共有 420 条记录
事件描述:加密钱包 ZenGo 研究人员 Alex Manuskin 透露,一个所谓基于以太坊网络的 “yield farming 平台 ”UniCats 涉嫌从几个用户那里窃取了包括去中心化金融平台 Uniswap 的治理代币 UNI 在内的至少 20 万美元加密资产。智能合约中的一个后门允许 UniCats 保留对其用户代币的控制权,即使这些代币已经从用户池中撤出。而此前针对 Bancor 的攻击也使用了类似的漏洞。
损失金额:$ 200,000攻击手法:骗局
事件描述:去中心化钱包 imToken 发推表示,用户报告称 31 万枚 DAI 已被耗尽,这与 DeFi Saver Exchange 漏洞有关。imToken 建议抵押债仓(CDP)自动化管理系统 DeFi Saver 立即销毁合约以挽回用户资金。imToken 表示,其安全团队正在调查该事件,并尝试排查所有受影响的用户钱包并发布警告。DeFi Saver 对此回应称,这部分资金是安全的,正在联系受影响用户。DeFi Saver 承认这与 6 月份报告的交易所漏洞有关。
损失金额:310,000 DAI攻击手法:交易所漏洞
事件描述:根据 bluekirbyfi 推特消息,yearn.finance 创始人 Andre Cronje 刚推出的游戏项目 Eminence(EMN)遭遇闪电贷攻击,黑客将 800 万美元的资金返还给了 yearn 部署者合约。
损失金额:-攻击手法:闪电贷攻击
事件描述:财经博主“超级比特币”在微博表示,废老师(微博用户名“废X废”)参与了流动性挖矿项目 Soda,突然发现有一个漏洞,里面有 2 万个 ETH 可以直接清算掉。但他选择了告诉开发组,但开发组并未重视。他只好选择清算了一个 ETH,并发微博警告,实操告诉开发者这个 Bug 的存在。一个小时后,Soda 协议方作出响应,分别提示借款人还款、抵押者提款的同时,表示将修复漏洞,暂停前端借款功能。但至 9 月 21 日凌晨,Soda 抵押借款池中仍有 400 多个 ETH 被恶意清算。当日上午,该协议官方在 Twitter 上称,漏洞已修复,新部署的智能合约预计 9 月 22 日 21 点生效。
损失金额:446 ETH攻击手法:未知
事件描述:据慢雾区情报,以太坊挖矿项目 LV Finance 项目疑似跑路不到一个小时已有 400 万被转走,与以往项目不同,该项目通过伪造虚假审计网站并提供虚假审计信息诱骗投资者进行投资,待一段时间后资金池内金额足够大时进行跑路。目前,该项目网站 lv.finance 已无法访问。
损失金额:$ 4,000,000攻击手法:跑路
事件描述:bZx 官方发推特称,在美东时间上午 3:28(北京时间 9 月 13 日 15:30),我们开始研究该协议 TVL 的下降。到美东时间上午 6:18(北京时间 9 月 13 日 18:30),我们确认几个 iToken 发生了重复事件。借贷暂时暂停。重复方法已从 iToken 合同代码中修补出来,并且协议已恢复正常运行。根据 Compound 创始人的信息,共有 260 万美元 LINK、160 万美元 ETH、380 万美元稳定币,总共 800 万美元资产受到影响。1inch 联合创始人 Anton Bukov 发推称攻击者在此次事件中盗取了约 4700 枚 ETH,并附上被盗资金地址。对此,bZx 回应称,资金目前没有风险。列出的那些资金已从我们的保险基金中扣除。9 月 16 日,bZx 发布 iToken 重复事故报告,攻击者已经归还全部资金。
损失金额:-攻击手法:重放攻击
事件描述:DeFi 用户 Amplify 发现了 DeFi 智能合约 SYFI 的一个漏洞,单笔交易就赚了 747 ETH,只不过是从其他用户那里拿到的。这个项目崩溃了。
损失金额:747 ETH攻击手法:未知
事件描述:推特账户名为 Amplify 的用户透露自己在新 DeFi 项目 Soft Finance 中因系统漏洞获利 25 万美元。
损失金额:$ 250,000攻击手法:未知
事件描述:九个 Chainlink 节点运营商遭到所谓“垃圾邮件攻击”,攻击者从他们的“热钱包”中获取了大约 700 枚 ETH(当时价值约合 33.5 万美元)。
损失金额:700 ETH攻击手法:垃圾邮件攻击
事件描述:推特上网友爆料称 DeFi 流动性挖矿项目 Degen.Money 利用双重授权漏洞获取用户资金。第一次授权给了质押合约,第二次授权给了转账权,会导致用户资金被攻击者拿走。YFI 创始人 Andre Cronje 表示该项目确实存在风险。
损失金额:-攻击手法:双重授权漏洞
事件描述:DeFi 项目 YFValue ( YFV )官方发布公告称,团队于昨日在 YFV 质押池中发现一个漏洞,恶意参与者借此漏洞对质押中的 YFV 计时器单独重置,1.7 亿美元资金存在被锁定风险。目前已有一名恶意参与者正试图以此漏洞勒索团队。
损失金额:$ 170,000,000攻击手法:质押池漏洞
