共有 312 条记录
事件描述:以太坊链上一名为“Nostr”的虚假代币项目已经跑路,其资金已经转移到一个新的 EOA 地址 0xeeB8EB5CC144eDddDB204c3ABA499de6b6081696,最终欺诈者获利 232.1 枚 ETH, 价值约 37 万美元。该代币合约为 0xA2be922174605BAd450775C76CEb632369480336。
损失金额:232.1 ETH攻击手法:跑路
事件描述:据慢雾安全团队情报,ETH 链上的 Numbers Protocol (NUM)代币项目遭到攻击,攻击者获利约 13,836 美元。此次攻击的主要原因在于 NUM 代币中没有 permit 函数且具有回调功能,所以可以传入假签名欺骗跨链桥导致用户资产被非预期转出。
损失金额:$ 13,836攻击手法:合约漏洞
事件描述:ETH 链上的 DFX Finance 项目遭到攻击,攻击者获利约 231,138 美元。据慢雾分析,此次攻击的主要原因在于 Curve 合约闪电贷函数并未做重入保护,导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断,由于存款时有记账所以攻击者可以成功提款获利。
损失金额:$ 231,138攻击手法:重入攻击
事件描述:据慢雾安全团队监测,ETH 链上的 brahTOPG 项目遭到攻击,攻击者获利约 89,879 美元。此次攻击的主要原因在于 Zapper 合约为对用户传入的数据进行严格检查,导致了任意外部调用的问题,攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。
损失金额:$ 89,879攻击手法:合约漏洞
事件描述:FriesDAO 遭到攻击,损失约 230 万美元。攻击者通过 Profanity 钱包生成器漏洞获得了 FriesDAO 协议操作者钱包的控制权,这一漏洞会让通过该工具生成地址的私钥被强制使用。FriesDAO 在官方 Discord 频道中表示,目前官方开发人员试图与攻击者进行谈判,协商用白帽赏金来换取被盗资金的归还。
损失金额:$ 2,300,000攻击手法:Profanity 漏洞
事件描述:Team Finance 发推称,该协议管理资金在由 Uniswap v2 迁移至 v3 的过程中遭到黑客攻击,已确定的损失为价值约 1450 万美元的代币。10 月 31 日,Team Finance 白帽黑客地址已返还 1340 万美元数字资产,其中包括 548.7 枚 ETH(86 万美元)给 FEG,76.5 万枚 DAI 和 1180 万枚 TSUKA(62.6 万美元)给 Tsuka,约 500 万枚 DAI 和 74.6 万亿枚 CAW(约 550 万美元)给 CAW,209 枚 ETH(32.8 万美元)给 KNDX,smithbot.eth 已经向 KNDX 返还了 2630 亿枚 KNDX(29.2 万美元)。
损失金额:$ 14,500,000攻击手法:合约漏洞
事件描述:OlympusDAO 的 BondFixedExpiryTeller 合约中的 redeem() 函数因无法正确验证输入导致了约 29.2 万美元的损失。OlympusDAO黑客已将窃取资金归还给 DAO。
损失金额:$ 292,000攻击手法:合约漏洞
事件描述:Mango INU(MNGO)项目已确认是退出骗局,币价跌幅超过 80%。此代币项目是由 Mango Market 的攻击者所部署,已获利约 4.85 万美元。
损失金额:$ 48,500攻击手法:骗局
事件描述:据 Cointelegraph 报道,以太坊闹钟服务(Ethereum Alarm Clock)漏洞被利用,目前已导致黑客获利约 26 万美元。据分析,黑客设法利用预定交易过程中的漏洞,从取消交易的返还 Gas 费用中获利。根据 Etherscan 交易历史显示,黑客已经获取了 204 个 ETH,价值约 259,800 美元。据悉,以太坊闹钟服务是让用户能够通过预先确定接收方地址、发送金额和交易时间来安排未来的交易。
损失金额:$ 260,000攻击手法:合约漏洞
事件描述:Earning.Farm 的 EFLeverVault 合约遭到两次闪电贷攻击,第一笔攻击被 MEV bot 截获,造成合约损失 480 ETH;第二笔黑客完成攻击,黑客获利 268 ETH。经过分析,漏洞是由合约的闪电贷回调函数未验证闪电贷发起者产生,攻击者可自行触发合约的闪电贷回调逻辑:偿还合约内的 Aave stETH 债务并提现,然后将 stETH 兑换为 ETH。随后攻击者可调用 withdraw 函数提现所有合约内的 ETH 余额。
损失金额:268 ETH攻击手法:闪电贷攻击
