共有 302 条记录
事件描述:基于以太坊的社区区块链城市项目 CityDAO 发文称,CityDAO Discord 管理员帐户已被黑客入侵。黑客使用被盗的管理员账户发布虚假的土地空投消息,29.67 ETH(95,000 美元)资金被盗。遭攻击的管理员“Lyons800”在推特上表示,这次攻击是“来自 Discord 的荒谬安全漏洞”。
损失金额:29.67 ETH攻击手法:Discord 被黑
事件描述:攻击者从 Float Protocol 的 Rari Capital 池中提取了大约 350 ETH(相当于 110 万美元)。原因是 Uniswap V3 FLOAT/USDC 预言机缺乏流动性,这使得攻击者可以操纵池内的价格,然后以更高的利率存入。黑客出于某种原因返还了大约 250,000 美元。
损失金额:350 ETH攻击手法:价格操纵
事件描述:Vesper Finance 发推文称,其在利率协议 Fuse 上推出的 23 号借贷池 Vesper Lend beta 再次遭遇攻击。攻击者操纵了一个预言机并耗尽了约 100 万美元的 DAI、ETH、WBTC 和 USDC 的 Beta 测试借贷池。这不是对 Vesper 合约的攻击,没有 VSP 或 VVSP 受到威胁。Vesper 已禁止 Beta Vesper Lend Rari Pool #23 中所有代币的借贷,还将预言机从 VUSD/USDC 切换到 VUSD/ETH (Uni v3)。此前,Rari Fuse 上 Vesper Lend 借贷池就遭到攻击,攻击者获利 300 万美元。
损失金额:$ 1,000,000攻击手法:预言机攻击
事件描述:SashimiSwap 遭到攻击,原因是 swap 函数逻辑错误,攻击者最终获利:6,261.304 uni、4,466,096 Sashimi 和 63,762 usdt,将近 20 万美元。
损失金额:$ 200,000攻击手法:合约漏洞
事件描述:12 月 28 日,据推特用户 coby.eth 表示,假冒 MetaMask 治理 Token 被创建并上线 DEXTools 平台,Token 创建者利用恶意代码,使用户浏览该 Token 信息时,弹出界面显示 MASK Token 经过验证,并显示出伪造的平台验证标志(蓝色认证符号)。coby.eth 称,该 Token 在交易量超过 100 万美元后,便转变为「貔貅盘」,用户只可买入不可卖出。据浏览器数据显示,该「貔貅盘」MASK Token 总交易量已接近 1000 万美元,相关交易共 642 笔,持有地址接近 400 个。
损失金额:$ 10,000,000攻击手法:骗局
事件描述:MetaDAO 发生 Rug Pull,卷走资金(800 ETH,约合 320 万美元),已被转移至 Tornado.cash 混币。MetaDAO 的网站目前因暂停而无法使用。
损失金额:800 ETH攻击手法:跑路
事件描述:Uniswap V3 流动性管理协议 Visor Finance 再次遭受黑客攻击,黑客借助漏洞提取了超过 880 万个 VISR 并在 Uniswap 上卖出,导致 VISR 代币暴跌近 95%,获利超过 120 个 ETH,通过 Tornado Cash 进行洗币。据慢雾分析,此次攻击是由于 RewardsHypervisor 合约在对用户充值进行权限检查时存在缺陷,导致攻击者可以构造恶意合约以进行任意铸造抵押凭证。此前在今年 6 月,Visor Finance 也曾遭到黑客攻击,损失超过 50 万美元。
损失金额:120 ETH攻击手法:合约漏洞
事件描述:质押和收益耕作平台 Bent Finance 发推表示,Bent Deployer 钱包于 2021 年 11 月 30 日至 2021 年 01:09:27 PM +UTC 升级了曲线池合约,漏洞利用者加入了一个恶意合约,使 cvxcrv 和 mim 池能够硬编码用户余额,然后部署另一个合约来掩盖它。攻击者共盗取了 51.3 万 cvxcrv LP 代币。Bent Finance 后更新事故报告称,在两位白帽黑客的帮助下,团队对此事件进行了分析并得出结论:“这实际上是「内部成员」所为。在经历了数天的攻击风波后,攻击者最终同意将资金返还给以下多签地址:0xaBb8B277F49de499b902A1E09A2aCA727595b544。攻击者此前低价抛售(现在已反弹),并向我们发了 ETH 和 DAI,返还资金稍微有点缺口,但我们已经解决该问题。到目前为止,我们已经从社区筹集了另外 20 万 cvxcrv(约合 100 万美元)来帮助填补这个缺口。”官方表示已修复此漏洞以确保不会再度发生此类事件。
损失金额:-攻击手法:合约漏洞
事件描述:2021 年 12 月 15 日 5:21(UTC+8), WePiggy-OEC 协议在 CHE 预言机中出现短期错误,导致 WePiggy 中 CHE 价格远高于市场价格,导致异常平仓对于借用 CHE 资产的用户。按事发时的价格计算,用户资产的总损失约为 40 万美元。
损失金额:$ 400,000攻击手法:异常清算
事件描述:12 月 13 日,DeFi 平台 Definer 预言机遭遇攻击事件。本次事件是由于 Definer 在 OEC 对于预言机的实现存在问题,使用了单一流动池在一个时间点的池内代币余额作为价格源从而导致了事故的发生,而以太坊的实现则使用了 ChainLink 的预言机不存在该问题。
