共有 310 条记录
事件描述:自动做市商协议 MonoX 遭遇黑客攻击,本次攻击中约合 1820 万美元的 WETH 和 1050 万美元的 MATIC 被盗,其他被盗 Token 包括 WBTC、LINK、GHST、DUCK、MIM 和 IMX,损失共计约 3100 万美元。
损失金额:$ 31,000,000攻击手法:价格更新问题
事件描述:恶意合约对 Visor 的 OHM-ETH 1% LP 管理合约进行了攻击。攻击发生仅几个小时后,目标池中的资金就被 Visor 恢复了。用户存入 Visor 的资金没有风险。
损失金额:$ 975,720攻击手法:闪电贷攻击
事件描述:DeFi 衍生品协议 dYdX 发布 11 月 27 日存款合约事故调查报告,称自 11 月 24 日以来一直处理向 dYdX 交易所存款的代理智能合约中存在一个严重漏洞,UTC 时间 27 日 12:00 左右,dYdX 团队执行了一次白帽黑客行动,以挽救易受攻击的用户资金,总计约 200 万美元。这些资金被发送到非托管托管合同,只有这些资金的原始所有者才能取回它们。不过,dYdX 团队在执行白帽黑客行动时,有一笔估计有 211,000 美元的资金被 MEV 机器人利用,目前已全额向用户赔偿。
损失金额:$ 211,000攻击手法:合约漏洞
事件描述:基于以太坊的新型算法稳定币协议 OlympusDAO 在 Discord 的管理员表示,昨日,有人债券化了被认为关闭的 OHM/DAI 债券,使其能获得大量折扣并接收到 1697 枚 OHM(超 140 万美元),而不是 59 枚 OHM(约 5 万美元)。OlympusDAO 发现此事件后,立即关掉了债券合约。
损失金额:1,697 OHM攻击手法:合约漏洞
事件描述:DeFi 协议 Formation.Fi 遭到闪电贷攻击。本次事件发生的主要原因在于项目方设计函数 swapIn 时低估了 fee 对 totalTokens 的影响,且忽视了不同代币间小数点精确度的影响。
损失金额:$ 100,000攻击手法:闪电贷攻击
事件描述:稳定币交易协议 Curve 因 USDM 稳定币协议 Mochi 的「治理攻击」而导致提供了 USDM 流动性的用户造成损失,目前 Curve 已紧急处理避免了更大范围的损失。此前 Mochi 项目方通过购买 Convex 的 CVX 代币,投票增加 USDM 池的奖励以增加 USDM 与其他资产的流动性,然后在流动性提升后将项目方自己拥有的大量 USDM 代币兑换成 DAI,该团队总共将 4600 万个 USDM 换成了 DAI,根据 USDM 对 DAI 的汇率推算,提供了 USDM 对其他稳定币流动性的用户损失可能接近 3000 至 4000 万美元。
损失金额:$ 30,000,000攻击手法:治理攻击
事件描述:据官方消息,DeFi 协议 RariFuse 上的 23 号借贷池 VesperLendbeta 遭遇攻击,攻击者大量消耗 Uniswapv3 中 VUSD 的流动性,并自行创建 VUSD/USDC 流动性池以操纵预言机 VUSD 喂价功能,抬高 VUSD 价格后大量借出 VesperLend 上资产,最终获利 300 万美元。 目前,Vesper 官方已暂停在 RariFuse 平台借用 VUSD 和 vVSP 的功能,并与 Rari、Yearn 和 Uniswap 密切合作,调查此次攻击的全面影响,将于后续更新调查结果及应对举措。
损失金额:$ 3,000,000攻击手法:预言机攻击
事件描述:DeFi 借贷协议 Cream Finance 遭受攻击,损失约 1.3 亿美元。被盗的资金主要是 Cream LP 代币和其他 ERC-20 代币。据悉,这是有史以来第三大 DeFi 黑客攻击(尽管两个更大的黑客攻击事件都有资金返还),此外,Cream Finance 此前曾多次遭受闪电贷攻击,2 月份损失 3750 万美元,8 月份又损失 1900 万美元。
