共有 401 条记录
事件描述:以太坊 2.0 质押解决方案 SharedStake 发布被攻击报告称,此前 SharedStake 代币在正式推出前被铸造的原因在于内部人员利用时间锁合约(即在固定时间执行某操作的智能合约)漏洞所为。该漏洞于 4 月 26 日由白帽 Lucash-dev 提交给团队,某位团队成员因有查看漏洞的权限,于是利用该漏洞于 6 月 19 日和 23 日四次在主网铸造了价值约 50 万美元的代币并于正式推出后进行了抛售、抵押等操作。虽然没有足够的证据,但 SharedStake 核心成员怀疑是团队新成员所为。
损失金额:$ 500,000攻击手法:合约漏洞
事件描述:基于 Uniswap V3 的 DeFi 流动性协议 Visor Finance 智能合约被紧急提现 230 ETH,攻击者获得了对管理某些 Hypervisor 管理功能的帐户的访问权限,后将资金转到 Tornado.cash。
损失金额:$ 504,845攻击手法:权限被盗
事件描述:DeFi 借贷协议 Alchemix alETH 池疑似出现漏洞,用户在有未偿还的 alETH 债务时就可以提出抵押的 ETH。Alchemix 发布 alETH 池事故报告称由于 alETH 池脚本部署错误,用户在以 4:1 的抵押比例借了 alETH 后却没有待偿还债务,并且近 2000 个 ETH 的债务上限被释放出来,可以再次铸造新的 alETH,加之 Alchemix 在金库数组中使用了错误的索引,迫使 transmuter 支持协议机制中资金被完全送去偿还用户的债务。团队已停止该池的抵押借贷,截止报告发布时,alETH 目前有-2,688.634 的缺口,大约是 653 万美元。Alchemix 表示用户资金没有受到损失,Yearn 也没有遭受任何损失。
损失金额:$ 6,530,000攻击手法:合约漏洞
事件描述:据链上期权协议 FinNexus 官方声明,FinNexus 的部分硬件已受到恶意软件的攻击,一个不知名的黑客渗透了 FinNexus 系统并设法恢复了 FNX 代币合约所有权的私钥。FNX 在短时间内在被大量铸造、转出或售出,涉及 BSC 和以太坊超过 3 亿个 FNX 代币(约 700 万美元)。
损失金额:$ 7,000,000攻击手法:私钥泄露
事件描述:DeFi 质押和流动性策略平台 xToken 遭到攻击,xBNTaBancor 池以及 xSNXaBalancer 池立即被耗尽,造成近 2500 万美元损失。慢雾安全团队分析称,本次被黑的两个模块分别是 xToken 中的 xBNTa 合约和 xSNXa 合约,两个合约分别遭受了「假币」攻击和预言机操控攻击。
损失金额:$ 25,000,000攻击手法:预言机攻击
事件描述:DeFi 智能投顾协议 Rari Capital 在推特上表示其 ETH 资金池出现了一个因集成 Alpha Finance Lab 协议而导致的漏洞,遭受攻击,重平衡器(rebalancer)目前已经从 Alpha 移除所有资金。团队表示目前还在调查并评估,后续将发布完整报告。数据显示,约有 1400 万美元资金被攻击者转移。Alpha Finance 团队则表示,Alpha Homora 上的资金安全。此次攻击 Rari Capital 的地址之前曾在币安智能链上对 Value DeFi 进行攻击。
损失金额:$ 14,000,000攻击手法:合约漏洞
事件描述:DeFi 协议 ValueDeFi 继 5 日遭到黑客攻击后疑似再次遭受黑客攻击。ValueDeFi 在社区中提醒用户,「项目所有非 50/50 的交易池都被利用了,请停止购买 gvVALUE 和 vBSWAP,直到项目方团队给出解决方案」。随后确认,约损失 3000 多枚 ETH(约合 1000 万美元)。
损失金额:$ 10,000,000攻击手法:合约漏洞
