共有 440 条记录
事件描述:TrustedVolumes(1inch Fusion 等协议的重要流动性提供商/Resolver)遭黑客利用其自定义 RFQ Swap Proxy 合约漏洞攻击,损失约 670 万美元。项目方在 X 上确认事件,并公开存放被盗资金的三个地址,表示愿意与攻击者就漏洞赏金进行建设性沟通和协商解决。1inch 官方表示其协议、基础设施和用户资金不受影响,此次攻击仅限于 TrustedVolumes 控制的自定义组件。
损失金额:$ 6,700,000攻击手法:合约漏洞
事件描述:据 Blockaid 监测,Ekubo Protocol 在以太坊上的自定义扩展合约凌晨遭受攻击,目前已被盗约 140 万美元。Ekubo 用户本身不受影响,只有授权该 V2 合约作为代币支出者的用户存在风险。漏洞根源在于 Ekubo 扩展合约的 IPayer.pay 回调函数中,token.transferFrom 的 payer、token 和 amount 参数直接来自锁定载荷,由攻击者控制。合约未检查 payer 是否为锁定的发起者或授权的支付方,攻击者可利用用户此前对该合约的 ERC-20 授权,通过 Core 锁定路由至扩展合约,将任意授权用户设为 payer 并将自己设为提款接收方,从而盗取资产。
损失金额:$ 1,400,000攻击手法:合约漏洞
事件描述:Trading Protocol 下的 YieldCore-3rd-deal 金库遭受攻击。攻击者利用合约中调用者授权检查缺失(missing caller authorization check) 的漏洞,绕过权限机制,直接将金库中的所有资金转出。金库为 permissionlessly listed(任何人可上架),并非协议核心部分。此次攻击导致金库被完全清空。
损失金额:$ 398,000攻击手法:合约漏洞
事件描述:DeFi 协议 Giddy 的 GiddyVaultV3 合约遭遇攻击,损失约 130 万美元。攻击源于其授权校验逻辑中的设计缺陷。该合约在使用 EIP-712 签名机制时,仅对 SwapInfo 结构中的部分数据进行签名校验,未覆盖包括 aggregator、fromToken、toToken 及 amount 在内的关键参数,导致签名保护范围不完整。攻击者利用这一缺陷,复用一份合法签名,并构造恶意交易参数:将 fromToken 替换为策略中的 LP Token,将 aggregator 指向攻击者控制的合约,同时将 toToken 替换为自定义代币,并将交易金额设置为最大值。由于这些关键字段未纳入签名校验范围,合约在验证通过后执行了该恶意交易。最终,攻击者成功转移协议资产,造成约 130 万美元损失。
损失金额:$ 1,300,000攻击手法:合约漏洞
事件描述:Thetanuts Finance 的一个新金库合约遭受 First Depositor Attack(首存者攻击 / 初始化攻击)。攻击者利用金库在部署初期 totalAssets 和 totalSupply 均为 0 时,share 计算逻辑的漏洞:先存入极小金额(如 1 wei)铸造 1 share,然后直接向合约转入大量资产(如 ETH),扭曲资产与份额比例。随后正常用户存入时获得极少份额,攻击者赎回其 1 share 即可抽取几乎全部金库资产。损失约 5 万美元。该协议整体为期权策略金库,此次影响特定新金库。
损失金额:$ 50,000攻击手法:合约漏洞
事件描述:Juicebox V3(REVLoans 借贷扩展)遭受 borrowFrom Spoof Attack(借贷伪造攻击)。攻击者利用 borrowFrom 函数对参数(尤其是 source 参数)验证不足的问题:调用者可提供未注册的 REVLoanSource(包含 terminal 和 token),导致会计上下文被伪造。当 currency 匹配时,协议跳过价格预言机并使用攻击者控制的 decimals 和余额计算,扭曲份额价格并允许以 inflated 价值借出资产。攻击通过两笔交易完成(第一笔污染会计记录,第二笔针对合法池借贷),共抽取约 21.77 ETH(价值约 5.2 万美元)。
损失金额:$ 52,000攻击手法:合约漏洞
事件描述:Vitalik Buterin 发推表示,eth.limo 的 DNS 注册商遭受攻击,建议用户暂时不要访问 vitalik.eth.limo 或其他 eth.limo 相关页面,待官方确认恢复正常后再行访问。
损失金额:-攻击手法:DNS 劫持
事件描述:安全公司 Blockaid 称其系统识别到去中心化交易平台 CowSwap 的前端遭遇攻击, Cow.fi 当前已被标记为恶意站点。 Blockaid 警告称,曾将钱包连接至 CowSwap 的用户应立即通过钱包或安全工具撤销相关合约授权,并在问题解除前停止与 Cow.fi 进行任何交互,以防资产被盗。CoW DAO 随后发布公告,CoW Swap前端(swap.cow.fi)当前出现故障,团队正在调查处理中,并提醒用户暂时不要使用该平台进行交易。4 月 16 日消息,CoW Swap 在 X 平台发文表示,其已收回 cow.fi 域名控制权,并已在 cow.finance 正常运行一段时间,目前正逐步过渡回原域名。
损失金额:$ 1,200,000攻击手法:供应链攻击
事件描述:BNB Chain(部分来源提及跨链影响,但核心为 EIP-7702 委托)上一个启用 EIP-7702 委托代码的用户 EOA 账户被攻击。受害者曾使用 EIP-7702 Type-4 交易为账户设置委托代码(用于执行 swap 相关逻辑),但委托的代码中 pancakeV3SwapCallback() 函数缺少严格的访问控制(access control)。攻击者直接调用该 callback 函数并构造恶意 calldata,迫使受害者账户将持有的代币转移至攻击者地址,导致约 17,200 美元损失。
