共有 295 条记录
事件描述:搭建在 Terra 上的合成资产协议 Mirror Protocol 再次遭遇攻击,已有超过 200 万美元资金损失,比特币、以太坊和波卡的资金池已经枯竭,剩余的资金池与股票挂钩,若该漏洞在美国东部时间 4:00 (北京时间 16:00 )开市前交易时没有被修复,其所有的代币资产池都将面临风险。
损失金额:$ 2,000,000攻击手法:预言机价格漏洞
事件描述:5 月 30 日,在 Terra 新链启动后,LUNC(Luna Classic)的预言机价格达到 5 美元,而实际价格远低于 5 美元,Anchor 平台一名用户注意到该漏洞,存入大约 2000 万个 Lido Bonded Luna Token,并成功借出 4000 万 UST,最终提取并获利约 80 万美元。
损失金额:$ 800,000攻击手法:合约漏洞
事件描述:Terra 研究论坛成员 FatMan 在推特上发文表示,由 Terraform Labs 开发的合成资产协议 Mirror Protocol 长期存在漏洞。自 2021 年 10 月起,攻击者在 7 个月的时间内利用该漏洞多次进行攻击,最高单笔获利超 400 万美元(使用 1 万美元获利 430 万美元),均未被 Terraform Labs 或 Mirror 团队发现。 FatMan 表示,该漏洞于 11 天前被 Mirror 论坛成员发现并提出质疑,此后该漏洞被修复,但 Mirror 团队并未对此事进行任何声明。
损失金额:$ 90,000,000攻击手法:合约漏洞
事件描述:据 Pinpoint News 报道,基于 Klaytn 的 DeFi 项目 Kronos DAO 挪用用户在其 vault 质押的 DAI 投入 Kairos Cash 中,并亏损了 600 万枚 DAI。用户质押的 600 万枚 DAI 在 Kronos Dao Vault 中变成了 600 万枚 Kairos Cash,Kronos Dao 解释说这是“用作战略投资”。然而,投资者质疑解释不充分,且并没有对此进行提前告知。目前,Kronos Dao 已经关闭了 Kakao Talk 和 Telegram 沟通渠道,只留下了 Discord 作为沟通渠道。
损失金额:6,000,000 DAI攻击手法:内部作恶
事件描述:美国演员 SethGreen 遭遇钓鱼攻击致 4 个 NFT(包括 1 个 BAYC、2 个 MAYC 和 1 个 Doodle)被盗,钓鱼者地址已将 NFT 全部售出,获利近 160 枚 ETH(约 33 万美元)。
损失金额:160 ETH攻击手法:钓鱼攻击
事件描述:包括 Etherscan、CoinGecko 和 DeFi Pulse 在内的流行加密货币网站报告了恶意弹出窗口事件,提示用户连接他们的 MetaMask 钱包。CoinGecko 创始人 Bobby Ong 表示,他认为罪魁祸首是来自名为 Coinzilla 的加密广告网络的恶意广告脚本。该广告似乎来自一个模仿流行的 Bored Apes Yacht Club NFT 项目的网站,该项目在发现骗局后被撤下。
损失金额:-攻击手法:钓鱼攻击
事件描述:司法部于 5 月 5 日公布了一份起诉书,显示 Mining Capital Coin 的首席执行官兼创始人 Luiz Capuci Jr. 被指控策划了 6200 万美元的投资欺诈。Capuci 据称在 MCC 的计划上误导了投资者,他说该计划将利用投资者的资金来挖掘新的加密货币,并会产生有保证的回报。相反,Capuci 将资金存入他自己的加密钱包,并用它们来资助他自己的兰博基尼生活方式、房地产和游艇。据称,Capuci 还经营了一个由促销员组成的传销计划,他向他们承诺了包括 iPad 和豪华汽车在内的豪华礼物。
损失金额:$ 62,000,000攻击手法:骗局
事件描述:据官方发文称,MM.finance 网站遭到 DNS 攻击,攻击者设法将恶意合约地址注入前端代码。攻击者利用 DNS 漏洞修改托管文件中的路由器合约地址,价值约 2,000,000 美元以上的数字资产被盗,并通过多链桥接到以太坊网络,随后通过 Tornado Cash 清洗。
损失金额:$ 2,000,000攻击手法:DNS 攻击
事件描述:慢雾安全团队发现从 4 月 12 日开始至 4 月 21 日约有 52 个地址中的资金被恶意转出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中,当前总损失约 431 万美元。慢雾安全团队表示,此次攻击为批量谷歌关键词广告投放钓鱼攻击,用户在谷歌搜索知名的 Terra 项目时,谷歌搜索结果页首条广告链接(域名可能相同)实为钓鱼网站。用户访问此钓鱼网站并连接钱包时,钓鱼网站会提醒直接输入助记词,一旦用户输入并点击提交,资产将会被攻击者盗取。
损失金额:$ 4,310,000攻击手法:钓鱼攻击
事件描述:印度教育资助委员会(UGC)遭遇黑客攻击,黑客利用该推特账户发布虚假的 Azuki NFT 空投链接,并将简介更改为 Azuki NFT 的共同创建者,将头像换成了与 Azuki 相关的图像。该机构在账号挟持 6 个小时后收回了该账号。
