共有 444 条记录
事件描述:WUSD.fi / GLOVE 项目在 Ethereum 上遭受激励滥用攻击。攻击者利用 WUSD._englove 奖励机制中缺乏 Sybil 抵抗的问题,通过 EIP-7702 helper 合约和 Morpho USDT 闪电贷反复 wrap/unwrap WUSD,多次 mint GLOVE 代币,然后将 GLOVE 倾销到 Uniswap V3 GLO-USDC 和 GLO-USDT 流动性池中,窃取了约 $200K 的 USDC 和 USDT。
损失金额:$ 200,000攻击手法:女巫攻击
事件描述:据链上侦探 ZachXBT 和安全机构 Blockaid 披露,欧洲稳定币发行商 StablR 的两个相关智能合约(Ethereum 上的 EURR 和 USDR)疑似被攻击。攻击者资金通过 Noble 上的 CCTP 注入,已提取约 280 万美元以上,导致两种稳定币严重脱锚。
损失金额:$ 2,800,000攻击手法:私钥泄漏
事件描述:Mure 在 Ethereum 链上的 MureDistribution 代理合约因签名验证访问控制漏洞被利用。攻击者提供恶意合约作为“签名源”,导致 SignatureChecker 直接返回 true 并绕过验证。随后通过 transferFrom 提取了已预授权给代理的 485 万 QUEST 代币,并迅速在 Uniswap 上换成约 5.45 ETH(价值约 $ 11,700)。用户资金和核心支付基础设施未受影响,仅为单个分发合约的逻辑漏洞。
损失金额:$ 11,700攻击手法:合约漏洞
事件描述:TrustedVolumes(1inch Fusion 等协议的重要流动性提供商/Resolver)遭黑客利用其自定义 RFQ Swap Proxy 合约漏洞攻击,损失约 670 万美元。项目方在 X 上确认事件,并公开存放被盗资金的三个地址,表示愿意与攻击者就漏洞赏金进行建设性沟通和协商解决。1inch 官方表示其协议、基础设施和用户资金不受影响,此次攻击仅限于 TrustedVolumes 控制的自定义组件。
损失金额:$ 6,700,000攻击手法:合约漏洞
事件描述:据 Blockaid 监测,Ekubo Protocol 在以太坊上的自定义扩展合约凌晨遭受攻击,目前已被盗约 140 万美元。Ekubo 用户本身不受影响,只有授权该 V2 合约作为代币支出者的用户存在风险。漏洞根源在于 Ekubo 扩展合约的 IPayer.pay 回调函数中,token.transferFrom 的 payer、token 和 amount 参数直接来自锁定载荷,由攻击者控制。合约未检查 payer 是否为锁定的发起者或授权的支付方,攻击者可利用用户此前对该合约的 ERC-20 授权,通过 Core 锁定路由至扩展合约,将任意授权用户设为 payer 并将自己设为提款接收方,从而盗取资产。
损失金额:$ 1,400,000攻击手法:合约漏洞
事件描述:Trading Protocol 下的 YieldCore-3rd-deal 金库遭受攻击。攻击者利用合约中调用者授权检查缺失(missing caller authorization check) 的漏洞,绕过权限机制,直接将金库中的所有资金转出。金库为 permissionlessly listed(任何人可上架),并非协议核心部分。此次攻击导致金库被完全清空。
损失金额:$ 398,000攻击手法:合约漏洞
事件描述:DeFi 协议 Giddy 的 GiddyVaultV3 合约遭遇攻击,损失约 130 万美元。攻击源于其授权校验逻辑中的设计缺陷。该合约在使用 EIP-712 签名机制时,仅对 SwapInfo 结构中的部分数据进行签名校验,未覆盖包括 aggregator、fromToken、toToken 及 amount 在内的关键参数,导致签名保护范围不完整。攻击者利用这一缺陷,复用一份合法签名,并构造恶意交易参数:将 fromToken 替换为策略中的 LP Token,将 aggregator 指向攻击者控制的合约,同时将 toToken 替换为自定义代币,并将交易金额设置为最大值。由于这些关键字段未纳入签名校验范围,合约在验证通过后执行了该恶意交易。最终,攻击者成功转移协议资产,造成约 130 万美元损失。
