共有 53 条记录
事件描述:Optics Bridge 遭到攻击,多重签名钱包所有权已转移。cLabs 工程师 Tim Moreton 表示,Celo 上跨链通信协议 Optics 的多签权限被替换是由于有人激活了以太坊 GovernanceRouter 合约上的 Optics 恢复模式(recovery mode),导致现在恢复账户接管了 Optics 协议,覆盖掉了原本多签的权限。Tim Moreton 表示,他认为目前跨链桥上的资金没有风险。Tim Moreton 还表示,该情况发生在 cLabs 开除了 James Prestwich 后的 15 分钟内,目前团队正在与 James Prestwich 联系来寻找解决方案,目前团队正在努力退出恢复模式,并恢复社区的多签治理。James Prestwich 在推特上回应称,他从来就没有恢复模式的启动权限,并且对 cLabs 和 Celo 损害其声誉的行为表示遗憾。
损失金额:-攻击手法:多签权限漏洞
事件描述:Nerve 跨链桥 MetaPool 遭攻击,此次攻击是对 Nerve 跨链桥 BSC 上 fUSDT 及 UST MetaPool 的逻辑漏洞利用,造成 Nerve 质押池中的 fUSDT 和 UST 流动性被耗尽,攻击者获利约 900 BNB。此次受攻击的合约代码 Fork 自 Saddle.Finance。
损失金额:900 BNB攻击手法:逻辑漏洞
事件描述:跨链协议 Synapse Protocol 推出的资产跨链桥疑似存在漏洞,攻击者操纵了 nUSD Metapool 虚拟价格,将其降低了约 12.5%。最终,虽然资金从元池本身被抽走,但资金并没有丢失。当验证者离线时,从 LP 那里抽走资金的地址试图通过网桥转移资金,因此交易尚未处理。然而,验证者一致决定不处理此交易,因为它对 LP 和整个网络都是恶意的:因此,约 820 万美元的 nUSD 没有被铸造到目标链上攻击者的地址。该 nUSD 将改为返还给受影响的 Avalanche LP。
损失金额:-攻击手法:价格操纵
事件描述:跨链 DeFi 协议 Alpha Finance Labs 表示历史上共有 20 个地址在使用杠杆挖矿协议 Alpha Homora V2 的时候,因为交易被 MEV 机器人发现而损失总共 40.93 ETH。Alpha Finance 表示将以 ALPHA 代币的形式全额赔偿这些损失。对于该问题,Alpha Finance 认为是 Uniswap V2 的智能合约有隐含假设(implicit assumptions),这些假设未在合约层面上明确说明,所以他们认为这会导致滑点未被检查。Alpha Finance 表示会修复该问题,在交易时进行检查,所以这些情况将不再发生。
损失金额:40.93 ETH攻击手法:三明治攻击
事件描述:跨链协议 pNetwork 针对此前攻击事件致 277 枚 BTC 被盗发布分析报告称,UTC 时间 2021 年 9 月 19 日 17:20,pNetwork 系统遭到黑客攻击,该黑客对多个 pToken 网桥进行了攻击,包括 pBTC-on-BSC、TLOS-on-BSC、PNT-on-BSC、pBTC-on-ETH、TLOS-on-ETH 和 pSAFEMOON-on-ETH,不过,黑客仅在 pBTC-on-BSC 跨链桥上攻击成功,并从 pBTC-on-BSC 抵押品中窃取了 277 枚 BTC,其他 pToken 网桥不受影响且资金安全。
损失金额:277 BTC攻击手法:合约漏洞
事件描述:跨链互操作协议 Poly Network 称遭到攻击,共计超 6.1 亿美元转出至 3 个地址,其中,转出至 0x0D6e2 开头币安智能链地址的资金有超 2.5 亿美元,转至 0xC8a65 开头的以太坊地址有超 2.7 亿美元,转至 Polygon 地址的有超 8500 万美元。受此影响,此前 O3 Swap 跨链池大额资产被转出,官方正展开调查。在多方努力下,黑客目前已返还价值 3.42 亿美元的代币。
损失金额:$ 613,062,100.7攻击手法:权限被盗
事件描述:去中心化跨链交易协议 THORChain (RUNE) 称,有黑客向以太坊地址空投 UniH 代币为诱饵,盗取用户钱包中的 RUNE 代币。黑客已向至少 7.6 万个以太坊地址空投带有恶意合约的 UniH 代币,一旦接收用户在去中心化交易平台如 Uniswap 出售了他们新收到的 UniH 代币(甚至只是批准出售),黑客将可以窃取他们钱包中拥有的任何 RUNE 代币。这是因为 RUNE 代币使用非标准代币合约,称为「tx.origin」。根据 Thorchain 的 RUNE 代币合约代码「谨防可能通过拦截 tx.origin 窃取代币的钓鱼合同」,它知道这种类型的攻击可能发生,在短短数小时内,黑客已窃取价值 7.6 万美元的代币。