损失金额:-攻击手法:Twitter 被黑
事件描述:Starstream Finance 和 Agora DeFi 项目遭受攻击。攻击者利用 Starstream 中的漏洞从协议中吸取代币,然后将代币用作抵押品从 Agora 获得大笔贷款。Starstream 黑客攻击是通过其 DistributorTreasury 合约中不受保护的执行函数实现的,此函数被标记为外部函数,可用于调用外部函数。攻击者总共从 Agora 借了价值约 820 万美元的代币。
损失金额:$ 4,000,000攻击手法:合约漏洞
事件描述:Fuse 链上的 Ola Finance 对黑客攻击事件发布博客文章,称此次攻击事件损失约为 467 万美元,具体包括216,964.18 USDC、507,216.68 BUSD、200,000 fUSD、550.45 WETH、26.25 WBTC和1,240,000.00 FUSE。 该攻击使用了 ERC677 令牌标准中的可重入漏洞。
损失金额:$ 4,670,000攻击手法:重入攻击
事件描述:推特用户 cr0ss.eth 表示,Defiance Capital 创始人 Arthur 热钱包疑似被盗。OpenSea 数据显示,Arthur 的钱包地址 0x4C53c32980ccE49aaA4bCc53Eef3f143Bc27E0aF 中,包括 17 枚 azuki、5 枚 cloneX 在内的的 60 枚 NFT 在链上被转移,总计约 310 ETH。
损失金额:310 ETH攻击手法:私钥泄露
事件描述:据 Cointelegragh 报道,加密贷款机构 BlockFi 确认其第三方供应商之一 Hubspot 发生了数据泄露事件。 Hubspot 存储了 BlockFi 的用户数据,包括姓名、电子邮件地址和电话号码。 根据公告,黑客在 3 月 18 日盗窃了 BlockFi 的客户数据。Hubspot 已经证实,一个未经授权的第三方获得了存放在其平台上的某些 BlockFi 客户数据。目前 BlockFi 正在配合 Hubspot 的调查,以明确数据泄露的整体影响。虽然被盗数据的具体细节尚未被确定和披露,但 BlockFi 强调,密码、政府颁发的身份证和社会安全号码等数据从未存储在 Hubspot 上。
损失金额:-攻击手法:信息泄露
事件描述:Gnosis 链上 Compound 分叉项目 Hundred Finance 发推称,遭遇黑客攻击,损失超 600 万美元。
损失金额:$ 6,000,000攻击手法:闪电贷攻击
事件描述:Gnosis Chain 上 Agave 合约因为一个非信任的外部调用遭受攻击。攻击者在没有任何负债的情况下调用了 liquidateCall 函数来清算自己。在清算过程中,清算合约调用了攻击者合约,攻击合约在此过程中存入了 2728 个通过闪电贷获取的 WETH,铸造出 2728 aWETH。并以此为抵押,借出了 Agave 项目中所有可用资产。外部调用结束后,liquidateCall 函数直接清算了攻击者之前存入的 2728 aWETH,并将其转给清算者。
损失金额:$ 5,400,000攻击手法:闪电贷攻击
事件描述:比特币金融服务公司 Unchained Capital 首席执行官 Joe Kelly 表示,Unchained 使用的外部电子邮件营销提供商 ActiveCampaign(AC)上周遭到黑客攻击。与 AC 共享的信息,包括客户电子邮件地址、用户名、账户状态、客户是否拥有活跃的多重签名保险库或使用 Unchained Capital 的贷款以及可能的 IP 地址可能已经未经授权流出。Kelly 表示,Unchained 上任何系统都没有受到影响,这意味着从未与 AC 共享的客户资料信息没有泄露。Kelly 补充说,虽然客户比特币保管受到多重签名冷存储的保护,但客户仍应了解发生的事情并警惕网络钓鱼攻击。
损失金额:-攻击手法:信息泄露
事件描述:去中心化衍生品交易平台 FutureSwap 推文表示,一个拥有约 300,000 FST 奖励储备金(占供应量的 0.3%)的账户于昨日遭到入侵。此账户的凭据由人为失误而泄露,攻击者能够在 Arbitrum 上获得访问权限,并将可用奖励 FST 转移给自己。
损失金额:300,000 FST攻击手法:私钥泄露
事件描述:韩国 DeFi 项目 KLAYswap 日前发布公告称遭黑客攻击,损失约 22 亿韩元,约合 183 万美元。公告中称黑客通过篡改 KLAYswap 前端的第三方 js 链接,导致用户访问 KLAYswap 页面时被投毒,然后授权资产给黑客钱包地址,最终导致相关资产被盗,期间共有 325 个钱包发生 407 笔异常交易。
损失金额:$ 1,830,000攻击手法:恶意代码注入攻击
事件描述:数字资产服务商 StoboxCompany 遭黑客攻击,其官方表示私钥已泄露,受此影响代币跌幅达 96.93%。StoboxCompany 官方表示,Stobox 代币的部署者地址被黑客入侵,由于 ETH 和 BSC 的部署者地址相同,因此所有储备资金都已被盗或清算。提醒用户停止购买/出售,官方将把 STBU 快照恢复到黑客攻击前的最后一笔交易。
损失金额:-攻击手法:私钥泄露