共有 409 条记录
事件描述:Echo Protocol 在 Monad 链上的 eBTC 因管理员私钥泄露遭受攻击。攻击者获得铸币权限,凭空 mint 1000 枚无抵押 eBTC(名义价值约 7670 万美元),用其中 45 枚(约 345 万美元)作为抵押在 Curvance 借出约 11.29 WBTC(约 86.7万美元),随后跨链至以太坊换成 ETH,并将约 384 ETH(约 82.1万美元)转入 Tornado Cash 洗钱。剩余 955 枚 eBTC 仍由攻击者控制,存在进一步风险。
损失金额:$ 821,700攻击手法:私钥泄漏
事件描述:THORChain 的一个 Asgard 金库被攻破,攻击者同时从多个支持链(至少 9 条)提取资金,总损失约 1000-1100 万美元(包括约 36.75 BTC ≈$3M 及其他 EVM 链代币)。协议暂停交易,用户资金安全,仅协议自有资金受影响。攻击疑似与金库 churn(轮换/迁移)过程中的地址投毒或 GG20 TSS 实现漏洞有关,导致密钥材料泄露并重构私钥。THORChain 团队确认事件,正在调查并推出恢复门户,用户可撤销恶意授权并申请退款(仅协议资金受影响,用户 LP/资金未丢失)。
损失金额:$ 10,700,000攻击手法:GG20 TSS 漏洞
事件描述:Keith Gill(知名为 Roaring Kitty)的验证 X 账户于 2026 年 5 月 11 日疑似遭黑客入侵。攻击者发布 Solana Pump.fun 上新推出的 meme 币 $RKC(Red Kitten Crew)合约地址和相关图片,短暂推高其市值至约 1100-1200 万美元。随后帖子在一小时内被删除,导致代币崩盘 90% 以上。开发者通过 10 个钱包控制约 39.52% 供应量(投入约 1950 美元),抛售后获利超 61 万美元。超 80 个钱包遭受损失,总计约 286 万美元。Keith Gill 尚未就此事件发表任何声明。
损失金额:$ 2,860,000攻击手法:账号被黑
事件描述:SmartCredit 的 Leveraged Lido 功能模块遭受攻击。攻击者利用该模块的漏洞抽取资金。项目方已暂停 Leveraged Lido 功能,并使用协议的 Loss Provision Fund(损失准备金)全额覆盖受影响用户的损失。
损失金额:$ 72,000攻击手法:闪电贷攻击
事件描述:Bisq v1 交易协议存在漏洞,攻击者利用修改后的客户端绕过验证机制,从开放报价(open offers)中抽取比特币。主要影响 altcoin 交易对,用户钱包中的资金未直接受影响。项目方已激活紧急机制暂停相关交易,并计划通过 DAO 投票全额补偿受影响用户。
损失金额:$ 858,000攻击手法:业务逻辑漏洞
事件描述:2026年4月30日(UTC),Wasabi Protocol发生安全事件。攻击者利用项目 AWS 基础设施上的分析界面(Spring Boot Actuator堆转储),泄露凭证并最终获取了控制 EVM 智能合约的私钥,随后发起提现攻击,从 EVM 智能合约中窃取 480 万美元用户资金,并从 Wasabi 项目金库额外窃取 90 万美元资金。该漏洞仅影响以太坊主网、Base、Blast 和 Berachain 上的 EVM 部署,Solana 部署及 Prop AMM 完全未受影响。团队在事件发生后 48 小时内完成遏制,轮换所有密钥、锁定受影响合约,并于 5 月 2 日为未受影响的金库重新开放提现,同时聘请外部安全机构 zeroShadow 进行链上追踪、资金追回及执法协调。
损失金额:$ 5,700,000攻击手法:私钥泄漏
事件描述:Sweat Foundation 遭受攻击,攻击者在约 30 秒内从基金会控制的多个账户中抽走约 13.71 亿 SWEAT 代币(占总供应量约 65%),损失约 350万美元。攻击者利用 SWEAT token 合约漏洞,部署自定义 drainer 合约快速执行抽取,随后尝试通过 Ref Finance 和 Wormhole 转移资金。Sweat 团队迅速暂停合约、冻结攻击者账户,并已恢复所有外部用户余额。