损失金额:$ 17,200攻击手法:合约漏洞
事件描述:DeFi 项目 Steakhouse Financial 昨日披露其遭遇针对 OVH Cloud 的电话社交工程攻击,攻击者更改主站和 app 子域名的 DNS A 记录指向恶意 IP,并试图启动 5 天的域名转移。目前相关更改已撤销,DNS 记录已清空,正在与 OVH 合作解决。所有金库和合约未受影响,储户资金安全,无其他服务账户被入侵。在问题解决前请勿与官网和邮件交互,详细事后报告将尽快发布。今日凌晨,Steakhouse Financial 表示,在官网域名 DNS 记录清空期间,金库仍可通过 Morpho 直接访问,存款、提款等所有功能正常,前端恢复后将另行确认。
损失金额:-攻击手法:社交工程
事件描述:PeckShield 在 X 平台发文警示称,Resolv Labs 稳定币 USR 疑似已出现多笔大额铸造,目前已铸造价值 8000 万美元的 USR。
损失金额:$ 25,000,000攻击手法:合约漏洞
事件描述:DeFi 协议 Neutrl 在 X 平台发文宣布,其前端疑似遭攻击,团队正在紧急调查,出于安全考虑,官方建议用户在进一步更新发布前不要与网站进行任何交互。同时,Neutrl 提醒用户尽快前往 Revoke.cash 撤销对相关地址的 Permit2 授权,并且提醒用户也应检查并撤销对其他可疑地址的授权,以降低潜在资产风险。随后,Neutrl 调查结果初步显示,托管该应用域名的 DNS 提供商遭到了社会工程攻击,导致攻击者重定向了该域名。
损失金额:-攻击手法:DNS 劫持
事件描述:据 BlockSec Phalcon 监测,DBXen 合约今日上午遭遇攻击,估计损失约 15 万美元。根本原因在于 ERC2771 元交易下发送者身份不一致。
损失金额:$ 150,000攻击手法:逻辑漏洞
事件描述:据 BlockSec Phalcon 监测,其系统数小时前检测到一笔针对以太坊上 Inverse Finance 合约的可疑交易,造成约 24 万美元损失。该事件似乎涉及 DOLA 价格操纵,迫使多名用户清算合约。
损失金额:$ 240,000攻击手法:价格操纵攻击
事件描述:WLFI 在 X 平台发文表示,USD1今晨遭遇一次有组织攻击。攻击者据称入侵多名 WLFI 联合创始人账户,付费邀请网红散布恐慌信息(FUD),并大规模做空 $WLFI,试图从人为制造的市场混乱中获利。WLFI 表示,该行动未能奏效。凭借 USD1 稳健的铸造与赎回机制以及 100% 1:1 资产支持,USD1目前仍稳定维持在面值附近交易。团队强调,任何不法分子都无法动摇其对 USD1的长期承诺。WLFI 同时提醒用户,仅通过官方验证渠道获取准确信息,谨防误导性内容。
损失金额:-攻击手法:社交媒体劫持
事件描述:据 PeckShieldAlert 监测,Makinafi 协议遭黑客攻击,损失约 1299 枚以太坊(约 413 万美元)。目前被盗资金存放在两个地址:0xbed2...dE25(约 330 万美元)和 0x573d...910e(约 88 万美元)。1月 23 日消息,DeF i执行引擎 Makina 官方 X 发文称,1 月 22 日 21:15,MEV Builder 已按 SEAL 白帽安全港返还资金并扣除 10% 赏金,约返还 920 ETH(其共收 1023 ETH),占总被盗约 1299 ETH;资金已转入追回多签 0xc22F…8AB9,团队正继续追索剩余并寻求联系收到约 276 ETH 的 RocketPool 验证者地址 0x573D…910E。
损失金额:$ 4,130,000攻击手法:基于闪电贷的预言机价格操纵攻击
事件描述:据派盾监测,Yearn Finance V1 遭遇黑客攻击,造成总计约 30 万美元的损失。攻击者已将窃取的资金兑换成 103 枚 ETH,这些资金目前存于地址:0x0F21...4066。
损失金额:$ 300,000攻击手法:未知
事件描述:12 月 14 日,Aevo 官方表示,由于智能合约更新中的漏洞,Ribbon DOV 旧版金库在 12 月 12 日遭到攻击,造成约 270 万美元损失。
损失金额:$ 2,700,000攻击手法:合约漏洞
事件描述:据 PeckShieldAlert 报告,稳定币项目 USPD 遭遇重大安全漏洞,造成约 100 万美元损失。USPD 官方随后证实协议遭到利用,攻击者未经授权铸造代币并抽干流动性,并紧急提醒用户立即撤销对 USPD 合约的所有代币授权。根据官方确认,本次事件属于“CPIMP”攻击。攻击者在协议部署阶段通过 Multicall3 抢先初始化代理并夺取管理员权限,随后伪装为审计通过的实现合约。该恶意逻辑被隐藏数月后被触发,攻击者升级代理、铸造约 98M USPD,并转移约 232 枚 stETH。USPD 官方已公布攻击地址(Infector:0x7C97…9d83、Drainer:0x0833…215A),并表示正在与执法机构和白帽合作追踪,同时承诺若攻击者归还资金,可获得 10% 赏金。
损失金额:$ 1,000,000攻击手法:“CPIMP” 攻击
事件描述:链上私募基金 Goldfinch 在 ETH 上的旧合约(0x0689)存在漏洞,用户 deltatiger.eth 因未及时撤销授权被攻击,损失约 33 万美金。黑客已将 118 枚ETH(约合 32.9 万美元)转入隐私交易工具 TornadoCash。
损失金额:$ 330,000攻击手法:合约漏洞