损失金额:$ 1,300,000攻击手法:合约漏洞
事件描述:Thetanuts Finance 的一个新金库合约遭受 First Depositor Attack(首存者攻击 / 初始化攻击)。攻击者利用金库在部署初期 totalAssets 和 totalSupply 均为 0 时,share 计算逻辑的漏洞:先存入极小金额(如 1 wei)铸造 1 share,然后直接向合约转入大量资产(如 ETH),扭曲资产与份额比例。随后正常用户存入时获得极少份额,攻击者赎回其 1 share 即可抽取几乎全部金库资产。损失约 5 万美元。该协议整体为期权策略金库,此次影响特定新金库。
损失金额:$ 50,000攻击手法:合约漏洞
事件描述:Juicebox V3(REVLoans 借贷扩展)遭受 borrowFrom Spoof Attack(借贷伪造攻击)。攻击者利用 borrowFrom 函数对参数(尤其是 source 参数)验证不足的问题:调用者可提供未注册的 REVLoanSource(包含 terminal 和 token),导致会计上下文被伪造。当 currency 匹配时,协议跳过价格预言机并使用攻击者控制的 decimals 和余额计算,扭曲份额价格并允许以 inflated 价值借出资产。攻击通过两笔交易完成(第一笔污染会计记录,第二笔针对合法池借贷),共抽取约 21.77 ETH(价值约 5.2 万美元)。
损失金额:$ 52,000攻击手法:合约漏洞
事件描述:Vitalik Buterin 发推表示,eth.limo 的 DNS 注册商遭受攻击,建议用户暂时不要访问 vitalik.eth.limo 或其他 eth.limo 相关页面,待官方确认恢复正常后再行访问。
损失金额:-攻击手法:DNS 劫持
事件描述:安全公司 Blockaid 称其系统识别到去中心化交易平台 CowSwap 的前端遭遇攻击, Cow.fi 当前已被标记为恶意站点。 Blockaid 警告称,曾将钱包连接至 CowSwap 的用户应立即通过钱包或安全工具撤销相关合约授权,并在问题解除前停止与 Cow.fi 进行任何交互,以防资产被盗。CoW DAO 随后发布公告,CoW Swap前端(swap.cow.fi)当前出现故障,团队正在调查处理中,并提醒用户暂时不要使用该平台进行交易。4 月 16 日消息,CoW Swap 在 X 平台发文表示,其已收回 cow.fi 域名控制权,并已在 cow.finance 正常运行一段时间,目前正逐步过渡回原域名。
损失金额:$ 1,200,000攻击手法:供应链攻击
事件描述:BNB Chain(部分来源提及跨链影响,但核心为 EIP-7702 委托)上一个启用 EIP-7702 委托代码的用户 EOA 账户被攻击。受害者曾使用 EIP-7702 Type-4 交易为账户设置委托代码(用于执行 swap 相关逻辑),但委托的代码中 pancakeV3SwapCallback() 函数缺少严格的访问控制(access control)。攻击者直接调用该 callback 函数并构造恶意 calldata,迫使受害者账户将持有的代币转移至攻击者地址,导致约 17,200 美元损失。
损失金额:$ 17,200攻击手法:合约漏洞