事件描述:DeFi 流动性耕种匿名项目 BASED 官方宣布将重新部署质押池,官方发布推特称,有黑客试图将 “Pool1” 永久冻结,但尝试失败,而 “Pool1” 将继续按计划进行。目前抵押资金和 BASED 代币都是安全的。
损失金额:-攻击手法:未知
事件描述:2020 年 8 月 13 日,知名以太坊 DeFi 项目 YAM 官方通过 Twitter 发文表明发现合约中存在漏洞,24 小时内价格暴跌 99% ,导致了治理合约被“永久破坏”,价值 75 万美元的 Curve 代币被锁定而无法使用。由于 rebase 的时候取的是上一次的 totalSupply 的值,所以计算错误的 totalSupply 的值并不会立即通过 mint 作用到 initSupply 上,所以在下一次 rebase 前,社区仍有机会挽回这个错误,减少损失。但是一旦下一次 rebase 执行,整个失误将会变得无法挽回。
损失金额:$ 750,000攻击手法:合约漏洞
事件描述:链上期权平台 Opyn 披露其以太坊看跌期权被外部参与者恶意利用。Opyn 指出,除以太坊看跌期权外的所有其他 Opyn 合约均不受此漏洞的影响。攻击者双重利用 oToken 并窃取了看跌期权卖方的抵押资产。据 Opyn 统计,截至目前共有 371,260 枚 USDC 被盗。由于 Opyn ETH Put 智能合约中的行权函数 exercise() 没有对交易者的ETH 进行实时校验。根据 Opyn 平台的业务逻辑,看跌期权的买方给卖方转移相应价值的 ETH,即可获得卖方抵押的数字资产。狡猾的攻击者,先向自己发起伪装的交易,利用这笔 ETH 可以重复使用的特性,再次向卖方用户发起转账,进而骗取卖方已经抵押的数字资产。
损失金额:371,260 USDC攻击手法:合约漏洞
事件描述:Coingecko 研究人员 Daryllautk 发推称,VETH 在去中心化交易所 Uniswap 遭遇黑客攻击。黑客仅使用 0.9ETH 就盗走了 919,299 VETH (价值 90 万美元)。攻击事件发生后,VETH 官方表示,该合约被其放置在 transferForm() 中的 UX 改进所利用,这是他们的过错。他们将重新部署 vether4,并将补偿所有受影响的 Uniswap 质押者。此次攻击主要利用合约中 changeExcluded 函数的可见性为 external 且未有权限限制,用户可以直接进行外部调用为攻击创造了必要的条件。
损失金额:$ 900,000攻击手法:合约漏洞
事件描述:据 DeBank 推特表示,黑客再次利用 dYdX 的闪电贷攻击了 Balancer 部分流动性矿池中的 COMP 交易对,将池子中未领取的 COMP 奖励抽走,获利 10.8 ETH,约合 2408 美金。
损失金额:$ 2,408攻击手法:闪电贷攻击
事件描述:Balancer 流动性池遭闪电贷攻击,损失 50 万美金,Balancer 上遭遇损失的为 STA 和 STONK 两个代币池,目前这两个代币池的流动性已枯竭。STA 和 STONK 代币均为通缩代币,也就是说这种攻击仅影响通缩代币的流动性池。Balancer 上的通缩型代币和其智能合约在某些特定场景不兼容,使得攻击者可以创建价格偏差的 STA/STONK 流通池并从中获利。
损失金额:$ 500,000攻击手法:兼容性问题
事件描述:最近的研究中发现了恶意的 Web3 应用程序「网络钓鱼 dapp」,它们伪装成合法的应用程序或服务来窃取加密货币。比如,自 MakerDAO 正式关闭单抵押 Sai 系统以来,这类钓鱼工具开始出现,他们会伪装成需要一个新工具来帮助用户从 SAI 迁移到 DAI。比如某一域名提供了一个简单的界面,以 1:1 的比例开始从 SAI 迁移到新的 DAI,似乎就像官方通道一样。然而,实际上要签署的交易只是将 SAI 发送到攻击者拥有的一个地址。已经追踪到了超过 10 万美元的 SAI 被转移到了攻击者账户。
损失金额:$ 100,000攻击手法:钓鱼攻击
事件描述:去中心化跨链借贷平台 Atomic Loans 发表了漏洞披露和暂停新贷款请求的决定。决定表明,安全研究员 samczsun 私下披露了当前部署的合同和贷方代理中的两个漏洞。这两个漏洞都允许恶意借款人解锁其部分/全部 BTC 抵押品,而无需在特定情况下偿还其贷款。截至目前,这些漏洞均未被任何用户利用,并且该平台上没有资金受到影响。此外,在启动 v2 之前,平台已禁止任何借款人或贷方参与新贷款的功能。
损失金额:-攻击手法:未知
事件描述:DeFi 货币市场协议 DMM 官方推特表示,在公募期间其电报群遭到恶意劫持,攻击者冒名顶替了 DMM 基金会,目的是为了窃取资金。在仔细研究了链上交易找到受影响的人之后,官方以每枚 DMG0.40 美元的价格向受影响的人发送了总计 4 万美元的 DMG,希望确保所有资金损失的人都得到对应补偿。
损失金额:$ 40,000攻击手法:恶意劫持