损失金额:$ 3,500,000攻击手法:合约漏洞
事件描述:基于 Sui 区块链的去中心化永续合约交易平台 Aftermath Finance 遭受攻击。其永续合约(perps)协议因费用记账逻辑存在漏洞(具体为允许设置负的 builder code 费用),被攻击者利用。该漏洞使攻击者能够虚增合成抵押品并从协议金库中提取资金。攻击者在约 36 分钟内通过 11 笔交易窃取了约 114 万美元(约 1.14M)USDC。安全公司 Blockaid 实时监测并标记了此次攻击(攻击者地址以0x1a65...2d41e开头)。Aftermath Finance 团队迅速作出响应,暂停了受影响的永续合约产品,并与 Blockaid、CertiK 等安全伙伴合作进行调查。项目方强调,此次事件仅限于永续期货市场,现货交易、AMM 池、afSUI 质押等其他产品未受影响。
损失金额:$ 1,140,000攻击手法:合约漏洞
事件描述:Scallop 的 sSUI Spool 奖励池侧合约(deprecated V2 rewards contract)遭受攻击。攻击者利用奖励累积逻辑中的缺失验证(uninitialized variable / missing validation in update_points 函数),通过少量质押(约 0.2 SUI)生成巨额虚假奖励点数(约 162 万亿),从而提取整个奖励池中剩余的约 15 万 SUI。核心借贷市场、用户存款和其他池子未受影响。项目方迅速冻结受影响合约,承诺从协议 treasury 全额补偿用户损失,并已恢复正常运营。
损失金额:$ 142,000攻击手法:合约漏洞
事件描述:据 Purrlend 官方发布的事故报告,Purrlend 于 4 月 25 日遭遇安全事件,在 HyperEVM 和 MegaETH 上的部署共损失约 152 万美元。攻击者入侵了团队的 2/3 管理员多签钱包,向恶意地址授予了包括 BRIDGE_ROLE 在内的多项管理员权限,随后通过 mintUnbacked 函数无抵押铸造约 200 万枚 pUSDm 和 485 万枚 pUSDC,将其作为抵押品从资金池中借出真实资产。HyperEVM 损失约 120 万美元,MegaETH 损失约 32.5 万美元。Purrlend 已暂停协议、撤销权限,并联系执法部门和区块链分析公司追查资金。事件根源是多签配置缺乏时间锁,而非智能合约逻辑漏洞。团队正在探索补偿方案。
损失金额:$ 1,520,000攻击手法:权限控制漏洞
事件描述:Sui 生态协议 Volo 在 X 平台披露,Volo Vaults 今日遭遇安全漏洞,约 350 万美元资产(WBTC、XAUm 和USDC)被盗。Volo 表示已检测到攻击并立即通知 Sui 基金会及生态合作伙伴,冻结了所有金库以防止进一步损失。
损失金额:$ 3,500,000攻击手法:私钥泄漏
事件描述:前端云平台 Vercel 首席执行官 Guillermo Rauch 发推表示,目前团队正在对公司安全事件进行全面调查。事件起因是某 Vercel 员工使用的 AI 平台客户 Context.ai 被入侵,导致其 Vercel Google Workspace 账户遭攻破。攻击者通过一系列操作进一步获得了环境访问权限。Vercel 所有客户环境变量在静止状态下均完全加密,但平台支持将部分变量标记为「non-sensitive」,攻击者通过枚举方式获得了进一步访问。其行动速度和对 Vercel 架构的理解超出预期。
损失金额:-攻击手法:供应链攻击
