共有 94 条记录
事件描述:Milady 创始人 Charlotte Fang 表示,Milady 一开发者挪用 Milady 官方项目 Bonkler 金库资金约 100 万美元,该开发者还夺取了代码库,要求团队交出更多的资金和 NFT 储备。目前 miladymaker 和 remilionaire 的 X 账号在该开发者控制之中。Charlotte Fang 表示,已经锁定了相关成员,并将在法律的最大范围内追究他们的责任。Bonkler NFT 的铸造暂时停止,Bonkler 的社区金库、合约和 NFT 都是安全的。Milady 母公司 Remilia 其他系列 NFT 暂时未受到影响。
损失金额:$ 1,000,000攻击手法:内部作恶
事件描述:9 月 9 日,PEPE 在推特称,PEPE 的 Telegram 旧账号已被黑客攻击,不再受官方控制。推特账号“lordkeklol”已被攻击并用于进行诈骗,该账号与 PEPE 及其团队成员没有任何关联。在未来几周内,PEPE 的所有官方信息都将通过推特帐户发布。
损失金额:-攻击手法:Telegram 被黑
事件描述:NFT 市场 Paras 发布推特称其 Discord 遭到攻击,请勿点击链接、铸造或批准任何交易。
损失金额:-攻击手法:Discord 被黑
事件描述:Balthazar 发布推特称其 Discord 遭到攻击,请勿点击链接、铸造或批准任何交易。
损失金额:-攻击手法:Discord 被黑
事件描述:Lamas Finance 的 Discord 遭到攻击,钓鱼网站为 lamas[.]co/airdrop,请勿点击链接、铸造或批准任何交易。
损失金额:-攻击手法:Discord 被黑
事件描述:PEPE 在推特表示昨日卖出 16 万亿枚 PEPE 是由于 3 名前成员盗取代币后删除多签权限。但 NFT 市场 Not Larva Labs 创始人 Jeremy Cahen 发文称 PEPE 公布的“真相”完全是谎言,并表示他和社区被 PEPE 团队利用。8 月 26 日,PEPE 发推表示,PEPE 的 Telegram 群目前已被锁定,群主的旧电报账户被黑客攻击,该群已被黑客接管。
损失金额:-攻击手法:未知
事件描述:链上分析师 ZachXBT 发推称,BAYC 推出的链上许可申请平台 Made by Apes 的 SaaSy Labs APl 存在一个问题,允许访问 MBA 申请的个人详细信息。该问题在披露前已向 Yuga Labs 反馈,现已修复。Yuga Labs 回应称,目前不确定是否存在数据滥用的情况,正在联系任何可能暴露信息的人,并将为任何可能需要的用户提供欺诈和身份保护。
损失金额:-攻击手法:信息泄露
事件描述:NFT 借贷平台 JPEG'd 遭黑客攻击,JPEG 代币短时下跌 40%,损失至少约 1000 万美元。根本原因在于重入,攻击者在调用 remove_liquidity 函数移除流动性时通过重入 add liquidity 函数添加流动性,由于余额更新在重入进 add_liquidity 函数之前,导致价格计算出现错误。JPEG'd 发推称,PETH-ETH 曲线池遭遇攻击。允许借用 NFT 的金库合约是安全的,仍在正常运行。NFT 与财库资金安全。JPEG'd 合约没有被黑客攻击,是安全的。8 月 5 日,JPEG'd 推特发文称,DAO 多签地址确认收到 5494.4 枚 WETH,从 pETH 漏洞中追回资金的地址所有者获得了 10% 的白帽赏金,即 610.6 枚 WETH。
损失金额:$ 10,000,000攻击手法:重入攻击
