共有 315 条记录
事件描述:推特网友 “mhonkasalo” 表示,dYdX 质押合约存在 bug,用户质押时收到 0 枚 stkDYDX,前端已禁用,共有 64 个受影响的地址。后 dYdX 发布“质押合约 bug”事故报告,dYdX 安全模块在可升级智能合约部署过程中,出现了一个错误,导致 DYDX 兑换 stkDYDX 比率从 1 变为 0,使得质押 DYDX 的用户没有收到 stkDYDX。dYdX 表示,错误是由于智能合约部署过程中出现错误导致的,其认为代码本身没有任何错误,安全模块之前接受了智能合约审计,并且基于流动性模块设计,该设计也经过审计。安全模块在部署前经过全面测试。 目前,用户资金安全的锁定在安全模块中,直至 28 天的 epoch 结束,没有分发安全模块奖励也无法提款。为了恢复合约功能,需要进行升级,建议解决方案为恢复安全模块功能、允许质押用户取回资金、补偿用户因参加安全模块错误的奖励。
损失金额:-攻击手法:合约部署错误
事件描述:DAO Maker 的 Vesting 合约遭到黑客攻击。DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)都使用了 Dao Maker 的分发系统,在 DAO Maker 中进行持有者发行(SHO)时因 DAO Maker 合约被攻击,即 SHO 参与者的分发系统中出现了一个漏洞:init 未初始化保护,攻击者初始化了 init 的关键参数,同时变更了 owner,然后通过 emergencyExit 将目标代币盗走,并兑换成了 DAI,攻击者最终获利近 400 万美元。
损失金额:$ 4,000,000攻击手法:合约漏洞
事件描述:抵押借贷平台 Cream Finance 出现闪电贷攻击,其在发布的闪电贷攻击事后分析报告中表示,漏洞导致 AMP 代币和 ETH (价值约合 1900 万美元)被盗,并承诺将所有协议费用的 20% 用于偿还,直至全部偿还。此次安全事件有一个主要的漏洞攻击者和一个模仿者。10 月 4 日,据 Cointelegraph 报道,DeFi 安全机构 Lossless 已协助收回被盗的 5152.6 枚 ETH,价值近 1670 万美元。
损失金额:$ 2,300,000攻击手法:闪电贷攻击
事件描述:遭遇闪电贷攻击的 DeFi 质押和流动性策略平台 xToken 发布 xSNX 合约漏洞事件分析报告。UTC 时间 8 月 29 日4:43,xSNX 合约中一个漏洞被利用,估计持有人的损失为 450 万美元。 xToken 认为此时最好是停止提供 xSNX 产品。xToken 表示,将不再使用 xSNX 合约进行 SNX 质押。
损失金额:$ 4,500,000攻击手法:闪电贷攻击
事件描述:DAO Maker 发布公告称,UTC 时间 8 月 12 日 1 点左右,黑客恶意使用 DAO Maker 的一个钱包并获得管理员权限。这名网络罪犯在初步测试这一漏洞并成功窃取 1 万枚 USDC 后,又悄悄地进行 15 笔交易。通过这种方式,在安全团队能够追踪、控制并阻止资金外流之前,黑客挪用大约 700 万美元。总共有 5251 名用户受到影响,每个用户平均损失 1250 美元。不过幸运的是,最多持有 900 美元资金的用户完全不受影响。
损失金额:$ 7,000,000攻击手法:私钥泄漏
事件描述:去中心化年金协议 Punk Protocol 表示在公平启动的过程中遭遇攻击,造成 890 万美元损失,后来团队又找回了 495 万美元,已转移至一个安全的钱包。Punk Protocol 团队表示,该攻击者在投资策略中找到了一个关键漏洞,从 Forge-CompoundModel 模块中提取了超过 890 万美元的三种稳定币资产(USDC、USDT、DAI),不过一个白帽黑客注意到了攻击者的意图,所以执行了一个交易,得以恢复 495 万美元。丢失的资金已转移至以太坊混币平台 Tornado.cash 中,所以很难继续追踪。
损失金额:$ 3,950,000攻击手法:合约漏洞
事件描述:多链合成资产协议 Duet Protocol 核心成员 BachOnChain 发推称,Duet Protocol 先行网 Zerogoki 在数小时前经历了一次预言机攻击,错误的价格导致了无法识别的交易。BachOnChain 表示,已经暂停了预言机,zUSD 经历了一定的波动,预计一段时间后将在市场交易和套利中恢复价格。
损失金额:$ 670,000攻击手法:预言机攻击
事件描述:多链收益优化平台 Popsicle Finance 遭到攻击。本次漏洞的核心在于由于奖励更新记录缺陷导致同个 PLP 凭证能在同个时间节点给多个持有者都带来收益。
损失金额:$ 20,000,000攻击手法:奖励机制缺陷
事件描述:利用通缩代币(deflation token)KEANU 的机制对 Sanshu Inu 部署的 Memestake 合约的奖励漏洞进行攻击,攻击者最后获利约 56 个 ETH。
损失金额:56 ETH攻击手法:奖励机制缺陷