事件描述:据 CertiK 监测,NEAR 生态 DeFi 协议 Rhea Finance 发生安全事件,攻击者创建多个假代币合约,并在新建资金池中添加流动性,疑似误导协议预言机与验证层,从而从相关池中提取至少约 760 万美元资产。4 月 18 日,Rhea Finance 就安全事件发布更新称,其借贷市场于 4 月 16 日遭遇未经授权的攻击,其杠杆交易功能遭到攻击。攻击者利用滑点保护机制中的潜在漏洞,从协议的储备池中窃取了约 1840 万美元的资产,导致协议内部出现实际损失,包括储备余额和参与用户受到影响。攻击者已将约 335.9 万 USDC 和 156.4 万 NEAR 存回 RHEA 借贷合约,同时冻结了 434 万 USDT(其中 329.1 万 USDT 由 Tether 冻结在攻击者的钱包中,105.3 万 USDT 冻结在 NEAR Intent 中)。与此同时,为确保资金安全,贷款合约已被冻结,恢复工作仍在进行中。团队正在积极尝试联系攻击者,以追回剩余受影响的资产。此外,团队已向中心化交易所正式启动追踪程序,以确定账户所有者。
损失金额:$ 18,400,000攻击手法:滑点保护逻辑漏洞
事件描述:2026 年 4 月 16 日,Rhea Finance(前 Burrow Finance)遭受攻击。攻击者提前两天使用 423 个钱包部署假代币合约并创建恶意流动性池(在 Ref Finance 等),构建虚假 swap 路由。随后利用 Rhea Lend 保证金交易功能的 slippage protection 逻辑漏洞(未正确处理中间代币重复使用的多步 swap min_amount_out 累加),绕过验证借入真实资产、触发强制清算并耗尽储备池。初始估计损失约 760 万美元,后确认总抽取约 1840 万美元。攻击影响 Rhea Lend 合约(Rhea DEX 未直接受影响)。项目方暂停合约,与 Tether 等合作冻结部分资金,攻击者部分归还资金,最终协议承诺覆盖剩余缺口,用户资金安全得到保障。
损失金额:$ 18,400,000攻击手法:合约漏洞
事件描述:LootBot AI 的 NFT Staking 合约(xLoot NFT)遭受 Logic Error(重复 NFT ID 赎回漏洞)。攻击者利用 redeem() 函数未验证输入数组中 NFT ID 是否重复的问题,通过闪电贷触发新 epoch,然后在 redeem 调用中将少数 NFT ID 重复 155 次左右,导致同一 NFT 被多次计算奖励并多次支付 ETH。攻击者最终净获利约 4.1 ETH(总抽取约 6.21 ETH)。该项目活跃度较低(最后官方 X 活动在 2025 年),属于被遗弃或低维护合约。
损失金额:$ 9,600攻击手法:合约漏洞
事件描述:DeFi 项目 Dango 昨晚在披露安全事件三小时后发布更新称,白帽黑客已全额归还被盗资金并获得漏洞赏金,用户资金完全未受影响。Dango 创始人表示将部署修复程序、增加安全措施并准备重启区块链。此前公告显示,攻击者利用保险基金逻辑漏洞盗取 USDC 抵押品,漏洞在于保险基金允许任何人向其捐赠但未检查捐赠金额为正数;得益于跨链桥速率限制,攻击者仅将 41 万美元 USDC 桥接至以太坊,剩余 149 万美元留在 Dango 并被追回;该漏洞已修复,不影响订单匹配、盈亏结算和清算等其他交易系统功能。
损失金额:$ 1,900,000攻击手法:保险基金捐赠逻辑漏洞
事件描述:DeFi 借贷协议 HypurrFi 发推表示,hypurr .fi 域名被劫持,团队已将基础设施迁移至 hypurrfi .com,协议本身、用户资金及团队基础设施未受影响。
损失金额:0攻击手法:域名劫持
事件描述:GoPlus 发布安全警报,Adobe 疑似遭攻击,约 1300 万用户数据泄露。用户可能面临伪装 Adobe 客服的钓鱼邮件或电话、工单信息被用于精准社工诈骗、密码撞库等风险。
损失金额:-攻击手法:供应链攻击
事件描述:Huma Finance 在 X 平台发布提醒称,其合作伙伴 Arf 的官方 X 账户 @arf_one 遭到入侵,在账户恢复前请勿与该账户的任何帖子互动。
损失金额:0攻击手法:账号被黑
事件描述:Socket 检测到 npm 核心包 axios 的 1.14.1 版本遭遇活跃的供应链攻击。攻击者通过注入一个今日首次出现的恶意依赖包,向 axios 植入恶意代码。建议使用 axios 的开发者立即固定版本,并审查项目锁定文件。
损失金额:0攻击手法:供应链攻击