事件描述:一名攻击者成功入侵了流行的 NFT 项目 Gutter Cat Gang 及其联合创始人的 Twitter 帐户,并利用它们发布了网络钓鱼声称是新 NFT 的网站空投。那些授权的人没有收到承诺的代币,而是合同他们的钱包被掏空了。一名受害者丢失了 36 个 NFT,其中包括他们花费约 13 万美元购买的 Bored Ape NFT。攻击者总共成功窃取了价值 75 万至 90 万美元的 NFT,具体取决于转售价值的估算方式。第二天,Gutter Cat Gang 宣布他们重新控制了 Twitter 账户,并删除了恶意推文。他们表示,他们正在与执法部门合作调查这起盗窃案,但令一些受害者感到沮丧的是,他们没有描述任何补偿资产损失者的计划。
损失金额:$ 800,000攻击手法:Twitter 被黑
事件描述:在花费近 4000 万美元购买一套新的 Azuki NFT 后,Azuki 社区对它们“稀释”了原始 Azuki 系列的近乎复制品感到愤怒。为了反击 Azuki 创作者所谓的“公然诈骗”,声称在 Azuki 项目上总共花费了数百万美元的持有者成立了 AzukiDAO。DAO 创建了一个治理代币 $BEAN,分发给 Azuki NFT 所有者。DAO 随后开始投票聘请律师,起诉 Azuki 的创建者,并要求退还 Elementals NFT 总共花费的 20,000 ETH(约合 3800 万美元)。然而,在 DAO 创建后不久,治理代币就被利用了。攻击者能够利用智能合约中的缺陷,两名利用者窃取了大约 35 ETH(约合 69,000 美元),主要原因是合约中的变量 signatureClaimed 未得到正确检查,从而导致了重放攻击。DAO 暂停了合约以防止进一步的盗窃。
损失金额:$ 69,000攻击手法:重放攻击
事件描述:P2P 数字资产交易协议 NFT Trader 在推特上表示,网站已被攻击,请用户监控账户,谨防网络钓鱼攻击。NFT Trader 网站将被关闭,直至另行通知。目前,团队仍然调查,该平台已下线,以避免任何其他问题。NFT Trader 表示,这并非协议的问题,疑似团队之外的人在前端插入一个恶意代码。团队仍将继续进行调查。
损失金额:-攻击手法:恶意代码注入攻击
事件描述:NFT 借贷平台 Astaria 在推特上表示:“北京时间 6 月 20 日 12:42,Astaria 意识到 BeaconProxy.sol 的基本执行存在一个问题,允许攻击者操纵 beacon 加载恶意执行,从而让攻击者调用自毁功能。所有资金和 NFT 都是安全的,此时无需采取任何行动,Astaria 已处于暂停状态,无法发起新的贷款。暂停状态是为了保护协议中的所有资产,我们可以确认没有资金丢失。刚刚 Astaria 成功执行了白帽恢复脚本,挽救了所有 LP 和借款人的所有 ERC20 和 ERC721 资产。Astaria 自 5 月 25 日以来一直处于公开测试阶段。恢复脚本使用更新的合约实施和恢复代码,将所有资金和 NFT 提取到 Astaria 多重签名地址。我们正在为后续步骤起草计划,并将尽快跟进。”
损失金额:-攻击手法:合约漏洞
事件描述:一个与 $APE (ApeCoin) 和 APE Staking 有关的黑客攻击,目前超过 63 万的收益。受害者都是用 0x8f7370D5d461559f24b83ba675b4C7e2Fdb514cC 创建的智能合约,看起来像是属于 Pawnfi 的。
损失金额:$ 630,000攻击手法:未知
事件描述:NFT 交易所 EZswap 联合创始人兼首席执行官 alexpf.eth 发推文称:“OpenSea 疑似存在版税漏洞,最近 OpenSea 似乎更改所有者的识别标准,这意味着 NFT 项目不能设置或更改版税。这个错误非常严重,它已存在了 2 天。”
损失金额:-攻击手法:版税漏洞