损失金额:30,765 CHE攻击手法:预言机攻击
事件描述:智能合约自动执行工具 Gelato Network 发推称:「我们收到警报说 Sorbet Finance 的 G-UNI 路由器合约有严重漏洞。此漏洞只影响与 Sorbet UI 交互的用户」。Gelato Network 在发布安全事故调查报告,称白帽黑客总计转移了 2700 万美元的资产以确保用户资产安全,但仍有 74.4 万美元资金遭到 MEV 恶意攻击。该项目表示,本次出现的漏洞与此前 dydx 漏洞类似,处于风险中的智能合约能够进行旨在 1inch 上执行交易的任意低级别调用,使得潜在的漏洞利用成为可能。
损失金额:$ 744,000攻击手法:合约漏洞
事件描述:去中心化组织 Badger DAO 遭遇黑客攻击,用户资产在未经授权的情况下被转移。据开发人员初步清点受损资产后表示,本次事件中已损失 13.6 万枚 bcvxCRV、6.4 万枚 bveCVX、38 枚 ibBTC/sBTC、13 bibBTC/sBTC,以及 19 枚 DIGG。
损失金额:$ 120,000,000攻击手法:恶意代码注入攻击
事件描述:自动做市商协议 MonoX 遭遇黑客攻击,本次攻击中约合 1820 万美元的 WETH 和 1050 万美元的 MATIC 被盗,其他被盗 Token 包括 WBTC、LINK、GHST、DUCK、MIM 和 IMX,损失共计约 3100 万美元。
损失金额:$ 31,000,000攻击手法:价格更新问题
事件描述:恶意合约对 Visor 的 OHM-ETH 1% LP 管理合约进行了攻击。攻击发生仅几个小时后,目标池中的资金就被 Visor 恢复了。用户存入 Visor 的资金没有风险。
损失金额:$ 975,720攻击手法:闪电贷攻击
事件描述:DeFi 衍生品协议 dYdX 发布 11 月 27 日存款合约事故调查报告,称自 11 月 24 日以来一直处理向 dYdX 交易所存款的代理智能合约中存在一个严重漏洞,UTC 时间 27 日 12:00 左右,dYdX 团队执行了一次白帽黑客行动,以挽救易受攻击的用户资金,总计约 200 万美元。这些资金被发送到非托管托管合同,只有这些资金的原始所有者才能取回它们。不过,dYdX 团队在执行白帽黑客行动时,有一笔估计有 211,000 美元的资金被 MEV 机器人利用,目前已全额向用户赔偿。
损失金额:$ 211,000攻击手法:合约漏洞
事件描述:基于以太坊的新型算法稳定币协议 OlympusDAO 在 Discord 的管理员表示,昨日,有人债券化了被认为关闭的 OHM/DAI 债券,使其能获得大量折扣并接收到 1697 枚 OHM(超 140 万美元),而不是 59 枚 OHM(约 5 万美元)。OlympusDAO 发现此事件后,立即关掉了债券合约。
损失金额:1,697 OHM攻击手法:合约漏洞
事件描述:DeFi 协议 Formation.Fi 遭到闪电贷攻击。本次事件发生的主要原因在于项目方设计函数 swapIn 时低估了 fee 对 totalTokens 的影响,且忽视了不同代币间小数点精确度的影响。
损失金额:$ 100,000攻击手法:闪电贷攻击
事件描述:稳定币交易协议 Curve 因 USDM 稳定币协议 Mochi 的「治理攻击」而导致提供了 USDM 流动性的用户造成损失,目前 Curve 已紧急处理避免了更大范围的损失。此前 Mochi 项目方通过购买 Convex 的 CVX 代币,投票增加 USDM 池的奖励以增加 USDM 与其他资产的流动性,然后在流动性提升后将项目方自己拥有的大量 USDM 代币兑换成 DAI,该团队总共将 4600 万个 USDM 换成了 DAI,根据 USDM 对 DAI 的汇率推算,提供了 USDM 对其他稳定币流动性的用户损失可能接近 3000 至 4000 万美元。
损失金额:$ 30,000,000攻击手法:治理攻击
事件描述:据官方消息,DeFi 协议 RariFuse 上的 23 号借贷池 VesperLendbeta 遭遇攻击,攻击者大量消耗 Uniswapv3 中 VUSD 的流动性,并自行创建 VUSD/USDC 流动性池以操纵预言机 VUSD 喂价功能,抬高 VUSD 价格后大量借出 VesperLend 上资产,最终获利 300 万美元。 目前,Vesper 官方已暂停在 RariFuse 平台借用 VUSD 和 vVSP 的功能,并与 Rari、Yearn 和 Uniswap 密切合作,调查此次攻击的全面影响,将于后续更新调查结果及应对举措。
损失金额:$ 3,000,000攻击手法:预言机攻击
事件描述:DeFi 借贷协议 Cream Finance 遭受攻击,损失约 1.3 亿美元。被盗的资金主要是 Cream LP 代币和其他 ERC-20 代币。据悉,这是有史以来第三大 DeFi 黑客攻击(尽管两个更大的黑客攻击事件都有资金返还),此外,Cream Finance 此前曾多次遭受闪电贷攻击,2 月份损失 3750 万美元,8 月份又损失 1900 万美元。
损失金额:$ 130,000,000攻击手法:闪电贷攻击