共有 312 条记录
事件描述:DeFi 协议 Revest Finance 遭到黑客攻击。黑客盗取了近 770 万枚 ECO、579 枚 LYXe、近 7.15 亿枚 BLOCKS 以及超 35 万枚 RENA。据慢雾分析,本次攻击事件是由于在 tokenVault 合约中的 handleMultipleDeposits 函数中没有判断该新铸造的 NFT 是否存在,故此攻击者利用该点直接修改了已经铸造过的 NFT 的信息,并且在 Revest 合约中关键的函数没有做重入锁的限制,导致了被回调利用。
损失金额:$ 120,000攻击手法:重入攻击
事件描述:InuSaitama 疑似遭遇套利攻击,攻击者(0xAd0C834315Abfa7A800bBBB5d776A0B07b672614)在 Saitamask(0x00480b0abBd14F2d61Aa2E801d483132e917C18B)中通过 swap 交换出了几乎 10 倍价值的 SAITAMA Token,之后再通过 uniswap 交换回 ETH,将其转移到 0x63493e679155c2f0aAd5Bf96d65725AD6427faC4,共获利约 430 个 ETH。
损失金额:430 ETH攻击手法:套利攻击
事件描述:据官方报告,攻击者利用了 Li.finance 的智能合约,设法从 29 个钱包中窃取了大约 60 万美元(当前价值 587,500 美元或 205 ETH)。攻击者从用户的钱包中拿走了各种代币,包括 USDC、MATIC、RPL、GNO、USDT、MVI、AUDIO、AAVE、JRT 和 DAI。目前项目方已经找到了漏洞并创建了修复程序,在不到 18 小时内补偿了大多数受影响的用户。
损失金额:$ 600,000攻击手法:合约漏洞
事件描述:DeFi 预言机 Umbrella Network 的以太坊和 BNB Chain(原 BSC)奖励池遭到黑客攻击,导致黑客获得了约 70 万美元的收益。黑客之所以能够得逞,是因为 withdraw() 中存在一个未被检查的漏洞,所以任何人都可以在没有任何余额的情况下提取任何数额的资金。
损失金额:$ 700,000攻击手法:合约漏洞
事件描述:DeFi 协议 Deus Finance 遭到闪电贷攻击,黑客操纵了预言机价格,盗走了约 300 万美元,其中包括 200,000 DAI 和 1101.8 ETH 通过 Tornado 混币转走。
损失金额:$ 3,000,000攻击手法:闪电贷攻击
事件描述:RigoBlock 已被黑客入侵。Dragos 中除 ETH 和 USDT 之外的所有代币都因协议漏洞被利用而面临风险。该黑客 Whitehat 已将资金返还给受影响的 RigoBlock 池,只留下 10% 的漏洞赏金奖励。
损失金额:160.86 ETH攻击手法:合约漏洞
事件描述:风投 DAO 组织 Build Finance 在推特表示,该项目遭遇恶意治理接管,恶意行为者通过获得足够多的投票成功了控制 Build 代币合约,在三笔交易中铸造了 1,107,600 枚 BUILD 代币,并耗尽了 Balancer 和 Uniswap 流动性池中的大部分资金,攻击者继续通过治理合约控制了平衡池,并耗尽了包括 13 万枚 METRIC 代币在内的剩余资金,Uniswap 和 Fantom 上的 METRIC 流动性池随后都受到强烈的抛售压力。就目前情况而言,攻击者可以完全控制治理合约、铸造密钥和资金库,DAO 不再控制关键基础设施的任何部分。
损失金额:168 ETH攻击手法:治理攻击
事件描述:流式数字资产协议 Superfluid 上的 QI Vesting 合约已被利用,攻击者通过传入错误的调用数据来利用合约,此漏洞使攻击者能够将资金从 Superfluid 用户钱包转移到 Polygon 并兑换成 ETH。
损失金额:$ 13,000,000攻击手法:合约漏洞
事件描述:据 Rugdoc 披露,AFKSystem rug 了他们所有的保险库,总共获得了大约 1200 万美元的利润。尽管 AFKSystem 已经严重削减了他们的治理权限。但他们仍保留了一项重要的特权——更改出售所收获代币的路由器。
损失金额:$ 12,000,000攻击手法:跑路
事件描述:@immunefi 的白帽黑客发现了 wxBTRFLY Token 合约中存在严重漏洞。合约中的 transferFrom 函数没有正确更新 recipient 的授权,并且会错误更新 msg.sender 的授权。漏洞本身虽然严重但成因并不复杂(更像是开发者笔误产出的),比较有意思的是官方的修复方式。由于合约本身不支持升级,因此无法直接更新合约代码;合约不支持暂停,因此也没法用快照 + 迁移的方式转移用户资产。最终官方的措施是自己发动了攻击交易,将所有受漏洞影响用户的资产转移到了一个多签钱包中。
损失金额:-攻击手法:合约漏洞
事件描述:基于以太坊的社区区块链城市项目 CityDAO 发文称,CityDAO Discord 管理员帐户已被黑客入侵。黑客使用被盗的管理员账户发布虚假的土地空投消息,29.67 ETH(95,000 美元)资金被盗。遭攻击的管理员“Lyons800”在推特上表示,这次攻击是“来自 Discord 的荒谬安全漏洞”。