事件描述:Journey of awakening (ATK) 项目遭受闪电贷攻击。攻击者通过闪电贷攻击的方式攻击了 ATK 项目的策略合约(0x96bF2E6CC029363B57Ffa5984b943f825D333614),从合约中获取了大量的 ATK 代币。攻击者已把全部获得的 ATK 代币兑换为约 12 万美元的BSC-USD,目前被盗资金被兑换成 BNB 并且全部转移到Tornado Cash。
损失金额:$ 120,000攻击手法:闪电贷攻击
事件描述:TempleDAO 项目遭受黑客攻击,涉及金额约 236 万美元。据慢雾安全团队分析,本次事件由于 migrateStake 函数没有对 oldStaking 进行检查,导致攻击者可以伪造 oldStaking 合约进行任意添加余额。
损失金额:$ 2,360,000攻击手法:合约漏洞
事件描述:Xave Finance 项目遭受黑客攻击,导致 RNBW 增发了 1000 倍。攻击交易为 0xc18ec2eb7d41638d9982281e766945d0428aaeda6211b4ccb6626ea7cff31f4a。攻击者首先创建攻击合约 0xe167cdaac8718b90c03cf2cb75dc976e24ee86d3,该攻击合约首先调用 DaoModule 合约 0x8f90 的 executeProposalWithIndex() 函数执行提案,提案内容为调用 mint() 函数铸造 100,000,000,000,000 个 RNBW,并将 ownership 权限转移给攻击者。最后黑客将其兑换为 xRNBW,存放在攻击者地址上(0x0f44f3489D17e42ab13A6beb76E57813081fc1E2)。
损失金额:$ 635攻击手法:合约漏洞
事件描述:比特币 DeFi 应用 Sovryn 发推表示,发现了一个影响借贷池的漏洞并被攻击,攻击者利用已遗弃的借贷协议提取 44.93 RBTC 和 211,045 USDT,开发人员检测到攻击后将系统进入维护模式,目前已追回一半资金,任何额外的损失将由金库全额赔偿,后续也将制定恢复系统功能并提供事后分析的计划。
损失金额:44.93 RBTC + 211,045 USDT攻击手法:价格操纵
事件描述:加密做市商 Wintermute 创始人兼首席执行官 @EvgenyGaevoy 发推称,Wintermute 在 DeFi 黑客攻击中损失 1.6 亿美元,Wintermute 为了优化手续费使用了 Profanity 来创建钱包,在得知 Profanity 存在漏洞后,他们开始转移旧地址的资金,但由于内部(人为)错误,调用了错误的函数,致使遭受攻击。
损失金额:$ 160,000,000攻击手法:操作失误
事件描述:GERA 代币的安全性由于私钥泄漏而受到损害。黑客将 GERA 代币的智能合约部署者的所有权转移到另一个地址 0x510E4d61663bE6a24D600AaF90F892dd8c8C61dC。
损失金额:$ 1,480,000攻击手法:私钥泄露
事件描述:去中心化流动性协议 Kyber Network 在推特上披露,该协议因前端漏洞利用导致其用户损失 26.5 万美元资金。该漏洞源于 KyberSwap 网站中的恶意 Google Tag Manager 代码,攻击者的目标是鲸鱼钱包,通过插入虚假批准获得了转移用户资金的权限。
损失金额:$ 265,000攻击手法:恶意代码注入攻击
事件描述:Sudoswap 仿盘 Sudorare 疑似发生 Rug Pull,合约地址中的 Looks、WETH 与 XMON 代币被转入开头 0xbb42 地址(0xbb42f789b39af41b796f6C28D4c4aa5aCE389d8A)后,随即在 Uniswap 出售为 ETH,共计获利约 519.5 ETH(约 80 万美元),目前 Sudorare 网站与推特帐号现已无法访问。据分析,最初的部署资金来自于交易所 Kraken。
损失金额:519.5 ETH攻击手法:跑路
事件描述:The Bribe Protocol 承诺提供一个 DAO 基础设施工具,“代币持有者获得报酬以进行治理”,并在 1 月份筹集了 550 万美元的资金用于制定广泛的路线图。然而,项目负责人实际上已经消失了。自 5 月以来,该项目的 Twitter 帐户上没有任何帖子,他们的 Medium 页面自 3 月以来一直未动过。
损失金额:$ 5,500,000攻击手法:骗局
事件描述:Curve Finance 前端受到攻击,促使用户向恶意智能合约授予代币批准。攻击者将被盗资金转移到 FixedFloat 和 Tornado Cash,至少有 362 ETH(约 620,000 美元)被盗。FixedFloat 在推特上表示,他们已经冻结了 112 个被盗的 ETH(约 192,000 美元)。
损失金额:$ 428,000攻击手法:恶意代码注入攻击