共有 466 条记录
事件描述:区块链安全公司 Blockaid 检测到 Gitcoin 子域名 files.gitcoin.co 遭受前端攻击。该受损站点被发现嵌入名为 “Eleven drainer” 的恶意代码,旨在窃取用户加密钱包资产。Blockaid 建议用户目前不要与该站点交互,问题正在调查和修复中。这是一起前端妥协事件,而非链上智能合约漏洞利用。
损失金额:-攻击手法:前端攻击
事件描述:JaredFromSubway.eth 运营的 MEV 机器人被黑,损失约 750 万美元 资产。攻击者通过构造虚假代币包装器和流动性池,诱导机器人自动化 MEV 执行系统向攻击者控制的合约授予代币授权。随后,攻击者利用未被撤销的授权,通过 transferFrom 转出机器人持有的 WETH、USDC 和 USDT 等资产。此次并非传统钓鱼攻击,也非受害合约本身存在智能合约漏洞,而是利用了机器人自动识别套利机会并生成授权的机制缺陷。Jared 公开悬赏 100 万美元全额归还,并承诺完全保密。
损失金额:$ 7,500,000攻击手法:业务逻辑缺陷
事件描述:2026 年 6 月 19 日 UTC 时间约 7:15,Starknet 上的 mySwap CL(集中流动性)协议遭遇漏洞攻击,导致流动性池中约 30 万美元(部分分析为 30.5 万美元)被抽走。mySwap 接口已关闭新流动性注入超过 6 个月,受损资金主要为分散在 10 万多个仓位中的残留 LP 头寸。攻击者通过桥接转移被盗资金,并使用 Railgun 混淆交易流向。此次攻击几乎耗尽了协议内所有剩余流动性。
损失金额:$ 300,000攻击手法:合约漏洞
事件描述:Thetanuts Finance 的一个已弃用旧金库因赎回数学及铸造/索赔函数中的整数计算缺陷被利用,攻击者通过闪电贷在将代币供应降至接近零后提取约 210 万美元。大部分资金被白帽追回,根据项目方总经济损失约 10.5 万美元。当前产品和活跃合约未受影响。
损失金额:$ 105,000攻击手法:合约漏洞
事件描述:攻击者利用已弃用 Aztec Connect Router 合约中不完整的证明验证漏洞,在以太坊上窃取约 210 万美元资产。该协议已弃用三年,团队对不可升级合约无控制权。当前 Aztec 网络及 AZTEC 代币未受影响。
损失金额:$ 2,100,000攻击手法:合约漏洞
事件描述:Humanity Protocol 发生安全事件,基金会成员私钥被泄露,导致多个相关钱包(用户与项目合约交互的钱包)中 $H 代币被大量抽走并换成 ETH,总损失超 3000 万美元,$H 代币价格暴跌约 90%。项目方要求用户暂勿与桥或流动性池交互。
损失金额:$ 31,000,000攻击手法:私钥泄漏
事件描述:Asterix Labs(Flooring Protocol 的 NFT 流动性平台分叉项目)遭遇攻击,$ASTX 代币合约被利用。攻击者利用与前一天 Flooring Protocol 相同的智能合约漏洞(DN404/BT404 代币标准共享代码库中的 accounting/ownership 逻辑问题),从合约中抽取了约 4 万美元资产。项目方已在 X 上确认事件,正在调查原因,并计划发布完整事后报告。
损失金额:$ 40,000攻击手法:合约漏洞
事件描述:NovaBox 平台的奖励池在以太坊上遭到黑客攻击。攻击者通过 Aave V3 闪电贷借入 427.5 WETH,利用平台在用户存取款时“先发放股息后更新余额”的奖励分配机制缺陷,先存入少量 NOVA 代币触发股息计算,再存入大量 ETH 使实际份额大幅增加,但系统仍按旧小额份额计算股息、按新大额份额支付,从而制造约 145.82 ETH 的“幻影股息”,一笔交易将池中资金几乎耗尽。安全公司 F12 确认,此次事件非智能合约代码漏洞,而是奖励机制的逻辑缺陷。
损失金额:$ 93,600攻击手法:闪电贷攻击
事件描述:Ambient Finance(前 CrocSwap)遭受记账逻辑漏洞攻击。攻击者利用 flash loan + Surplus Collateral(DEPOSIT_SURPLUS / DISBURSE_SURPLUS)记账不一致,通过 HotProxy / WarmPath / ColdPath 循环操作,从单合约核心中抽走约 83.72 ETH(价值约 11.06 万美元)。
损失金额:$ 110,600攻击手法:合约漏洞
事件描述:Gnosis Pay 披露其 Delay Module(延迟模块)存在漏洞且正在被利用。该模块为 Gnosis Pay 自托管卡支付系统提供交易安全延时保护。项目方紧急建议用户立即将 EURe 和 GNO 余额从卡中提现至钱包。Gnosis 团队确认将对受影响用户进行全额赔偿。
损失金额:0攻击手法:合约漏洞
事件描述:ATOHook 智能合约因 rewards mapping 的 storage slot 与 Solady ReentrancyGuard 的固定 slot(0x02215292eb9609279094554c6e223f800950648ddfa3da30329838d6c170928d)发生碰撞,导致攻击者在调用 getReward() 时,nonReentrant 修改器写入的哨兵值被误读为奖励余额,允许攻击者用碰撞地址反复提取固定金额 ETH,共被抽走约 14.41 ETH(200 次重复领取)。
