共有 148 条记录
事件描述:HideoutNFT 创始人 WickdNFT 发推提醒,Arbitrum 的一名开发者疑似被黑,在 Discord 社区发布钓鱼链接
损失金额:-攻击手法:未知
事件描述:Circle 发推称,Circle 首席战略官 Twitter 账户(@ddisparte)已被一个诈骗者接管。任何报价链接都是骗局。我们正在调查这一情况并采取相应行动。 此前,Circle 首席战略官在推特中称,向 USDC 持有者推出忠诚度奖励分配计划。不过目前该推文已删除。
损失金额:-攻击手法:Twitter 账户被黑
事件描述:据官方推特,General Bytes 加密货币 ATM 服务在 3 月 17 和 18 号遭到攻击,攻击者利用系统里的上传接口上传并运行了恶意的 Java 程序,然后攻击者获得了服务器里数据库的权限和热钱包提币 API Key。据慢雾 MistTrack 统计,损失大约 180 万美元。
损失金额:$ 1,800,000攻击手法:恶意程序
事件描述:据英国广播公司报道,一个名为 iEarn Bot 的骗局已经影响了多个国家的数千名受害者。在骗局中,受害者被说服注册了一个名为 iEarn Bot 的“AI 智能量化交易机器人”,该机器人似乎成功地代表他们交易了加密货币。然而,一段时间后,受害者意识到他们无法提取他们应得的收入,也无法提取他们投入的资金。iEarn Bot 自称是一家美国公司,尽管其网站上充斥着虚假信息。被称为公司创始人的人告诉 BBC,他与该计划无关,被列为“战略合作伙伴”的公司和机构表示没有这种合作关系。BBC 发现了一个加密货币钱包,该钱包收到了大约 13,000 个其他人的付款,总额接近 130 万美元。
损失金额:$ 1,300,000攻击手法:骗局
事件描述:Aptos 链上的 SUCKR 项目疑似 rug pull,黑客调用 mint_SUCKR(admin 特权函数)函数铸造大量 SUCKR 代币兑换为 USDT,导致 SUCKR 代币 24h 价格暴跌 99.99%。
损失金额:-攻击手法:跑路
事件描述:Tender.fi 疑似遭白帽黑客攻击,损失 159 万美元。 黑客利用 Tender.fi 配置错误的预言机借入价值 159 万美元的加密资产,而抵押品仅为一个价值 70 美元的 GMX 代币。3 月 8 日,链上数据显示,攻击 Arbitrum 生态借贷协议 Tender.fi 的黑客已返还了资金,Tender.fi 团队同意向黑客支付 62 ETH (96,500 美元) 作为赏金。
损失金额:$ 1,590,000攻击手法:预言机配置错误
事件描述:Arbitrum 生态 DEX ArbiSwap 疑似 Rug Pull,ArbiSwap 部署者在 Rug Pull 前铸造 1 万亿枚 ARBI,然后将 ARBI 兑换为 USDC,导致 USDC/ARBI 交易对中的 ARBI 大幅下降,在下一个区块,机器人通过 USDC 到 ARBI 再到 ETH 的交易进行空间套利,获利 68.47 枚 ETH。ArbiSwap 已将 84 枚 ETH 转至以太坊主网并发送至 TornadoCash。
损失金额:84 ETH攻击手法:跑路
事件描述:@HideYoApes 之前拥有来自 Yuga Labs 的几个昂贵的 NFT,包括一个 Bored Ape、Mutant Ape、三个 Bored Ape Kennel Club NFT、一个 SewerPass 和两个 Otherdeed。攻击者卖掉了所有的 NFT,获利 127.3 wETH(约 208,000 美元)。HideYoApes 在 Twitter 上解释说他已经从 MetaMask 的官方网站下载并安装了 MetaMask 钱包扩展。
损失金额:$ 208,000攻击手法:钓鱼攻击
事件描述:黑客利用 Dexible 智能合约代码中的一个漏洞,使用已批准支出的资金从加密钱包中提取资金。该团队补充说,“少数鲸鱼”损失的资金占本次被盗资金总量的 85%。链上数据显示,数字资产投资公司 Block Tower Capital 是受害者之一。被标记为 Block Tower Capital 的地址在本次事件中被盗价值 150 万美元的 TRU 代币。攻击者将 TRU 代币转移到 SushiSwap 兑换为以太币 (ETH),随后转入 TornadoCash。
损失金额:$ 1,500,000攻击手法:Dexible 事件影响
事件描述:域名注册商 Namecheap 的电子邮件账号遭到黑客攻击,黑客利用将该账号发送钓鱼邮件。根据 BleepingComputer 的报告,网络钓鱼活动起源于 SendGrid,为 Namecheap 用来发送营销邮件和续订通知的电子邮件平台。这些钓鱼邮件假装来自物流供应商 DHL 和加密货币钱包 MetaMask。其中冒充 MetaMask 的电子邮件称收件人的账户已被暂停,需要完成 KYC 验证过程才能重新激活。该电子邮件还包含 Namecheap 营销链接,该链接将用户重定向到一个虚假的 MetaMask 页面,要求用户输入他们的助记词或私钥,寻求窃取收件人的个人信息和加密货币钱包资产。MetaMask 官方回应称,MetaMask 不会收集 KYC 信息,也不会向用户发送有关帐户的电子邮件。
损失金额:-攻击手法:钓鱼攻击
