共有 188 条记录
事件描述:据慢雾安全团队情报,ETH 链上的 Numbers Protocol (NUM)代币项目遭到攻击,攻击者获利约 13,836 美元。此次攻击的主要原因在于 NUM 代币中没有 permit 函数且具有回调功能,所以可以传入假签名欺骗跨链桥导致用户资产被非预期转出。
损失金额:$ 13,836攻击手法:合约漏洞
事件描述:ETH 链上的 DFX Finance 项目遭到攻击,攻击者获利约 231,138 美元。据慢雾分析,此次攻击的主要原因在于 Curve 合约闪电贷函数并未做重入保护,导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断,由于存款时有记账所以攻击者可以成功提款获利。
损失金额:$ 231,138攻击手法:重入攻击
事件描述:据慢雾安全团队监测,ETH 链上的 brahTOPG 项目遭到攻击,攻击者获利约 89,879 美元。此次攻击的主要原因在于 Zapper 合约为对用户传入的数据进行严格检查,导致了任意外部调用的问题,攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。
损失金额:$ 89,879攻击手法:任意外部调用
事件描述:多链兑换协议 Rubic 发推称,管理员的一个钱包地址被盗用了,该地址管理 RBC/BRBC 跨链桥和质押奖励,团队怀疑是恶意软件盗取了私钥。攻击者在 Uniswap 和 PancakeSwap 上售出了大约 3400 万 RBC/BRBC,用户的质押资金是安全的,智能合约没有被利用。
损失金额:$ 303,758攻击手法:管理员私钥泄露
事件描述:跨链 DeFi 协议 THORChain 网络中断,官方称已确定共识问题,将发布补丁(Patch)。代码将 cosmos.Uint(而不是 uint64)推送到字符串中,这导致字符串获取任意大的整数而不是实际值,导致备忘录字符串在不同的节点。10 月 28 日,THORChain 已重新上线并生产区块。网络正在签署出块交易,因此挂起的交易应该开始通过。一旦队列被清除,交易将被重新启用。预计 2-3 小时。在网络中断期间,投资者没有损失任何资金。然而,Thorchain 的原生币 RUNE 的兑换存款和取款在 Kucoin 等中心化交易所被暂停。
损失金额:-攻击手法:网络中断
事件描述:FriesDAO 遭到攻击,损失约 230 万美元。攻击者通过 Profanity 钱包生成器漏洞获得了 FriesDAO 协议操作者钱包的控制权,这一漏洞会让通过该工具生成地址的私钥被强制使用。FriesDAO 在官方 Discord 频道中表示,目前官方开发人员试图与攻击者进行谈判,协商用白帽赏金来换取被盗资金的归还。
损失金额:$ 2,300,000攻击手法:Profanity 钱包生成器漏洞
事件描述:Team Finance 发推称,该协议管理资金在由 Uniswap v2 迁移至 v3 的过程中遭到黑客攻击,已确定的损失为价值约 1450 万美元的代币。10 月 31 日,Team Finance 白帽黑客地址已返还 1340 万美元数字资产,其中包括 548.7 枚 ETH(86 万美元)给 FEG,76.5 万枚 DAI 和 1180 万枚 TSUKA(62.6 万美元)给 Tsuka,约 500 万枚 DAI 和 74.6 万亿枚 CAW(约 550 万美元)给 CAW,209 枚 ETH(32.8 万美元)给 KNDX,smithbot.eth 已经向 KNDX 返还了 2630 亿枚 KNDX(29.2 万美元)。
损失金额:$ 14,500,000攻击手法:合约漏洞
事件描述:OlympusDAO 的 BondFixedExpiryTeller 合约中的 redeem() 函数因无法正确验证输入导致了约 29.2 万美元的损失。OlympusDAO黑客已将窃取资金归还给 DAO。
损失金额:$ 292,000攻击手法:合约漏洞
事件描述:Mango INU(MNGO)项目已确认是退出骗局,币价跌幅超过 80%。此代币项目是由 Mango Market 的攻击者所部署,已获利约 4.85 万美元。
损失金额:$ 48,500攻击手法:骗局
事件描述:据 Cointelegraph 报道,以太坊闹钟服务(Ethereum Alarm Clock)漏洞被利用,目前已导致黑客获利约 26 万美元。据分析,黑客设法利用预定交易过程中的漏洞,从取消交易的返还 Gas 费用中获利。根据 Etherscan 交易历史显示,黑客已经获取了 204 个 ETH,价值约 259,800 美元。据悉,以太坊闹钟服务是让用户能够通过预先确定接收方地址、发送金额和交易时间来安排未来的交易。
损失金额:$ 260,000攻击手法:合约漏洞
