共有 70 条记录
事件描述:Syscoin Bridge 遭受攻击。攻击者利用桥接流程中的验证问题,导致在 UTXO 侧产生约 50 亿 SYS 的未授权输出。资金随后被转移并拆分。项目方已暂停桥接、追踪污点资金并联系交易所进行冻结/监控,同时准备修复方案。
损失金额:$ 10,000,000攻击手法:桥验证漏洞
事件描述:Alephium TokenBridge 遭受攻击,黑客利用桥后端漏洞伪造消息,在约 7 分钟内从 Ethereum 和 BNB Chain 提取约 81.5 万美元资产,并 mint 出大量未 backing 的 wrapped ALPH。项目方迅速关闭桥梁,承诺补偿用户,并建议用户撤出 ALPH 流动性。
损失金额:$ 815,000攻击手法:桥后端的链下漏洞
事件描述:连接 Ethereum 与 Cosmos 生态的跨链桥 Gravity Bridge 疑似因合约密钥/签名权限泄露遭到攻击,黑客直接从桥合约提取约 $5.4M 资产(主要为 USDC、ETH、USDT)。攻击者已开始通过交易所和混币器洗钱,部分资金仍在攻击者控制中。
损失金额:$ 5,400,000攻击手法:私钥泄漏
事件描述:Butter Bridge V3.1(MAP Protocol 和 Butter Network 旗下跨链桥)遭遇攻击。攻击者利用 OmniServiceProxy 合约中 retryMessageIn 函数的 abi.encodePacked 哈希碰撞漏洞(动态字节字段无长度前缀导致不同数据打包出相同哈希),伪造跨链重试消息,绕过验证,在 Ethereum 和 BSC 上铸造了约 1 quadrillion(10^15)MAPO 代币(约为合法流通量 ~2.08 亿的 480 万倍)。攻击者随后将约 10 亿假币倾销到 Uniswap V4 ETH/MAPO 池中,抽取约 $180,000 流动性(≈52.21 ETH)。项目方迅速暂停桥和相关兑换功能,正在进行修复、审计和重新部署。待处理兑换的用户资金安全,剩余约 999 万亿假币仍在攻击者钱包中,存在持续稀释风险。
损失金额:$ 180,000攻击手法:合约漏洞
事件描述:Blockaid 检测到 Verus-Ethereum Bridge(Verus 到 Ethereum 跨链桥)正在遭受攻击。攻击者已抽走约 1158 万美元资产(包括约 1625 ETH、103.6 tBTC 和 14.7万 USDC)。部分资金通过 Uniswap 等 DEX 兑换并集中到 drainer 钱包。事件影响跨链桥基础设施,并非 Verus 主链核心协议。此前项目方刚发布紧急更新,但仍未能阻止此次利用。资金目前仍处于攻击者控制中。5 月 22 日,据派盾监测,Verus 跨链桥攻击者已向团队地址返还 4052.4 枚 ETH,约 850 万美元,占被盗总额的 75%,剩余 25% 约 1350 枚 ETH 作为赏金保留在攻击者钱包中。
损失金额:$ 11,580,000攻击手法:合约漏洞
事件描述:Adshares 桥(Bridge/Wrapper)于 2026 年 5 月 15 日在 Ethereum 上被利用。攻击者利用桥铸币 EOA 签署了三笔 wrapTo() 调用,这些调用绑定了 Adshares 主链上不存在的原生交易 ID,从而铸造了大量虚假 wrapped ADS(wADS:约10万×2 + 100万)。随后攻击者在 Uniswap V4 等平台抛售假代币,从流动性中抽走约 62.8 万美元(含 148.5 ETH + 约 30.5 万美元 USDC)。安全研究员迅速标记事件,项目方随后在链上发布白帽披露消息,提供 10% 赏金换取归还 90% 资金。
损失金额:$ 628,000攻击手法:桥验证绕过
事件描述:跨链聚合协议 Transit Finance 的旧版(2022 年部署并已弃用)TRON 网络智能合约遭利用,黑客从中抽走约 188 万美元的 DAI 资产。资金随后转移至以太坊地址。项目方确认这是历史遗留合约漏洞,当前版本合约安全,已完成隔离修复。他们承诺全额补偿受影响用户,并向攻击者地址发送链上消息,提供 48 小时内返还资金的赏金,否则将采取法律行动。
损失金额:$ 1,880,000攻击手法:合约漏洞