事件描述:Value DeFi 表示,5 月 5 日 11 点 22 分,攻击者重新初始化资金池,并将操作员角色设置为其自己,以及 _stakeToken 设置为 HACKEDMONEY,攻击者控制了池并调用 governanceRecoverUnsupported (),耗尽了原始的质押代币(vBWAP/BUSD LP)。然后,攻击者移除 10839.16 vBWAP/BUSD LP 和流动性,并获得 7342.75 vBSWAP 和 205659.22 BUSD,随后,攻击者在 1inch 出售全部 7342.75 vBSWAP 获得 8790.77 BNB,又将 BNB 和 BUSD 购买了 renBTC,通过 renBridge 将资金兑换为 BTC。攻击者共获利 205659.22 BUSD 和 8790.77 BNB。目前在储备基金内的 2802.75 vBSWAP 和 ValueDeFi 部署者的 205,659.22 BUSD 将用于补偿池中的所有用户。剩余的 4540 vBSWAP 可按以下两种方式进行补偿,第一种选择为铸造 4540 vBSWAP 立即赔偿所有受影响的用户,另外一种选择为铸造 2270 vBSWAP 立即补偿,其余在 3 个月内退还至合约。Value DeFi 强调称,仅 bsc.valuedefi.io 中的 vBSWAP 的 vStake 利润共享池收到印象,其他资金池和资金均处于安全状态。
损失金额:$ 5,817,780攻击手法:合约漏洞
事件描述:去中心化稳定币项目 Fei Protocol 开发团队 Fei Labs 发推表示,5 月 2 日发现并披露了一个涉及 ETH 联合曲线合约的漏洞,并立即暂停该合约,该漏洞未被利用,不会影响任何用户。该漏洞会使得闪电贷市场操纵耗尽 Fei Protocol 的协议控制资金(PCV)。另外, Fei Protocol 还授予漏洞发现者 Alexander Schlindwein 价值 80 万美元的 TRIBE 代币奖励。目前,OpenZeppelin 和 Alexander Schlindwein 已协助进行修复审查和验证,将 ETH 从联合曲线发送到储备稳定器(reserve stabilizer)而不是 ETH-FEI Uniswap 池来消除攻击向量,还会在池中添加可防止恶意套利的其他审查。
损失金额:-攻击手法:合约漏洞
事件描述:DeFi 量化对冲基金 Force DAO 发布博客称,对此前遭受攻击负责,并已实施程序以确保将来减轻任何此类事件。此次攻击共耗尽并清算总计总计价值 183 ETH(约 36.7 万美元)的 FORCE 代币。
损失金额:183 ETH攻击手法:合约漏洞
事件描述:DeFi 聚合理财服务 SIL.Finance 合约出现高危漏洞.。后 SIL.Finance 发文称,此次事件是由智能合约权限漏洞引起的,该漏洞继而触发了一个通用抢先交易机器人提交一系列交易以获利。在发现智能合约因存在高危漏洞而无法提现后,经过慢雾等多方 36 小时的努力,已经成功追回 1215 万美元。SIL.Finance 表示,若在此事件中任何用户资产受损,团队决定使用自有资金推出补偿计划:遭受损失的所有用户将获得 2 倍补偿,将以 SIL 发放。
损失金额:-攻击手法:合约漏洞
事件描述:ETH 和 BSC 上的跨链稳定币 True Seigniorage Dollar(TSD)表示,恶意攻击者利用 TSD DAO 在其账户中铸造 118 亿枚 TSD 代币,并全部在 Pancakeswap 出售。具体过程为,True Seigniorage Dollar 表示,开发者帐户仅拥有 9% 的 DAO,恶意攻击者低价积累逐渐逐步控制了 33% 的 DAO,然后提出了一项实施方案并投了赞成票。在实施中,攻击者向 mint 添加代码,为自己铸造了 118 亿枚 TSD。
损失金额:$ 7,095,340攻击手法:合约漏洞