事件描述:Journey of awakening (ATK) 项目遭受闪电贷攻击。攻击者通过闪电贷攻击的方式攻击了 ATK 项目的策略合约(0x96bF2E6CC029363B57Ffa5984b943f825D333614),从合约中获取了大量的 ATK 代币。攻击者已把全部获得的 ATK 代币兑换为约 12 万美元的BSC-USD,目前被盗资金被兑换成 BNB 并且全部转移到Tornado Cash。
损失金额:$ 120,000攻击手法:闪电贷攻击
事件描述:抗量子计算攻击的 Layer1 区块链 QANplatform(QANX) 发推文称,其智能合约跨链桥遭到攻击,攻击者设法提取了代币,提醒用户不要执行任何与 QANX 代币相关的交易。
损失金额:$ 2,000,000攻击手法:Profanity 漏洞
事件描述:TempleDAO 项目遭受黑客攻击,涉及金额约 236 万美元。据慢雾安全团队分析,本次事件由于 migrateStake 函数没有对 oldStaking 进行检查,导致攻击者可以伪造 oldStaking 合约进行任意添加余额。
损失金额:$ 2,360,000攻击手法:未做权限检查
事件描述:Xave Finance 项目遭受黑客攻击,导致 RNBW 增发了 1000 倍。攻击交易为 0xc18ec2eb7d41638d9982281e766945d0428aaeda6211b4ccb6626ea7cff31f4a。攻击者首先创建攻击合约 0xe167cdaac8718b90c03cf2cb75dc976e24ee86d3,该攻击合约首先调用 DaoModule 合约 0x8f90 的 executeProposalWithIndex() 函数执行提案,提案内容为调用 mint() 函数铸造 100,000,000,000,000 个 RNBW,并将 ownership 权限转移给攻击者。最后黑客将其兑换为 xRNBW,存放在攻击者地址上(0x0f44f3489D17e42ab13A6beb76E57813081fc1E2)。
损失金额:$ 635攻击手法:合约漏洞
事件描述:比特币 DeFi 应用 Sovryn 发推表示,发现了一个影响借贷池的漏洞并被攻击,攻击者利用已遗弃的借贷协议提取 44.93 RBTC 和 211,045 USDT,开发人员检测到攻击后将系统进入维护模式,目前已追回一半资金,任何额外的损失将由金库全额赔偿,后续也将制定恢复系统功能并提供事后分析的计划。
损失金额:$ 554,822攻击手法:价格操控攻击
事件描述:加密做市商 Wintermute 创始人兼首席执行官 @EvgenyGaevoy 发推称,Wintermute 在 DeFi 黑客攻击中损失 1.6 亿美元,Wintermute 为了优化手续费使用了 Profanity 来创建钱包,在得知 Profanity 存在漏洞后,他们开始转移旧地址的资金,但由于内部(人为)错误,调用了错误的函数,致使遭受攻击。
损失金额:$ 160,000,000攻击手法:调用错误函数
事件描述:GERA 代币的安全性由于私钥泄漏而受到损害。黑客将 GERA 代币的智能合约部署者的所有权转移到另一个地址 0x510E4d61663bE6a24D600AaF90F892dd8c8C61dC。
损失金额:$ 1,480,000攻击手法:私钥泄露
事件描述:去中心化流动性协议 Kyber Network 在推特上披露,该协议因前端漏洞利用导致其用户损失 26.5 万美元资金。该漏洞源于 KyberSwap 网站中的恶意 Google Tag Manager 代码,攻击者的目标是鲸鱼钱包,通过插入虚假批准获得了转移用户资金的权限。
损失金额:$ 265,000攻击手法:前端恶意攻击
事件描述:Sudoswap 仿盘 Sudorare 疑似发生 Rug Pull,合约地址中的 Looks、WETH 与 XMON 代币被转入开头 0xbb42 地址(0xbb42f789b39af41b796f6C28D4c4aa5aCE389d8A)后,随即在 Uniswap 出售为 ETH,共计获利约 519.5 ETH(约 80 万美元),目前 Sudorare 网站与推特帐号现已无法访问。据分析,最初的部署资金来自于交易所 Kraken。
损失金额:519.5 ETH攻击手法:骗局
事件描述:The Bribe Protocol 承诺提供一个 DAO 基础设施工具,“代币持有者获得报酬以进行治理”,并在 1 月份筹集了 550 万美元的资金用于制定广泛的路线图。然而,项目负责人实际上已经消失了。自 5 月以来,该项目的 Twitter 帐户上没有任何帖子,他们的 Medium 页面自 3 月以来一直未动过。
损失金额:$ 5,500,000攻击手法:骗局