事件描述:加密艺术平台 Art Coin 于 5 月 7 日在 Uniswap V3 部署了流动性池(LP pool),某用户在发现 Art Coin 的 ART 代币 Uniswap V3 的预售过程存在漏洞后,立即出售了其在预售期间以 0.01 ETH 购买的 ART,获得了流动性中的 181 枚 ETH,价值约 33.1 美元。一些人质疑该用户行为的合法性,称该用户进行了 Rug Pull。Art Coin 创始人此后发表声明,称该漏洞是由于沟通不畅造成的:“两位开发人员将帮助我们了解 LP 并进行设置。由于沟通不畅,我们在分发代币之前设置了 LP。因此,当我们发出第一批代币时,机器人疯狂地耗尽了它。”
损失金额:$ 331,000攻击手法:LP 漏洞
事件描述:NFT游戏 Tales of Elleria 联合创始人 Wayne 今日凌晨在推特上表示:“Tales of Elleria 的 bridge 合约被利用,导致其 LP 被耗尽,损失了超过 28 万美元。攻击者似乎已经生成了自己的签名,并提取了大量的 ELM 代币,耗尽了 LP。目前的调查结果怀疑黑客利用了 ecrecover 功能,并且能够在没有我们的私钥的情况下生成授权签名。”
损失金额:$ 280,000攻击手法:合约漏洞
事件描述:据消息,韩国歌手权志龙发行的 NFT 系列 “Archive of PEACEMINUSONE” 存在之前披露的 CVE-2022-38217 通用漏洞,不排除被黑客使用过的可能。
损失金额:-攻击手法:CVE-2022-38217 通用漏洞
事件描述:ParaSpace 疑似遭遇攻击,似乎有 2900 枚 WETH 被转移出去了,许多人声称其借款数量、健康因素和 cAPE 数量等数据不一致。不过有安全公司在推特上表示,其已经阻止了对 ParaSpace 的攻击,挽救了 2900 ETH 资产。ParaSpace 发推称,目前 ParaSpace 上所有用户资金与资产都是安全的,没有 NFT 遭遇损失,协议的经济损失也很小,大约在 50-150 ETH 之间,这是由于黑客在攻击期间进行代币交换造成的滑点。
损失金额:150 ETH攻击手法:合约漏洞
事件描述:PeopleDAO 在数字资产管理平台 Safe(原 Gnosis Safe)上的社区金库多签钱包在 3 月 6 日发放月度贡献者奖励时,被黑客通过社会工程攻击盗取 76 枚 ETH(约 12 万美元)。该事件与 PEOPLE 代币合约无关。PeopleDAO 通过 Google Form 收集每月贡献者奖励信息,会计负责人在 Discord 公共频道中错误共享了一个具有编辑权限的链接,黑客通过该链接获得编辑权限后,在表格中插入一笔支付 76 枚 ETH 给自己地址的付款,并将其设置为不可见。由于该恶意隐藏,团队领导在复查时没有发现,在下载带有 insertef 数据的 csv 文件后提交到 Safe 的 CSV Airdrop 工具进行奖励发放。在慢雾与 ZachXBT 协助下,团队发现被攻击资金已存入 HitBTC 和币安两个交易所,并与两个交易所进行联系。
损失金额:76 ETH攻击手法:权限被盗
事件描述:据官方博客,The Sandbox 发布安全事故通知,2 月 26 日发现未经授权的第三方获得了团队一名员工计算机的访问权限,并使用其权限发送了一封虚假的声称来自 The Sandbox 的电子邮件。这封名为 “The Sandbox Game (PURELAND) Access” 的电子邮件包含指向恶意软件的超链接,能在用户的计算机上远程安装恶意软件,从而授予其对计算机的控制权和对用户个人信息的访问权。The Sandbox 表示,在发现未经授权的访问后,已通知收件人,并封禁了该员工的帐户和对 The Sandbox 的访问,目前还没有发现任何进一步的影响。
损失金额:-攻击手法:钓鱼攻击