共有 78 条记录
事件描述:据消息,韩国歌手权志龙发行的 NFT 系列 “Archive of PEACEMINUSONE” 存在之前披露的 CVE-2022-38217 通用漏洞,不排除被黑客使用过的可能。
损失金额:-攻击手法:CVE-2022-38217 通用漏洞
事件描述:ParaSpace 疑似遭遇攻击,似乎有 2900 枚 WETH 被转移出去了,许多人声称其借款数量、健康因素和 cAPE 数量等数据不一致。不过有安全公司在推特上表示,其已经阻止了对 ParaSpace 的攻击,挽救了 2900 ETH 资产。
损失金额:-攻击手法:合约漏洞
事件描述:PeopleDAO 在数字资产管理平台 Safe(原 Gnosis Safe)上的社区金库多签钱包在 3 月 6 日发放月度贡献者奖励时,被黑客通过社会工程攻击盗取 76 枚 ETH(约 12 万美元)。该事件与 PEOPLE 代币合约无关。PeopleDAO 通过 Google Form 收集每月贡献者奖励信息,会计负责人在 Discord 公共频道中错误共享了一个具有编辑权限的链接,黑客通过该链接获得编辑权限后,在表格中插入一笔支付 76 枚 ETH 给自己地址的付款,并将其设置为不可见。由于该恶意隐藏,团队领导在复查时没有发现,在下载带有 insertef 数据的 csv 文件后提交到 Safe 的 CSV Airdrop 工具进行奖励发放。在慢雾与 ZachXBT 协助下,团队发现被攻击资金已存入 HitBTC 和币安两个交易所,并与两个交易所进行联系。
损失金额:76 ETH攻击手法:权限恶意获取
事件描述:据官方博客,The Sandbox 发布安全事故通知,2 月 26 日发现未经授权的第三方获得了团队一名员工计算机的访问权限,并使用其权限发送了一封虚假的声称来自 The Sandbox 的电子邮件。这封名为 “The Sandbox Game (PURELAND) Access” 的电子邮件包含指向恶意软件的超链接,能在用户的计算机上远程安装恶意软件,从而授予其对计算机的控制权和对用户个人信息的访问权。The Sandbox 表示,在发现未经授权的访问后,已通知收件人,并封禁了该员工的帐户和对 The Sandbox 的访问,目前还没有发现任何进一步的影响。
损失金额:-攻击手法:钓鱼攻击
事件描述:据官方消息,NFT 项目 Azuki 证实其推特账户遭黑客攻击,目前团队已经重新控制了账户。黑客在 Azuki 推特账户发布两条推文,提示用户认领虚拟土地,其中一条推文被置顶。Azuki 官方提醒用户警惕该骗局,不要点击任何链接。
损失金额:$ 1,740,000攻击手法:Twitter 被黑
事件描述:NFT 项目 Chimpers 的官方推特账户遭黑客攻击被盗用,并发布了多个指向虚假网站的链接,诱使用户通过该链接铸造 NFT。
损失金额:-攻击手法:Discord 被黑
事件描述:NFT 项目 CyberKongz 官方推特账号遭到黑客攻击,黑客将主页链接、等更换为钓鱼链接并发布虚假 Mint 信息。目前该账号已更名,并处于冻结保护中。
损失金额:-攻击手法:Twitter 被黑
事件描述:MAYC 仿盘 Mutant Ape Planet 系列 NFT 开发者 Aurelien Michel 已认罪,此前因被控涉嫌诈骗 290 万美元被捕。Aurelien Michel 和其他被告向潜在买家推销 Mutant Ape Planet NFT,并承诺了包括“奖励、抽奖、对其他加密货币资产的独家访问权,并由社区控制的钱包提供该NFT系列的营销资金”。项目开发商还隐晦承诺 NFT 持有者可获得“元宇宙土地”。然而,Michel 的承诺都没有兑现。当所有 NFT 都被出售后,Michel 和其他被告据称将 290 万美元的收益转移到其他钱包,包括 Michel 控制下的钱包。
损失金额:$ 2,900,000攻击手法:骗局
事件描述:据 Webaverse 报道,去年有几周时间,Webaverse 成为一个冒充投资者的熟练诈骗团伙的目标。Webaverse 团队和骗子于 2022 年 11 月底在罗马会面,大约 400 万美元被盗。他们在同一天向当地的罗马警察局报告了盗窃案,然后在几天后用 IC3 表格向联邦调查局报告。
损失金额:$ 4,000,050攻击手法:骗局
