共有 243 条记录
事件描述:9 月 21 日,YZER 的大量流动性被移除,攻击者获利约 ~$28.6k。
损失金额:$ 28,600攻击手法:跑路
事件描述:9 月 10 日,据慢雾安全团队链上情报,LDO 的 token 合约在处理转账操作时,如果转账数量超过用户实际持有的数量,该操作并不会触发交易的回滚。相反,它会直接返回一个`false`作为处理结果。这种处理方式与许多常见的 ERC20 标准 token 合约不同。由于上述特性,存在一种潜在的“假充值”风险,恶意攻击者可能会尝试利用这一特性进行欺诈行为。9 月 11 日,Lido 表示,此行为是预期内的,并且符合 ERC20 代币标准。LDO 和 stETH 仍然安全。Lido 代币集成指南将根据 LDO 详细信息进行更新,以便更明显地显示这一点。
损失金额:-攻击手法:假充值
事件描述:9 月 5 日,一种伪造的 Lybra Finance 代币实施了退出骗局。合约部署者向流动性池中添加了 60 个WETH,然后移除了 83 个 WETH,获利 23 个 WETH(约 37,000 美元)。
损失金额:$ 37,000攻击手法:退出骗局
事件描述:CoredeFinance 项目实施了退出骗局,EOA (0x18500) 获利 27 ETH(约 4.39 万美元)。
损失金额:$ 43,900攻击手法:跑路
事件描述:BabyShia 项目实施了退出骗局。部署者(0xCbcd8)已获利 133 枚 ETH(约合 22.6 万美元)。
损失金额:$ 226,000攻击手法:跑路
事件描述:几个月来,以太坊第 2 层解决方案 Starkware 曾多次警告用户,如果用户在升级前不采取行动,他们的资金将会丢失,但部分用户显然没有看到这些通知,这导致许多用户被锁定在 StarkWare 帐户之外,失去资金访问权限,受影响的账户总计 55 万美元。迫于社区压力,Starkware 重新启用了升级钱包的功能。
损失金额:$ 550,000攻击手法:钱包未升级
事件描述:Balancer 称已收到影响多个 V2 池的严重漏洞报告。已执行紧急缓解程序以确保大部分 TVL 的安全,但部分资金仍面临风险。建议用户立即撤回受影响的 LP。据 8 月 28 日消息,Balancer 损失已超过 210 万美元,以太坊、Fantom 和 Optimism 上多个资金池受到影响。
损失金额:$ 2,100,000攻击手法:闪电贷攻击
事件描述:DeFi 借贷协议 Exactly Protocol 遭受攻击,损失超 4,323 枚 ETH(约 730 万美元)。两个合约攻击者通过多次调用函数 kick() 进行攻击,并使用以太坊上的开发者合约将存款转移到 Optimism,最终将被盗资金转回以太坊。Exactly Protocol 被攻击的根本原因是 #insufficient_check,攻击者通过直接传递未经验证的虚假市场地址,并将 _msgSender 更改为受害者地址,从而绕过 DebtManager 合约杠杆函数中的许可检查。然后,在不受信任的外部调用中,攻击者重新进入 DebtManager 合约中的 crossDeleverage 函数,并从 _msgSender 种盗取抵押品。Exactly Protocol 在推特发文称,协议已解除暂停,用户可以执行所有操作,没有发生任何清算。黑客攻击只影响到使用外围合约(DebtManager)的用户,协议仍在正常运行。
损失金额:$ 7,300,000攻击手法:未检查传入数据
事件描述:以太坊扩容解决方案 Metis 官方推特账号被盗。据官方表示,团队成员成为了 Sim Swap 攻击的受害者,导致恶意行为者能够接管该帐户大约 30 小时。
损失金额:-攻击手法:Twitter 被黑
事件描述:以太坊上 Zunami Protocol 协议遭遇价格操纵攻击,损失 1,179 个 ETH(约 220 万美元)。事件发生的原因是漏洞合约中 LP 价格计算依赖了合约自身的 CRV 余额,和 CRV 在 wETH/CRV 池中的兑换比例。攻击者通过向合约中转入 CRV 并操控 wETH/CRV 池子的兑换比例,从而操控了 LP 价格。据 MistTrack 分析,目前 ETH 都已转入 Tornado Cash。
损失金额:$ 2,200,000攻击手法:操纵价格
事件描述:DeFi 项目 Earning.Farm 遭到重入攻击,损失 286 枚 ETH(约合 53 万美元)。据慢雾分析,攻击者在取款时重入 LP 的 transfer 函数转移走 LP 代币,使得账户的余额小于先前计算的 shares 值,触发更新 shares 值的逻辑,导致被操控后的 LP 数量更新到所要燃烧的 shares 值上,这导致了最后燃烧的 LP 数量远小于预期,用户将转移走的 LP 再次进行取款可以额外取出池子中的资金。
损失金额:$ 530,000攻击手法:重入攻击
事件描述:自动收益杠杆化策略平台 Steadefi 在推特上表示:“我们的协议部署者钱包(也是协议中所有金库的所有者)已被泄露。攻击者已将所有金库(借贷和策略)的所有权转移到他们控制的钱包中,并继续采取各种仅限所有者的操作,例如允许任何钱包能够从借贷金库借入任何可用资金。目前, Arbitrum 和 Avalanche 上的所有可用借贷能力已被攻击者耗尽,资产被交换为 ETH 并桥接到以太坊。链上消息已发送至攻击者钱包地址进行协商。Steadefi 希望与参与漏洞利用的各方讨论赏金问题,对被盗资金提供 10% 的奖励。”Steadefi 在此次事件中已损失约 110 万美元。8 月 8 日,Steadefi 团队成功地从剩余金库中恢复了约 54 万美元的用户资金。