损失金额:29.67 ETH攻击手法:Discord 被黑
事件描述:攻击者从 Float Protocol 的 Rari Capital 池中提取了大约 350 ETH(相当于 110 万美元)。原因是 Uniswap V3 FLOAT/USDC 预言机缺乏流动性,这使得攻击者可以操纵池内的价格,然后以更高的利率存入。黑客出于某种原因返还了大约 250,000 美元。
损失金额:350 ETH攻击手法:价格操纵
事件描述:Vesper Finance 发推文称,其在利率协议 Fuse 上推出的 23 号借贷池 Vesper Lend beta 再次遭遇攻击。攻击者操纵了一个预言机并耗尽了约 100 万美元的 DAI、ETH、WBTC 和 USDC 的 Beta 测试借贷池。这不是对 Vesper 合约的攻击,没有 VSP 或 VVSP 受到威胁。Vesper 已禁止 Beta Vesper Lend Rari Pool #23 中所有代币的借贷,还将预言机从 VUSD/USDC 切换到 VUSD/ETH (Uni v3)。此前,Rari Fuse 上 Vesper Lend 借贷池就遭到攻击,攻击者获利 300 万美元。
损失金额:$ 1,000,000攻击手法:预言机攻击
事件描述:SashimiSwap 遭到攻击,原因是 swap 函数逻辑错误,攻击者最终获利:6,261.304 uni、4,466,096 Sashimi 和 63,762 usdt,将近 20 万美元。
损失金额:$ 200,000攻击手法:合约漏洞
事件描述:12 月 28 日,据推特用户 coby.eth 表示,假冒 MetaMask 治理 Token 被创建并上线 DEXTools 平台,Token 创建者利用恶意代码,使用户浏览该 Token 信息时,弹出界面显示 MASK Token 经过验证,并显示出伪造的平台验证标志(蓝色认证符号)。coby.eth 称,该 Token 在交易量超过 100 万美元后,便转变为「貔貅盘」,用户只可买入不可卖出。据浏览器数据显示,该「貔貅盘」MASK Token 总交易量已接近 1000 万美元,相关交易共 642 笔,持有地址接近 400 个。
损失金额:$ 10,000,000攻击手法:骗局
事件描述:MetaDAO 发生 Rug Pull,卷走资金(800 ETH,约合 320 万美元),已被转移至 Tornado.cash 混币。MetaDAO 的网站目前因暂停而无法使用。
损失金额:800 ETH攻击手法:跑路
事件描述:Uniswap V3 流动性管理协议 Visor Finance 再次遭受黑客攻击,黑客借助漏洞提取了超过 880 万个 VISR 并在 Uniswap 上卖出,导致 VISR 代币暴跌近 95%,获利超过 120 个 ETH,通过 Tornado Cash 进行洗币。据慢雾分析,此次攻击是由于 RewardsHypervisor 合约在对用户充值进行权限检查时存在缺陷,导致攻击者可以构造恶意合约以进行任意铸造抵押凭证。此前在今年 6 月,Visor Finance 也曾遭到黑客攻击,损失超过 50 万美元。
损失金额:120 ETH攻击手法:合约漏洞
事件描述:质押和收益耕作平台 Bent Finance 发推表示,Bent Deployer 钱包于 2021 年 11 月 30 日至 2021 年 01:09:27 PM +UTC 升级了曲线池合约,漏洞利用者加入了一个恶意合约,使 cvxcrv 和 mim 池能够硬编码用户余额,然后部署另一个合约来掩盖它。攻击者共盗取了 51.3 万 cvxcrv LP 代币。Bent Finance 后更新事故报告称,在两位白帽黑客的帮助下,团队对此事件进行了分析并得出结论:“这实际上是「内部成员」所为。在经历了数天的攻击风波后,攻击者最终同意将资金返还给以下多签地址:0xaBb8B277F49de499b902A1E09A2aCA727595b544。攻击者此前低价抛售(现在已反弹),并向我们发了 ETH 和 DAI,返还资金稍微有点缺口,但我们已经解决该问题。到目前为止,我们已经从社区筹集了另外 20 万 cvxcrv(约合 100 万美元)来帮助填补这个缺口。”官方表示已修复此漏洞以确保不会再度发生此类事件。
损失金额:-攻击手法:合约漏洞
事件描述:2021 年 12 月 15 日 5:21(UTC+8), WePiggy-OEC 协议在 CHE 预言机中出现短期错误,导致 WePiggy 中 CHE 价格远高于市场价格,导致异常平仓对于借用 CHE 资产的用户。按事发时的价格计算,用户资产的总损失约为 40 万美元。
损失金额:$ 400,000攻击手法:异常清算
事件描述:12 月 13 日,DeFi 平台 Definer 预言机遭遇攻击事件。本次事件是由于 Definer 在 OEC 对于预言机的实现存在问题,使用了单一流动池在一个时间点的池内代币余额作为价格源从而导致了事故的发生,而以太坊的实现则使用了 ChainLink 的预言机不存在该问题。
损失金额:30,765 CHE攻击手法:预言机攻击