损失金额:$ 130,000,000攻击手法:闪电贷攻击
事件描述:被动收益协议 Indexed Finance 遭到攻击,受影响的资金池包括 DEFI5 and CC10。漏洞被发现后触发了包括 DEGEN、NFTP、FFF (包含 DEFI5 and CC10)资金池的保护措施,并被冻结。约半个小时之前 Indexed Finance 官方表示已经确定了攻击根源,DEGEN、NFTP 两个指数代币资金池已经恢复正常运行,而 FFF 池目前仍处于冻结状态。官方在 Discord 中表示,本次攻击造成的损失约 1600 万美元。
损失金额:$16,000,000攻击手法:定价机制问题
事件描述:质押流动性解决方案 Lido Finance 通过 Lido 漏洞赏金计划发现了一个漏洞,该漏洞能被列入白名单的节点运营商利用,以窃取一小部分用户资金。漏洞报告时大约有 2 万枚 ETH 暴露在风险之中,目前团队已经采取了短期的补救措施。本次报告漏洞的白帽子是 StakeWise 的创始人 Dmitri Tsumak,预计其将获得漏洞赏金计划的最高赏金额 10 万美元。
损失金额:-攻击手法:合约漏洞
事件描述:就在去中心化借贷协议 Compound 试图通过 63 号或 64 号社区提案修补流动性挖矿代币分发合约含有的漏洞的同时,另外一笔价值 6880 万美元的 COMP 代币(共计 202472 枚 COMP)因为 drip() 函数的调用而被打入了已经存在漏洞的流动性挖矿代币分发合约。
损失金额:$ 68,800,000攻击手法:合约漏洞
事件描述:去中心化借贷协议 Compound 通过推特确认,在执行 062 号提案后,该协议的流动性挖矿出现 COMP 代币分发异常情况,Compound Labs 和社区成员正在进行调查 。Compound 表示,存款和借款资金目前未发现存在风险。Compound 创始人 Robert Leshner 表示,出现的问题看起来是根据 062 号提案进行 COMP 代币分发的速率初始设定出错,导致过多(too much) COMP 代币被分发;但是,修改相应代码必须通过治理,最少需要 7 天。
损失金额:$ 80,000,000攻击手法:合约漏洞
事件描述:SushiSwap Launchpad 平台 MISO 上 Jay Pegs Auto Mart 项目的 DONA 代币拍卖遭到攻击,攻击者向 MISO 前端插入了恶意代码,将拍卖钱包地址改为了自己的钱包地址,损失目前已达 865 ETH (约 307 万美元)。SushiSwap 首席技术官 Joseph Delong 在推特表示该漏洞已被修复,且已要求 FTX 和币安提供攻击者的 KYC 信息,但两家交易所均拒绝配合。此外,Joseph Delong 还表示已经通过律师向 FBI 报案,并提醒项目方检查是否存在类似的前端漏洞。后据以太坊区块浏览器 Etherscan 显示,攻击者向 SushiSwap 归还了全部 ETH ,该操作分为两笔交易,第一笔归还 100 ETH,第二笔归还 700 ETH,第三笔归还 65 ETH。
损失金额:-攻击手法:恶意代码注入攻击
事件描述:以太坊上的去中心化交易所 Nowswap 遭到闪电贷攻击,攻击者掏空了 Nowswap 的流动资金池,流动资金池规模从 1,069,197 美元缩至 24.15 美元,攻击者获利 53.6 万 USDT 和 158 WETH,合计 100 多万美元。攻击者利用 Nowswap USDT/WETH 交易对合约中的 K 值验证漏洞,进行多次兑换,每次兑换获得正常应得兑出资产的多倍,直至将交易对池子中的资产薅光。
损失金额:$ 1,000,000攻击手法:K 值验证漏洞