损失金额:$ 1,100,000攻击手法:私钥泄露
事件描述:Bitlord (BITLORD) 大量流动性已被移除。部署者从 LP 中移除了约 309 枚 WETH,价值约合 56.7 万美元。该代币项目疑似为蜜罐骗局。
损失金额:$ 567,000攻击手法:骗局
事件描述:Uwerx network 遭到攻击,损失大约 174.78 ETH。据慢雾分析,根本原因是当接收地址为 uniswapPoolAddress(0x01)时,将会多 burn 掉 from 地址的转账金额 1% 的代币,因此攻击者利用 uniswapv2 池的 skim 功能消耗大量 WERX 代币,然后调用 sync 函数恶意抬高代币价格,最后反向兑换手中剩余的 WERX 为 ETH 以获得利润。据 MistTrack 分析,黑客初始资金来自 Tornadocash 转入的 10 BNB,接着将 10 BNB 换成 1.3 ETH,并通过 Socket 跨链到以太坊。
损失金额:$ 324,000攻击手法:操纵价格
事件描述:DeFi 保险协议 InsurAce 发推称:“我们的 Discord 服务器遇到了安全漏洞。 我们的团队今天早些时候发现了对服务器的未经授权的访问。 我们非常重视这一事件,并正在努力纠正这一情况。在此期间,请不要与服务器交互。”据慢雾分析,钓鱼网站为 insurace.gift,幕后黑手是 PinkDrainer。
损失金额:-攻击手法:Twitter 被黑
事件描述:Curve Finance 推特称,由于递归锁出现故障,许多使用 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击。crvUSD 合约和其它资金池不受影响。截至目前,Curve Finance 稳定币池黑客攻击事件已造成 Alchemix、JPEG'd、MetronomeDAO、deBridge、Ellipsis 和 CRV/ETH 池累计损失 7350 万美元。8 月 6 日, Alchemix 发推表示,Curve Finance 黑客已将 Alchemix 在 Curve 池中的资金全部归还。8 月 19 日,MetronomeDAO 表示名为 "c0ffeebabe" 的 MEV bot 已收回大部分被盗资金并归还给了 Metronome。
损失金额:$ 73,500,000攻击手法:Vyper 漏洞影响
事件描述:DeFi 借贷协议 Alchemix 在推特上表示,在收到 Curve Finance 关于因 Vyper 错误导致 alETH/ETH 池被攻击的通知后,Alchemix 迅速开始通过 AMO 合约从曲线池中移除 AMO 控制的流动性。该漏洞是在 Curve 池合约上执行的。Alchemix 智能合约没有受到任何形式的损害,资金是安全的。合约上执行的。需要进行三项交易:从 Convex 取消质押 LP 代币、从 Curve 池中提取 alETH、从 Curve 池中提取 ETH。上述第一项交易已执行,第二笔交易执行后,从 Curve 池中移除 8000 枚 ETH。这意味着 Curve 池中仍有 AMO 控制的约 5000 枚 ETH 流动性。在移除剩余流动性的过程中,alETH/ETH Curve 池被攻击者耗尽。目前,alETH 储备损失约 5000 枚 ETH。9 月 4 日,Alchemix 发文表示,一个白帽 MEV 机器人运营者已返还从 Curve alETH/ETH 池攻击事件中通过套利获得的 43.3 ETH 利润,这将添加到重新分配资金中。
损失金额:5000 ETH攻击手法:Vyper 漏洞影响
事件描述:8 月 6 日,以太坊编译器 Vyper 发布有关上周漏洞事件的分析报告:此前 7 月 30 日由于 Vyper 编译器中的潜在漏洞,多个 Curve 流动性池被利用。虽然已识别并修补了错误,但当时并未意识到对使用易受攻击的编译器的协议的影响,也没有明确通知他们。该漏洞本身是一个未正确实施的重入防护,受影响的 Vype 版本为 v0.2.15、v0.2.16、v0.3.0。漏洞已于 v0.3.1 修复并测试,v0.3.1 及更高版本是安全的。
损失金额:-攻击手法:编译器漏洞
事件描述:Conic Finance 遭遇二次攻击,第二次攻击与 ETH Omnipool 的重入漏洞无关。攻击者通过利用 crvUSD Omnipool 获利约 30 万美元。目前所有 Omnipools 的存款服务均已关闭。用户仍然可以提款。Conic Finance 正在评估情况,并将在获得更新后立即提供更新。
损失金额:$ 300,000攻击手法:闪电贷攻击
事件描述:7 月 21 日,Conic Finance 的 ETH omnipool 遭受一系列小型黑客攻击,损失约 320 万美元。Conic Finance 发布攻击事件更新称,“被攻击根本原因是由于对 Curve V2 池中 ETH 的 Curve 元注册表返回的地址存在错误假设,而能够执行重入攻击,正在部署对受影响合约的修复。
损失金额:$ 3,200,000攻击手法:重入攻击