事件描述:DeFi 项目 Steakhouse Financial 昨日披露其遭遇针对 OVH Cloud 的电话社交工程攻击,攻击者更改主站和 app 子域名的 DNS A 记录指向恶意 IP,并试图启动 5 天的域名转移。目前相关更改已撤销,DNS 记录已清空,正在与 OVH 合作解决。所有金库和合约未受影响,储户资金安全,无其他服务账户被入侵。在问题解决前请勿与官网和邮件交互,详细事后报告将尽快发布。今日凌晨,Steakhouse Financial 表示,在官网域名 DNS 记录清空期间,金库仍可通过 Morpho 直接访问,存款、提款等所有功能正常,前端恢复后将另行确认。
损失金额:-攻击手法:社交工程
事件描述:PeckShield 在 X 平台发文警示称,Resolv Labs 稳定币 USR 疑似已出现多笔大额铸造,目前已铸造价值 8000 万美元的 USR。
损失金额:$ 25,000,000攻击手法:合约漏洞
事件描述:DeFi 协议 Neutrl 在 X 平台发文宣布,其前端疑似遭攻击,团队正在紧急调查,出于安全考虑,官方建议用户在进一步更新发布前不要与网站进行任何交互。同时,Neutrl 提醒用户尽快前往 Revoke.cash 撤销对相关地址的 Permit2 授权,并且提醒用户也应检查并撤销对其他可疑地址的授权,以降低潜在资产风险。随后,Neutrl 调查结果初步显示,托管该应用域名的 DNS 提供商遭到了社会工程攻击,导致攻击者重定向了该域名。
损失金额:-攻击手法:DNS 劫持
事件描述:据 BlockSec Phalcon 监测,DBXen 合约今日上午遭遇攻击,估计损失约 15 万美元。根本原因在于 ERC2771 元交易下发送者身份不一致。
损失金额:$ 150,000攻击手法:逻辑漏洞
事件描述:据 BlockSec Phalcon 监测,其系统数小时前检测到一笔针对以太坊上 Inverse Finance 合约的可疑交易,造成约 24 万美元损失。该事件似乎涉及 DOLA 价格操纵,迫使多名用户清算合约。
损失金额:$ 240,000攻击手法:价格操纵攻击
事件描述:WLFI 在 X 平台发文表示,USD1今晨遭遇一次有组织攻击。攻击者据称入侵多名 WLFI 联合创始人账户,付费邀请网红散布恐慌信息(FUD),并大规模做空 $WLFI,试图从人为制造的市场混乱中获利。WLFI 表示,该行动未能奏效。凭借 USD1 稳健的铸造与赎回机制以及 100% 1:1 资产支持,USD1目前仍稳定维持在面值附近交易。团队强调,任何不法分子都无法动摇其对 USD1的长期承诺。WLFI 同时提醒用户,仅通过官方验证渠道获取准确信息,谨防误导性内容。
损失金额:-攻击手法:社交媒体劫持
事件描述:Aperture Finance(Aperture LM)在 Ethereum、Base、Arbitrum 和 BSC 等链上遭受攻击,损失约 367 万美元。根因是其闭源 V3/V4 合约中的任意调用漏洞(低级调用输入验证不足)。攻击者滥用用户已授权的 ERC-20 代币和 Uniswap V3 LP NFT 无限权限,通过构造恶意 calldata 执行 transferFrom 等操作排水。团队暂停受影响功能、敦促用户撤销授权,并发布了安全事件分析。
损失金额:$ 3,670,000攻击手法:合约漏洞
事件描述:据 PeckShieldAlert 监测,Makinafi 协议遭黑客攻击,损失约 1299 枚以太坊(约 413 万美元)。目前被盗资金存放在两个地址:0xbed2...dE25(约 330 万美元)和 0x573d...910e(约 88 万美元)。1月 23 日消息,DeFi 执行引擎 Makina 官方 X 发文称,1 月 22 日 21:15,MEV Builder 已按 SEAL 白帽安全港返还资金并扣除 10% 赏金,约返还 920 ETH(其共收 1023 ETH),占总被盗约 1299 ETH;资金已转入追回多签 0xc22F…8AB9,团队正继续追索剩余并寻求联系收到约 276 ETH 的 RocketPool 验证者地址 0x573D…910E。
损失金额:$ 4,130,000攻击手法:合约漏洞