 18 日,QANX Bridge 在世界标准时间 15:01:40 至 18:20:25 之间遭受攻击。开发者能够从 QANX Bridge 中提取 100,450,000 QANX,并在 Uniswap 上以 325 ETH 的价格出售,随后将其转入 Tornado Cash。到 5 月 26 日,黑客卖掉了所有盗来的 QANX 代币。
损失金额:100,450,000 QANX攻击手法:私钥泄露
事件描述:Rainbow Bridge 遭到伪造块攻击。但是,它被自动看门狗机制阻止,剥夺了攻击者的 2.5 ETH。
损失金额:-攻击手法:伪造 NEAR 区块
事件描述:据官方消息,Marvin Inu 的跨链桥遭受黑客攻击,被盗价值 110 ETH 的代币并被出售,造成价格的急剧下跌。项目方已关闭跨链桥并修复了漏洞,同时已将购买税调整为 0%,并承诺随后在价格波动稳定后回购并销毁代币以弥补本次损失。
损失金额:110 ETH攻击手法:合约漏洞
事件描述:Axie Infinity 侧链 Ronin Network 于今日发布社区警报,Ronin Network 出现安全漏洞,Ronin 桥 17.36w ETH 和 25.5M USDC 被盗,损失超 6.1 亿美元。如 Ronin 开发人员所说,攻击者使用被黑的私钥来伪造假提款,仅通过两次交易就从 Ronin 桥中抽走了资金。据悉,此次事件疑似与朝鲜黑客组织 Lazarus Group 有关。
损失金额:$ 610,000,000攻击手法:私钥泄露
事件描述:Meter.io 跨链桥遭遇黑客攻击,损失约 430 万美元(包括 1391.24945169 ETH 和 2.74068396 BTC)。黑客通过对原始(未受影响)跨链桥的扩展引入了虚假存款。Meter.io 官方表示,Meter Passport(跨链桥的扩展)具有自动打包和解包 Gas Token(如 ETH 和 BNB)的功能,以方便用户使用。然而,合约并没有阻止封装的 ERC20 Token 与原生 Gas Token 的直接交互,也没有正确转移和验证从调用者地址转移的 WETH 的正确数量。
损失金额:$ 4,300,000攻击手法:合约漏洞
事件描述:跨链桥 Multichain 表示,官方发现了一个对 WETH、PERI、OMT、WBNB、MATIC、AVAX 六种代币有影响的重要漏洞,现在该漏洞已经成功修复,所有用户的资产都是安全的,跨链交易也不会受影响。不过,如果用户曾经授权过这六种资产,需要尽快登录撤销授权,否则资产可能面临风险。根据 19 日的官方公告,由于部分用户未及时取消授权,被盗资金约 445 WETH,价值约 143 万美元。
损失金额:455 ETH攻击手法:未检验参数的合法性
事件描述:Optics Bridge 遭到攻击,多重签名钱包所有权已转移。cLabs 工程师 Tim Moreton 表示,Celo 上跨链通信协议 Optics 的多签权限被替换是由于有人激活了以太坊 GovernanceRouter 合约上的 Optics 恢复模式(recovery mode),导致现在恢复账户接管了 Optics 协议,覆盖掉了原本多签的权限。Tim Moreton 表示,他认为目前跨链桥上的资金没有风险。Tim Moreton 还表示,该情况发生在 cLabs 开除了 James Prestwich 后的 15 分钟内,目前团队正在与 James Prestwich 联系来寻找解决方案,目前团队正在努力退出恢复模式,并恢复社区的多签治理。James Prestwich 在推特上回应称,他从来就没有恢复模式的启动权限,并且对 cLabs 和 Celo 损害其声誉的行为表示遗憾。
损失金额:-攻击手法:多签权限漏洞
事件描述:Nerve 跨链桥 MetaPool 遭攻击,此次攻击是对 Nerve 跨链桥 BSC 上 fUSDT 及 UST MetaPool 的逻辑漏洞利用,造成 Nerve 质押池中的 fUSDT 和 UST 流动性被耗尽,攻击者获利约 900 BNB。此次受攻击的合约代码 Fork 自 Saddle.Finance。
损失金额:900 BNB攻击手法:逻辑漏洞
事件描述:跨链协议 Synapse Protocol 推出的资产跨链桥疑似存在漏洞,攻击者操纵了 nUSD Metapool 虚拟价格,将其降低了约 12.5%。最终,虽然资金从元池本身被抽走,但资金并没有丢失。当验证者离线时,从 LP 那里抽走资金的地址试图通过网桥转移资金,因此交易尚未处理。然而,验证者一致决定不处理此交易,因为它对 LP 和整个网络都是恶意的:因此,约 820 万美元的 nUSD 没有被铸造到目标链上攻击者的地址。该 nUSD 将改为返还给受影响的 Avalanche LP。
损失金额:-攻击手法:价格操纵
事件描述:跨链 DeFi 协议 Alpha Finance Labs 表示历史上共有 20 个地址在使用杠杆挖矿协议 Alpha Homora V2 的时候,因为交易被 MEV 机器人发现而损失总共 40.93 ETH。Alpha Finance 表示将以 ALPHA 代币的形式全额赔偿这些损失。对于该问题,Alpha Finance 认为是 Uniswap V2 的智能合约有隐含假设(implicit assumptions),这些假设未在合约层面上明确说明,所以他们认为这会导致滑点未被检查。Alpha Finance 表示会修复该问题,在交易时进行检查,所以这些情况将不再发生。
损失金额:40.93 ETH攻击手法:三明治攻击
事件描述:跨链协议 pNetwork 针对此前攻击事件致 277 枚 BTC 被盗发布分析报告称,UTC 时间 2021 年 9 月 19 日 17:20,pNetwork 系统遭到黑客攻击,该黑客对多个 pToken 网桥进行了攻击,包括 pBTC-on-BSC、TLOS-on-BSC、PNT-on-BSC、pBTC-on-ETH、TLOS-on-ETH 和 pSAFEMOON-on-ETH,不过,黑客仅在 pBTC-on-BSC 跨链桥上攻击成功,并从 pBTC-on-BSC 抵押品中窃取了 277 枚 BTC,其他 pToken 网桥不受影响且资金安全。
损失金额:277 BTC攻击手法:合约漏洞