损失金额:$ 25,000攻击手法:合约漏洞
事件描述:Fluid DeFi 协议的 off-chain Merkle 奖励分发基础设施遭受攻击,黑客利用妥协的 proposer 和 approver 操作密钥提交虚假 Merkle root 并通过空证明领取奖励,造成约 21.5 万美元损失。核心借贷、DEX 和用户资金未受影响,项目方已撤销受损密钥并暂停领取进行升级。
损失金额:$ 215,000攻击手法:私钥泄漏
事件描述:ONTR 代币项目因合约 onlyOwner 逻辑缺陷(允许 owner == address(0)),导致已 renounce 的代币可被重新获取所有权。攻击者通过隐藏的余额授予逻辑伪造巨额 ONTR 余额,无 totalSupply/mint 日志,然后注入 LP 并换出 WETH 获利。
损失金额:$ 98,200攻击手法:合约漏洞
事件描述:WUSD.fi / GLOVE 项目在 Ethereum 上遭受激励滥用攻击。攻击者利用 WUSD._englove 奖励机制中缺乏 Sybil 抵抗的问题,通过 EIP-7702 helper 合约和 Morpho USDT 闪电贷反复 wrap/unwrap WUSD,多次 mint GLOVE 代币,然后将 GLOVE 倾销到 Uniswap V3 GLO-USDC 和 GLO-USDT 流动性池中,窃取了约 $200K 的 USDC 和 USDT。
损失金额:$ 200,000攻击手法:女巫攻击
事件描述:据链上侦探 ZachXBT 和安全机构 Blockaid 披露,欧洲稳定币发行商 StablR 的两个相关智能合约(Ethereum 上的 EURR 和 USDR)疑似被攻击。攻击者资金通过 Noble 上的 CCTP 注入,已提取约 280 万美元以上,导致两种稳定币严重脱锚。
损失金额:$ 2,800,000攻击手法:私钥泄漏
事件描述:Mure 在 Ethereum 链上的 MureDistribution 代理合约因签名验证访问控制漏洞被利用。攻击者提供恶意合约作为“签名源”,导致 SignatureChecker 直接返回 true 并绕过验证。随后通过 transferFrom 提取了已预授权给代理的 485 万 QUEST 代币,并迅速在 Uniswap 上换成约 5.45 ETH(价值约 $ 11,700)。用户资金和核心支付基础设施未受影响,仅为单个分发合约的逻辑漏洞。
损失金额:$ 11,700攻击手法:合约漏洞
事件描述:TrustedVolumes(1inch Fusion 等协议的重要流动性提供商/Resolver)遭黑客利用其自定义 RFQ Swap Proxy 合约漏洞攻击,损失约 670 万美元。项目方在 X 上确认事件,并公开存放被盗资金的三个地址,表示愿意与攻击者就漏洞赏金进行建设性沟通和协商解决。1inch 官方表示其协议、基础设施和用户资金不受影响,此次攻击仅限于 TrustedVolumes 控制的自定义组件。
损失金额:$ 6,700,000攻击手法:合约漏洞
事件描述:据 Blockaid 监测,Ekubo Protocol 在以太坊上的自定义扩展合约凌晨遭受攻击,目前已被盗约 140 万美元。Ekubo 用户本身不受影响,只有授权该 V2 合约作为代币支出者的用户存在风险。漏洞根源在于 Ekubo 扩展合约的 IPayer.pay 回调函数中,token.transferFrom 的 payer、token 和 amount 参数直接来自锁定载荷,由攻击者控制。合约未检查 payer 是否为锁定的发起者或授权的支付方,攻击者可利用用户此前对该合约的 ERC-20 授权,通过 Core 锁定路由至扩展合约,将任意授权用户设为 payer 并将自己设为提款接收方,从而盗取资产。
损失金额:$ 1,400,000攻击手法:合约漏洞
事件描述:2026年4月30日(UTC),Wasabi Protocol发生安全事件。攻击者利用项目 AWS 基础设施上的分析界面(Spring Boot Actuator堆转储),泄露凭证并最终获取了控制 EVM 智能合约的私钥,随后发起提现攻击,从 EVM 智能合约中窃取 480 万美元用户资金,并从 Wasabi 项目金库额外窃取 90 万美元资金。该漏洞仅影响以太坊主网、Base、Blast 和 Berachain 上的 EVM 部署,Solana 部署及 Prop AMM 完全未受影响。团队在事件发生后 48 小时内完成遏制,轮换所有密钥、锁定受影响合约,并于 5 月 2 日为未受影响的金库重新开放提现,同时聘请外部安全机构 zeroShadow 进行链上追踪、资金追回及执法协调。
损失金额:$ 5,700,000攻击手法:私钥泄漏
事件描述:Trading Protocol 下的 YieldCore-3rd-deal 金库遭受攻击。攻击者利用合约中调用者授权检查缺失(missing caller authorization check) 的漏洞,绕过权限机制,直接将金库中的所有资金转出。金库为 permissionlessly listed(任何人可上架),并非协议核心部分。此次攻击导致金库被完全清空。
损失金额:$ 398,000攻击手法:合约漏洞