事件描述:去中心化交易所 DODO 公布了针对部分资金池被攻击事件的进展,本次攻击的主要原因是众筹资金池合约初始化函数没有防止重复调用,导致黑客重新初始化合约并通过闪电贷完成了攻击。在此事件中共有三位参与者,一位黑客和两个交易机器人,共有价值约 380 万美元的资金受到攻击,目前两个交易机器人的所有者已经归还了价值约 310 万美元代币。另外,价值约 20 万美元的资金在中心化交易所被冻结,剩余价值约 50 万美元的资金损失由 DODO 团队承担,所有资金将于 24 小时之内归还。同时,已邀请了安全公司成都链安和慢雾科技进行新一轮代码审计,预计一周内即可恢复众筹建池功能。
损失金额:$ 500,000攻击手法:init 函数无限制
事件描述:Curve Finance 发布推文称,资金池 Pool Factory v1 版本发现漏洞,建议 v1 用户立即使用 crv.finance 提取资金。Curve.fi 和 Pool Factory v2 资金池不受影响。团队还表示,尽管该漏洞很严重,但它仅影响 v1 池,黑客无法利用它来窃取用户资金。
损失金额:-攻击手法:合约漏洞
事件描述:DeFi 平台 Furucombo 代理遭攻击,被盗金额达 1500 万美元以上。DeFi 聚合平台 Furucombo 官方发布推文称:"已找到根本原因,漏洞已打补丁。资金现在已安全。我们正在调查被盗资金并组织后续行动。后续将继续更新。”后 Furucombo 表示,将向受影响的用户发出 500 万 iouCOMBO 代币。
损失金额:$ 15,000,000攻击手法:合约漏洞
事件描述:DeFi 保险协议 Armor 团队称有团队成员遭遇 OTC 诈骗,被骗走 120 万枚 ARMOR 代币,诈骗者已经抛售所有代币获利 600 枚 ETH (约合 85 万美元)。Armor 团队披露,诈骗者在社交媒体上冒充战略投资者,谎称要通过 OTC 从团队手中购买代币,在 OTC 交易中骗走了 120 万枚 ARMOR 代币,随后抛售。Armor 团队称,「无黑客入侵,项目仍然安全。」
损失金额:$ 850,000攻击手法:骗局
事件描述:DeFi 收益聚合器 Yeld.finance 的 DAI 池遭到闪电贷攻击,损失 16 万 DAI,涉及 10 余名用户。Tether、TrueUSD 和 USDC 均未受到影响。据介绍,Yeld 的问题与前期 Yearn.Finance 的 DAI 池漏洞问题一致。官方同时表示,受影响的使用者将得到代币偿还,代币来自 DAI 池的收入奖励,以弥补他们的部分损失。后 Yeld.finance 官方表示,被闪电贷攻击造成的 16 万 DAI 已经被归还,此次活动疑似是白帽所为,官方将进一步更新细节。
损失金额:$ 160,000 DAI攻击手法:闪电贷攻击
事件描述:以太坊链上期权协议 Primitive Finance 智能合约中发现了一个严重漏洞。由于合约不可升级或暂停,因此官方选择自己对智能合约进行黑客攻击以保护用户资金。被黑的资金是安全的。所有被黑的资金都将返还给它们的所有者。
损失金额:-攻击手法:合约漏洞
事件描述:DeFi 收益聚合器 BT.Finance 发推称,「遭到了黑客攻击,受攻击的策略包括 ETH、USDC 和 USDT,其他策略不受影响,BT.Finance 提款费用保护使这次攻击的损失减少了近 140,000 美元。」BT.Finance 表示希望黑客能够将资金归还,并将使用使用 BT 代币感谢其 Bug 测试。ICO Analytics 对此表示,受影响资金约为 150 万美元。
损失金额:$ 1,500,000攻击手法:闪电贷攻击
事件描述:Yearn v1 yDAI vault 遭到攻击,攻击者窃取 280 万美元。Yearn finance 核心开发者 Banteg 随后表示:攻击者获得 280 万美元, vault 损失了 1100 万美元。
损失金额:$ 11,000,000攻击手法:闪电贷攻击