事件描述:TON 网络扩展项目 TAC 的跨链层 TON 侧遭外部攻击者利用,损失约 280 万美元的 USDT、BLUM 和tsTON。TAC 代币、TON 本身以及从以太坊跨链过来的 ERC-20 代币未受影响。桥接服务已暂停,团队正在进行取证分析和修复,并计划通过基金会 TAC 代币储备的合法结构化出售来补偿用户并恢复流动性。团队将与执法部门、安全伙伴合作追踪资金,并在 48 小时内发布事后分析报告。
损失金额:$ 2,854,000攻击手法:合约漏洞
事件描述:Syndicate Labs 的 Commons 跨链桥合约因私钥泄露遭到攻击。攻击者利用泄露的升级密钥恶意升级桥合约,从中提取约 1850 万 SYND 代币(价值约 33 万美元)以及约 5 万美元的用户资产,总损失约 380,000 美元。事件仅影响特定链,项目方承诺全额补偿受影响用户。
损失金额:$ 380,000攻击手法:私钥泄漏
事件描述:ZetaChain 在 X 平台发文披露,ZetaChain GatewayEVM 合约今日遭到攻击,仅影响 ZetaChain 内部团队钱包。已封堵攻击途径,防止更多资金被盗。作为预防措施,ZetaChain 上的跨链交易目前已暂停。调查仍在进行中,目前没有用户资金受到攻击影响。4 月 29 日,ZetaChain 在 X 平台发布更新称,4 月 27 日,ZetaChain 遭遇了一次有预谋的定向攻击,攻击者使用了 Tornado Cash 进行资金充值并伪造了钱包地址。跨链 ZETA 转账未受影响,用户资金未受影响,受影响钱包均为 ZetaChain 控制。主网补丁已部署,跨链交易将在持续监控后重新启用。该攻击影响了 GatewayEVM 的特定任意调用功能,导致四条连接链共损失约 33.4 万美元。
损失金额:$ 334,000攻击手法:合约漏洞
事件描述:LayerZero 发布声明称,4 月 18 日 Kelp DAO 遭受约 2.9 亿美元攻击,初步判断为高度复杂的国家行为者(疑似朝鲜 Lazarus Group 下属 TraderTraitor)所为。此次攻击完全孤立于 Kelp DAO 的 rsETH 配置,系其采用单 DVN(Decentralized Verifier Network)设置所致。LayerZero 协议本身未被利用,无任何其他跨链资产或应用受到波及。攻击核心是黑客通过污染 LayerZero DVN 依赖的下游 RPC 基础设施,获取了 DVN 使用的 RPC 节点列表,并入侵了两个独立 RPC 节点,替换了 op-geth 二进制文件,并使用自定义 payload 伪造消息,只对 DVN 显示假数据,对其他 IP(包括 LayerZero Scan)显示真实数据。之后黑客通过 DDoS 攻击未被入侵的 RPC,触发故障转移到已投毒的 RPC,使得假消息被接受从而完成攻击。攻击完成后,黑客删除了恶意的二进制文件、日志与配置。目前 LayerZero 已废弃所有受影响 RPC 节点并完成替换,DVN 已恢复正常运行。
损失金额:$ 293,000,000攻击手法:供应链攻击
事件描述:据 CertiK Alert 监测,Hyperbridge 网关合约遭攻击,攻击者通过伪造消息,篡改了以太坊上 Polkadot 代币合约的管理员权限,并通过铸造并出售 10 亿枚代币获利约 23.7 万美元。4月16日 消息,据 Hyperbridge 公告,其代币网关在 4 月 13 日遭攻击,初步损失估算由约 23.7 万美元上调至约 250 万美元,主要为Ethereum、Base、BNB Chain 和 Arbitrum 上的激励资金池受损。
损失金额:$ 2,500,000攻击手法:合约漏洞
事件描述:Aethir 的跨链桥合约(主要涉及 AethirOFTAdapter 等 Ethereum 相关桥接合约)遭受攻击。攻击者利用访问控制或所有权转移漏洞(如 transferOwnership 问题),试图从桥中抽取资金(涉及 BNB Chain 等)。Aethir 团队迅速检测到异常,立即断开受影响合约,与 Binance、Upbit、Bithumb 等交易所合作冻结/黑名单攻击者地址,有效遏制进一步损失。Ethereum 主网 ATH 总供应量未受影响,ETH-ARB 等其他桥未波及。初始估计损失约 40 万美元,最终用户实际损失控制在 9 万美元以内。项目承诺后续补偿计划。
损失金额:$ 90,000攻击手法:合约漏洞