事件描述:以太坊扩容网络 Arbitrum One 发布针对网络故障的报告。从美东时间 9 月 14 日 10:14 开始,Arbitrum One 停机持续 45 分钟,期间 Arbitrum Sequencer(定序器)处于离线状态,资金从未面临风险。停机的根本原因是一个 Bug,导致 Sequencer 在短时间内收到大量交易时卡住,Arbitrum 团队已经定位到该问题并已部署修复程序。团队还表示,就算 Sequencer 故障,也不会影响该网络的持续运行,用户可以绕开 Sequencer,将交易直接提交到以太坊。
损失金额:-攻击手法:安全漏洞
事件描述:推特网友 “mhonkasalo” 表示,dYdX 质押合约存在 bug,用户质押时收到 0 枚 stkDYDX,前端已禁用,共有 64 个受影响的地址。后 dYdX 发布“质押合约 bug”事故报告,dYdX 安全模块在可升级智能合约部署过程中,出现了一个错误,导致 DYDX 兑换 stkDYDX 比率从 1 变为 0,使得质押 DYDX 的用户没有收到 stkDYDX。dYdX 表示,错误是由于智能合约部署过程中出现错误导致的,其认为代码本身没有任何错误,安全模块之前接受了智能合约审计,并且基于流动性模块设计,该设计也经过审计。安全模块在部署前经过全面测试。 目前,用户资金安全的锁定在安全模块中,直至 28 天的 epoch 结束,没有分发安全模块奖励也无法提款。为了恢复合约功能,需要进行升级,建议解决方案为恢复安全模块功能、允许质押用户取回资金、补偿用户因参加安全模块错误的奖励。
损失金额:-攻击手法:合约部署错误
事件描述:DAO Maker 的 Vesting 合约遭到黑客攻击。DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)都使用了 Dao Maker 的分发系统,在 DAO Maker 中进行持有者发行(SHO)时因 DAO Maker 合约被攻击,即 SHO 参与者的分发系统中出现了一个漏洞:init 未初始化保护,攻击者初始化了 init 的关键参数,同时变更了 owner,然后通过 emergencyExit 将目标代币盗走,并兑换成了 DAI,攻击者最终获利近 400 万美元。
损失金额:$ 4,000,000攻击手法:合约漏洞
事件描述:抵押借贷平台 Cream Finance 出现闪电贷攻击,其在发布的闪电贷攻击事后分析报告中表示,漏洞导致 AMP 代币和 ETH (价值约合 1900 万美元)被盗,并承诺将所有协议费用的 20% 用于偿还,直至全部偿还。此次安全事件有一个主要的漏洞攻击者和一个模仿者。10 月 4 日,据 Cointelegraph 报道,DeFi 安全机构 Lossless 已协助收回被盗的 5152.6 枚 ETH,价值近 1670 万美元。
损失金额:$ 2,300,000攻击手法:闪电贷攻击
事件描述:遭遇闪电贷攻击的 DeFi 质押和流动性策略平台 xToken 发布 xSNX 合约漏洞事件分析报告。UTC 时间 8 月 29 日4:43,xSNX 合约中一个漏洞被利用,估计持有人的损失为 450 万美元。 xToken 认为此时最好是停止提供 xSNX 产品。xToken 表示,将不再使用 xSNX 合约进行 SNX 质押。
损失金额:$ 4,500,000攻击手法:闪电贷攻击
事件描述:DAO Maker 发布公告称,UTC 时间 8 月 12 日 1 点左右,黑客恶意使用 DAO Maker 的一个钱包并获得管理员权限。这名网络罪犯在初步测试这一漏洞并成功窃取 1 万枚 USDC 后,又悄悄地进行 15 笔交易。通过这种方式,在安全团队能够追踪、控制并阻止资金外流之前,黑客挪用大约 700 万美元。总共有 5251 名用户受到影响,每个用户平均损失 1250 美元。不过幸运的是,最多持有 900 美元资金的用户完全不受影响。
损失金额:$ 7,000,000攻击手法:私钥泄漏