事件描述:浏览器安全插件 Pocket Universe 发推称,Opensea 旧合约上发现一个新漏洞,可用于窃取用户的 NFT,一旦签署交易就可能被清空钱包。它可以盗取用户在 2022 年 5 月之前在 Opensea 上列出的任何 NFT(也即 Seaport 升级之前),主要涉及 Wyvern 协议,它授予了代理合约撤回用户 NFT 的权利,而这个新的漏洞利用会诱使用户签署交易,让攻击者拥有用户的代理合约的所有权。慢雾创始人余弦转推称,需要警惕这个老问题新利用,与 OpenSea 旧协议有关,但旧协议许多用户并没都取消相关授权,该利用对 OpenSea 新协议(Seaport)无效。
损失金额:-攻击手法:合约漏洞
事件描述:NFT 平台 Blur 发布推文称,注意到一个 ID 为 @Blur_DAO 的网络钓鱼账户,提醒广大用户切勿点击虚假链接。 该虚假账户发布推文称目前已经开放 BLUR 代币查询,并贴出一个钓鱼网址。
损失金额:-攻击手法:钓鱼攻击
事件描述:NFT 项目 Vivity 的 Discord 服务器遭到攻击。
损失金额:-攻击手法:Discord 被黑
事件描述:NFT 平台 LiveArtX 官方钱包被盗,数枚预留 NFT 遭抛售。据 MistTrack 分析,LiveArtX 攻击者(0x5f78...A920)已将 7.3 ETH和 22.39 WETH 转到 Bitkeep,然后兑换为 USDT 并转移到新地址(0x871e...A575)。
损失金额:$ 39,000攻击手法:私钥泄露
事件描述:Web3 社交平台 Sex DAO 疑似已 Rug,原白皮书已删除,链上转移超 22 万枚 USDT 与 41.7 亿枚 SED(SEXDAO Token),目前 Sex DAO 官网及官方推特账号均已无法访问。
损失金额:220,000 USDT攻击手法:跑路
事件描述:Pokémon 盗版项目 PokémonFi 已 RugPull,该项目和代币于 4 月首次推出,近期该项目删除了其 Twitter 帐户,但其网站仍然存在。
损失金额:$ 708,000攻击手法:跑路
事件描述:Web3 音乐流媒体服务平台 Audius 社区金库被黑客攻击,损失 1850 万枚 AUDIO Token。黑客将资金在 Uniswap 兑换为约 705 枚 ETH。Audius 官方表示,目前该问题已被发现并正在进行修复,以太坊上所有Audius智能合约都必须停止,包括代币,团队认为没有进一步的资金风险,修复完成之前代币余额、转账等将暂时不可用。
损失金额:$ 1,100,000攻击手法:合约漏洞
事件描述:Tableland 项目方 Discord 相关管理人员权限被盗。据了解,Tableland 成员加入外部 Discord 服务器后,点击了一个名为“Dyno”的机器人的验证步骤,并单击带有恶意 javascript 的书签按钮,然后被提示与书签交互,触发恶意脚本运行。攻击者掌握了管理员账户并在公告频道上发布包含虚假网站的链接,任何点击链接并遵循钱包指令的人都会授予攻击者访问其账户中持有的任何 NFT 的权限。
损失金额:-攻击手法:Discord 被黑
事件描述:NFT 访问列表工具 PREMINT 通过官方推特发布预警,因为有用户提醒,该工具的网站被黑客入侵,已经有 NFT 收藏家的藏品被盗。随后,区块链安全公司慢雾确认,PREMINT 网站遭黑客攻击,黑客在网站中通过植入恶意 JS(JavaScript)文件来实施钓鱼攻击,欺骗用户签名「set approvals for all」的交易,从而盗窃用户的 NFT 资产。此次攻击总共损失了约 280 ETH,金额为 381,818 美元,使其成为今年最大的 NFT 黑客攻击之一。
损失金额:280 ETH攻击手法:前端攻击
事件描述:多链 NFT 协议 Citizen Finance 声称受到了外部方的攻击,该外部方获得了 BNB 和 Polygon 链的私钥访问权限。攻击者利用他们的访问权限转移了 244 BNB(约 55,000 美元)、57,637 MATIC(约 32,300 美元)和 7,000 USDC,总计约 94,300 美元。
损失金额:$ 94,300攻击手法:私钥泄露
事件描述:去中心化 NFT金融化协议 Omni X 遭到攻击。此次攻击的主要原因在于 burn 函数会外部调用回调函数来造成重入问题,并且在清算函数中使用的是旧的 vars 的值进行判断,导致了即使重入后再借款,但用户的状态标识被设置为未借款导致无需还款。
损失金额:1,300 ETH攻击手法:重入攻击