损失金额:$ 76,000攻击手法:钓鱼攻击
事件描述:去中心化跨链交易协议 THORChain (RUNE) 称再次遭遇攻击,包括 XRUNE 在内的多种 ERC20 代币受到影响。这次攻击针对 ETH 路由,损失 800 万美元,攻击者「有意限制了攻击造成的影响,似乎为白帽所为」。
损失金额:$ 8,000,000攻击手法:逻辑漏洞
事件描述:去中心化跨链交易协议 THORChain (RUNE) 更新被攻击情况,称损失资产数量约为 4000 ETH,初步评估此次攻击是 Eth Bifrost 用路由合约来捕获 ERC-20 代币时的逻辑漏洞被攻击者利用。前不久 THORChain 更新了 Eth Bifrost 以允许路由合约被合约「封装」,攻击者藉此发送一个 msg.value = 200 ETH 的交易,同时立即使用合约将其转回给自己,而 Bifrost 则会报告 msg.value = 200 而非 depositAmount = 0 ,从而实现以 0 ETH 的金额调用路由合约牟利。
损失金额:$ 7,600,000攻击手法:假充值漏洞
事件描述:跨链桥项目 Multichain (原 Anyswap)发布公告表示,新推出的 V3 跨链流动性池在昨日凌晨遭到黑客攻击, 总计损失为239 万 USDC 与 550 万 MIM,根据 Etherscan 显示,黑客已将所有 MIM 出售并获得 548 万 DAI,这意味 Multichain 总损失超过 787 万美元。根据 Multichain 公告对被盗原因的解释,在 BSC 上的 V3 路由器 MPC 帐户下检测到两个 v3 路由器交易,这两个交易具有相同的 R 值签名,而黑客反推到这个 MPC 账户的私钥。目前团队已修复代码以避免使用相同的 R 签名,多链路由器 V3 将在大约 48 小时后重新启动,v1 和 v2 不存在安全风险。Multichain 表示已经采取了补救措施,以提供全额赔偿。Multichain 将在 48 小时内重新填充被盗的流动性,流动性提供者将能够再次从资金池中提取资产,不会产生任何损失。
损失金额:$ 7,870,000攻击手法:合约漏洞
事件描述:跨链桥 Chainswap 在官方博客公布了被盗事件详情,总计 20 个项目资产被盗,合计价值约 400 万美元。目前,ChainSwap 团队现已与受影响的项目达成共识,初步制定并执行了补偿计划。根据该项目调查,由于代币跨链配额代码中的错误,链上交换桥配额由签名节点自动增加,其目的是在无需人工控制的情况下更加去中心化。但是,由于代码中的逻辑缺陷,这导致了通过允许未列入白名单的无效地址自动增加数量的漏洞。
损失金额:$ 4,000,000攻击手法:合约漏洞
事件描述:跨链资产桥 Chainswap 今日公布了黑客攻击事件详情,称 UTC 时间 7 月 2 日凌晨 04:30,注意到跨链桥上出现异常,一些用户报告说他们的代币被主动从与 ChainSwap 交互的钱包中取出,ChainSwap 团队发现后立即冻结了跨链桥,关闭了所有节点,并在 30 分钟内部署了修复程序。受影响项目的团队收到了警报。据公告,本次被盗资产包括 32237576.17 TSHP、 80052.82027 CORRA、643405.7157 BLANK、2922720 RAI, 19392.27712 ROOM、4820309.98 DEXT、210,108.22 UMB、55476328.8 FAIR。Chainswap 表示,经过与黑客协商已收回部分 CORRA 和 RAI 代币,同时预计总损失为 80 万美元,目前已从市场回购少量受影响的代币并返还合约钱包,其余部分将由 Chainswap 金库进行全额赔偿。此外,Chainswap 还将向受影响的用户发放补偿金。
损失金额:$ 800,000攻击手法:合约漏洞
事件描述:去中心化跨链交易协议 THORChain 发推称发现一个针对 THORChain 的恶意攻击,THORChain 节点已作出反应并隔离防御,该次攻击造成的资金损失为 14 万美元,但 THORChain 表示用户资金不会受到影响,将会用资金库来弥补漏洞资金。团队表示,此次攻击的路径为 EthBifrost 在处理与 ETH 相同的符号时出现逻辑错误,THORChain 称在 30 分钟内修复了 Bifrost,并采取节点防御停止 Bifrost 和 THORNode。该团队称还将投入资金用于持续的代码审查和监控。
损失金额:$ 140,000攻击手法:假充值漏洞