事件描述:一名用户错误地将无限额度(MAX_UINT)批准给了 SquidMulticall 合约(而非正确的 Squid Router 合约)。攻击者随后调用 SquidMulticall 的公开 run() 函数,构造 calldata 执行 transferFrom(),从受害者已批准的代币中抽走资金,影响 ETH、BSC、Arbitrum 等多链,总损失约 51.7 万美元。
损失金额:$ 517,000攻击手法:批准滥用
事件描述:DGLD(瑞士实体黄金背书代币)因 Ethereum 合约 legacy transferFrom 行为异常,被攻击者在 Base 网络无限铸造大量无背书假 DGLD 代币并在 DEX 抛售。项目方迅速暂停合约并冻结非法代币,物理黄金完全安全,所有攻击前持有者未受损失,经济影响约 $25 万主要由项目方承担。
损失金额:$ 250,000攻击手法:合约漏洞
事件描述:物联网公链 IoTeX 遭遇专业黑客攻击,起因为跨链桥 ioTube 在以太坊侧的验证者所有者(Owner)私钥泄露,导致黑客获取管理权限并非法提取代币保险库资产。经官方 2 月 24 日最终确认,此次事件共造成约 440 万美元的资产损失(包括 USDC、USDT、IOTX 和 WBTC),黑客已将大部分被盗资金兑换为约 2,183 枚 ETH 并通过 THORChain 跨链至比特币网络(目前锁定约 66.6 BTC)。IoTeX 团队现已通过 v2.3.4 主网升级 实施安全加固及黑名单拦截,并向攻击者发出链上通牒:若在 48 小时内归还资金,可获得 10%(约 44 万美元) 的白帽赏金且免除法律责任,目前团队正同步制定受损用户补偿计划。
损失金额:$ 4,400,000攻击手法:私钥泄漏
事件描述:跨链流动性协议 CrossCurve(原名 EYWA)确认其跨链桥协议“正遭受攻击”,原因是其智能合约中的一个漏洞被利用,导致约 300 万美元资金被跨多个网络窃取。区块链安全机构 Defimon Alerts 发现,此次攻击的攻击途径是 CrossCurve 的 ReceiverAxelar 合约中的网关验证绕过漏洞。分析显示,任何人都可以使用伪造的跨链消息调用该合约的 expressExecute 函数,从而绕过预期的网关验证,并触发协议 PortalV2 合约上的未经授权的代币解锁。随后,跨链流动性协议 CrossCurve 发布关于 $EYWA 代币安全更新,称已成功控制住了漏洞利用。
损失金额:$ 3,000,000攻击手法:合约漏洞
事件描述:据 CertiK Alert 监测,Garden 攻击者已将 501 枚 BNB 和 1910 枚 ETH(总计约 665 万美元)转移至Tornado Cash。0x98BC 开头地址仍持有约 91 万美元资产。据悉,Garden Finance 因求解器遭入侵,于10月31日被攻击损失约 1080 万美元。
损失金额:$ 10,800,000攻击手法:未知
事件描述:402Bridge 发布推文提醒用户:目前已发生代币被盗事件,技术团队正在对整个事件过程进行调查,建议所有用户立即撤销已有授权并尽快将资产转移出钱包。据了解,x402 跨链协议 402Bridge 疑似被盗,合约所有权被原创建者转移至地址 0x2b8F...,超 200 位用户因授权过多数量导致剩余 USDC 被转走,0x2b8F9 开头地址共转移用户 17693 枚 USDC,随后将 USDC 换成 ETH 后经过多次跨链交易跨至 Arbitrum。随后 402Bridge 进一步确认,由于本次私钥泄露,团队的十几个测试钱包和主钱包亦遭到攻击。
损失金额:$ 17,693攻击手法:私钥泄漏
事件描述:Web3 孵化器和 Launchpad 平台 Seedify 创始人 Meta Alchemist 在 X 平台发文称,其一条 SFUND 跨链桥最近遭遇黑客攻击。据 Seedify 官推消息,一个与朝鲜相关、在 Web3 领域发动过多起攻击的黑客组织获取了一名开发者的私钥。利用该权限,他们通过一个此前已经通过审计的跨链桥合约,大量铸造了 SFUND 代币。OFT 合约因此遭到破坏,攻击者得以修改合约设置,并在 Avalanche 链上未经授权铸造代币。随后,黑客将铸造的代币转移到许多链上,包括 BNB,他们在 BNB 上出售了大部分 SFUND 代币。对此,币安创始人赵长鹏表示,已与行业内几位安全人员交流,他们成功追踪并冻结了 HTX 交易所上约 20 万美元的被盗资金。
损失金额:$ 1,700,000攻击手法:私钥泄露