事件描述:DeFi 项目 Array Finance 遭到闪电贷攻击,攻击者利用 Array Finance 的计价机制依赖于 aBPT 的 totalSupply 这一点攻击了 Array Finance,官方表示,攻击者获利约 272.94 ETH,价值约 51.5 万美元。
损失金额:272.94 ETH攻击手法:闪电贷攻击
事件描述:以太坊和币安智能链上的借贷协议 DeFiPie (PIE)遭到黑客攻击,建议所有流动性提供者从应用程序中提取所有流动性,PIE 代币 24 小时跌逾 66%。攻击者通过重入攻击的方式进行了超额借贷,借出了一部分有价值资产。后来又利用假币进行清算操作,拿走了抵押的有价值资产,这也就导致 DeFiPie 协议不仅借出了资产,还丢失了所有抵押资产,流动性遭到损失。
损失金额:124,999 BUSD攻击手法:重入攻击
事件描述:据官方消息,DeFi 资产管理平台 DAO ventures 因跨链资产桥 ChainSwap 合约漏洞,被盗取 30 万枚 DVG 代币。DAOventures 称已经对攻击前的 DVG 持有者和 LP 进行快照,并表示对受影响的代币持有者将会实施补偿。DAOventures 团队表示,用户在 DAOventures 的资产是安全的,在补偿方案公布之前,DAOventures 提醒用户暂时不要购买交易的 DVG 并关注团队的最新动态。
损失金额:300,000 DVG攻击手法:合约漏洞
事件描述:据官方消息,DeFi 预言机 Umbrella Network 因跨链资产桥 ChainSwap 合约漏洞,被盗取超 300 万枚 UMB 代币。
损失金额:3,000,000 UMB攻击手法:合约漏洞
事件描述:DEX 交易工具 DEXTools (DEXT)发推称,近期遭到了黑客攻击,并影响了部分 DEXT 持有者。
损失金额:-攻击手法:未知
事件描述:以太坊 2.0 质押解决方案 SharedStake 发布被攻击报告称,此前 SharedStake 代币在正式推出前被铸造的原因在于内部人员利用时间锁合约(即在固定时间执行某操作的智能合约)漏洞所为。该漏洞于 4 月 26 日由白帽 Lucash-dev 提交给团队,某位团队成员因有查看漏洞的权限,于是利用该漏洞于 6 月 19 日和 23 日四次在主网铸造了价值约 50 万美元的代币并于正式推出后进行了抛售、抵押等操作。虽然没有足够的证据,但 SharedStake 核心成员怀疑是团队新成员所为。
损失金额:$ 500,000攻击手法:合约漏洞
事件描述:基于 Uniswap V3 的 DeFi 流动性协议 Visor Finance 智能合约被紧急提现 230 ETH,攻击者获得了对管理某些 Hypervisor 管理功能的帐户的访问权限,后将资金转到 Tornado.cash。
损失金额:$ 504,845攻击手法:权限被盗
事件描述:DeFi 借贷协议 Alchemix alETH 池疑似出现漏洞,用户在有未偿还的 alETH 债务时就可以提出抵押的 ETH。Alchemix 发布 alETH 池事故报告称由于 alETH 池脚本部署错误,用户在以 4:1 的抵押比例借了 alETH 后却没有待偿还债务,并且近 2000 个 ETH 的债务上限被释放出来,可以再次铸造新的 alETH,加之 Alchemix 在金库数组中使用了错误的索引,迫使 transmuter 支持协议机制中资金被完全送去偿还用户的债务。团队已停止该池的抵押借贷,截止报告发布时,alETH 目前有-2,688.634 的缺口,大约是 653 万美元。Alchemix 表示用户资金没有受到损失,Yearn 也没有遭受任何损失。
损失金额:$ 6,530,000攻击手法:合约漏洞
事件描述:据链上期权协议 FinNexus 官方声明,FinNexus 的部分硬件已受到恶意软件的攻击,一个不知名的黑客渗透了 FinNexus 系统并设法恢复了 FNX 代币合约所有权的私钥。FNX 在短时间内在被大量铸造、转出或售出,涉及 BSC 和以太坊超过 3 亿个 FNX 代币(约 700 万美元)。
损失金额:$ 7,000,000攻击手法:私钥泄露
事件描述:DeFi 质押和流动性策略平台 xToken 遭到攻击,xBNTaBancor 池以及 xSNXaBalancer 池立即被耗尽,造成近 2500 万美元损失。慢雾安全团队分析称,本次被黑的两个模块分别是 xToken 中的 xBNTa 合约和 xSNXa 合约,两个合约分别遭受了「假币」攻击和预言机操控攻击。
损失金额:$ 25,000,000攻击手法:预言机攻击
事件描述:DeFi 智能投顾协议 Rari Capital 在推特上表示其 ETH 资金池出现了一个因集成 Alpha Finance Lab 协议而导致的漏洞,遭受攻击,重平衡器(rebalancer)目前已经从 Alpha 移除所有资金。团队表示目前还在调查并评估,后续将发布完整报告。数据显示,约有 1400 万美元资金被攻击者转移。Alpha Finance 团队则表示,Alpha Homora 上的资金安全。此次攻击 Rari Capital 的地址之前曾在币安智能链上对 Value DeFi 进行攻击。
损失金额:$ 14,000,000攻击手法:合约漏洞