事件描述:DeFi 聚合平台 dForce 在 Arbitrum 和 Optimism 遭到攻击,攻击者获利约 365 万美金。据慢雾分析,此次攻击的根本原因在于攻击者利用在 wstETH/ETH Pool 中移除流动性时先转移 Native 代币后燃烧 LP 的流程,触发接收 Native 代币回调来重入操控虚拟价格并清算其他用户获利。2 月 13 日,dForce 发推表示,攻击者已将被盗资金全部返还给 Arbitrum 和 Optimism 上的项目多签地址,所有受影响的用户都将得到补偿。
损失金额:$ 3,650,000攻击手法:操纵价格
事件描述:Arbitrum 上 DeFi 协议 Umami Finance 为机构客户提供收益产品。在 1 月 31 日,他们宣布他们将暂停收益率,声称他们担心监管策略。不久之后,项目 CEO 开始在市场上抛售代币,套现 44,000 个 UMAMI 代币。这些表面上的价格为 800,000 美元,尽管抛售使 UMAMI 价格暴跌了 60% 以上,但 CEO 仍净赚了约 380,000 美元的 USDC。
损失金额:$ 380,000攻击手法:跑路
事件描述:Arbitrum 生态稳定币协议 SperaxUSD 发推称,一攻击者在没有提供相应抵押品的情况下,将其地址的代币余额增加至 97 亿枚,并在 Sperax 团队和 Arbitrum 生态系统合作伙伴联合阻止之前,清算了约 30 万美元。
损失金额:$ 300,000攻击手法:合约漏洞
事件描述:NFT 项目 Moonbirds 创始人 Kevin Rose 推特发文证实,其个人钱包遭到黑客攻击,共丢失 25 枚 Chromie Squiggles 以及其它 NFT,预计损失超过 100 万美元。Proof Collective 的工程副总裁 Arran Schlosberg 表示,在 Kevin Rose 遭黑客攻击损失 100 万美元后,他们的 NFT 是安全的。Schlosberg 表示,钓鱼攻击欺骗 Rose 签署了一个恶意签名,随后黑客转移了他有价值的 NFT。
损失金额:$ 1,000,000攻击手法:钓鱼攻击
事件描述:Robinhood 推特账户遭到黑客攻击,被用于推广一个欺诈性加密项目。黑客宣布推出一种名为 $RBH 的新代币,他们称该代币在币安智能链上售价 0.0005 美元。在该链接被删除之前,大约有 25 人购买了欺诈性代币,总金额不到 8000 美元。Robinhood 在一篇博客文章中表示,Robinhood 推特、Instagram 和 Facebook 上发布的未经授权内容已经在几分钟内被删除,团队认为事件的源头是第三方供应商。
损失金额:$ 8,000攻击手法:Twitter 被黑
事件描述:Dogechain 生态多用途 GameFi 与 DeFi 协议 Doglands 可能存在退出骗局(exit scam)。该项目链上合约地址为 0x106E6a2D54332247441c1Cdf4E3e24a0696a46d0,0x12b17 和 0x0e815 开头地址抽干了 LP 代币中的所有储备,价值约 20.4 万美元。该资金现已通过跨链桥转入以太坊,并转移到多个地址。Doglands 已删除官方 Twitter 和网站。
损失金额:$ 204,000攻击手法:跑路
事件描述:加密 KOL NFT God 发推称,因黑客入侵其 Twitter、Substack、Gmail、Discord 和钱包,导致其损失全部加密资产和 NFT,黑客还通过盗取的账号发布诈骗链接。被黑原因为此前在新设备上把 Ledger 设置为热钱包而不是冷钱包,助记词在联网电脑上的钱包导入使用了,然后昨日在下载视频流软件 OBS 进行游戏直播后,点击了谷歌上的赞助商链接下载了恶意软件,使黑客可以访问其资金。慢雾的创始人余弦称,核心原因就是电脑运行了带木马的游戏程序,然后加密资产的助记词在这台电脑触网了,于是才可能被黑客盗走。
损失金额:-攻击手法:恶意软件
事件描述:一个名为 CVE-2022-3656 的漏洞影响了超过 25 亿 Google Chrome 和基于 Chromium 引擎的浏览器的用户。此漏洞允许窃取敏感文件,例如加密钱包和云提供商文件。该漏洞是通过检查浏览器与文件系统的交互方式发现的。具体来说,浏览器没有正确检查符号链接是否指向一个不可访问的位置,从而导致敏感文件被盗。这个问题通常被称为符号链接跟随(symbolic link following)。攻击者可能会使用加密网络钓鱼站点来战略性地获取对用户敏感文件的访问权限。
损失金额:-攻击手法:浏览器漏洞
事件描述:1 月 10 日,Sui 生态域名服务商 Sui Name Service 在社交媒体发文称,其 Discord 服务器今日遭到一名前员工的攻击,攻击者冒充管理员进行了攻击。目前,Sui Name Service 正在为用户恢复角色标签。
损失金额:-攻击手法:Discord 被黑
事件描述:Web3 推特营销平台 Twity 推特发文称,其系统出现了安全漏洞,技术人员的 Telegram 账号被泄露,聊天记录中包含项目信息和钱包私钥,导致管理员帐号信息遭泄露。团队目前正在召开紧急会议研究解决方案。所有用户资产和 NFT 信息将被快照。具体解决方案制定完成后将另行公布。
损失金额:-攻击手法:Telegram 被黑