共有 405 条记录
事件描述:据 The Block 报道,DeFi 借贷协议 Moonwell 在 Moonriver 部署上正遭遇治理攻击。一名未知攻击者约花费 1800 美元买入约 4000 万枚 MFAM 代币,在约 11 分钟内完成买入、发起提案并投票过审,试图通过将 7 个借贷市场、控制器及预言机等核心合约的管理员权限转移至其控制合约,从而可提取约 108 万美元用户资金。目前该提案投票将持续至 3 月 27 日,早期已达法定人数,随后反对票占优,但最终结果仍取决于剩余投票及协同。
损失金额:0攻击手法:治理攻击
事件描述:慢雾科技首席信息安全官 23pds 在 X 平台发文称:“每月下载量高达 9700 万次的 LiteLLM 发生 PyPI 供应链攻击:“通过 pip install litellm 即可窃取敏感信息,包括SSH密钥、云凭据(AWS/GCP/Azure)、Kubernetes 配置、Git 凭据、环境变量(API 密钥)、Shell 历史、加密钱包及数据库密码等。”
损失金额:0攻击手法:供应链攻击
事件描述:据 Decrypt 报道,比特币 ATM 运营商 Bitcoin Depot 在提交给美国证券交易委员会(SEC)的文件中披露,公司于 3 月 23 日遭遇安全漏洞,黑客窃取了约 50.9 枚比特币,价值约 366.5 万美元。攻击者侵入了公司的IT系统并获取了数字资产结算账户的凭证,从而在未经授权的情况下转移了资金。Bitcoin Depot 表示已启动应急响应机制,聘请外部网络安全专家调查攻击路径并锁定剩余资产,同时已通知执法部门。公司称客户平台和用户数据未受此次入侵影响。
损失金额:$ 3,665,000攻击手法:凭证泄漏
事件描述:比特币支付服务商 Bitrefill 在 X 平台发文披露于 2026 年 3 月 1 日遭受网络攻击导致客户数据泄露,攻击源自一名员工被入侵的笔记本电脑,并导致部分数据库和加密货币钱包被攻击者访问。调查显示,此次攻击手法与朝鲜 DPRK Lazarus/Bluenoroff 黑客组织过去针对加密企业的攻击高度相似,约 18,500 条购买记录涉及有限客户信息(邮箱、加密支付地址及 IP 元数据),其中约 1,000 条记录的客户姓名信息被加密存储,但可能被访问。Bitrefill 表示,客户无需采取特别操作,但建议警惕异常信息。Bitrefill 补充表示,目前已关闭相关系统进行隔离,并与安全专家、链上分析师及执法部门合作,现几乎已恢复正常运营。公司强调,业务长期盈利且资金充足,可吸收此次损失,并将持续强化网络安全措施,包括内部访问控制、监控与应急响应机制。
损失金额:-攻击手法:APT 终端入侵攻击
事件描述:Blend Pools V2(Stellar 链上 Blend 协议 V2 的 YieldBlox DAO 管理借贷池)遭遇攻击。攻击者在 Stellar DEX 上通过单笔交易将低流动性资产 USTRY 的价格操纵上涨约 100 倍,从而操纵了 Reflector oracle 的价格馈送。随后,攻击者将高估的 USTRY 作为抵押品存入 Blend Pools V2 借贷池,借出了约 1020 万至 1097 万美元的 XLM 和 USDC。Stellar 验证者和 Blockaid 快速响应,冻结了大部分资金(约 4800 万XLM / 约 730 万美元)。大部分被盗资产被控制,部分 USDC 被跨链转出。
损失金额:$ 10,200,000攻击手法:预言机操纵攻击
事件描述:CertiK Alert 发推表示,The Daily Ape 创始人 Darren Lau 的 X 账号目前已被黑客入侵。CertiK 安全团队提醒用户在账号恢复控制前,不要点击任何链接或批准任何交易,保持警惕。
损失金额:-攻击手法:X 账号被黑
事件描述:比特币 RGB 协议、闪电网络稳定币支付基础设施 Bitlight Labs X 账号疑似被盗,发布 Meme 代币相关信息。
损失金额:-攻击手法:账号被黑
事件描述:PRXVT 质押合约于 2026 年 1 月 1 日在 Base 链上遭到 Sybil 攻击(利用 CREATE2 地址),攻击者从协议中抽走约 97,000 美元资金。
损失金额:$ 97,000攻击手法:女巫攻击
事件描述:部署于 Story Protocol 上的 Unleash Protocol 项目遭遇未经授权的合约升级并被恶意转移用户资产。攻击者通过操控其多签治理权限实施升级,导致 WIP、USDC、WETH、stIP 及 vIP 等资产被盗并跨链转移至外部地址。当前确认损失约 390 万美元。Unleash 已暂停所有操作,并启动全面调查及审计程序,呼吁用户暂勿交互其合约。Story Protocol 本身未受影响。
损失金额:$ 3,900,000攻击手法:权限被盗
事件描述:慢雾创始人余弦在 X 平台发文表示,正在跟进 DeBot 事件,看链上情况,Debot 相关的用户私钥被盗,黑客目前获利 25.5 万美元资产,还在持续盗窃中。此前,针对部分社区用户称 DeBot 钱包疑似遭到黑客入侵被盗,DeBot 官方回应称安全钱包地址运行一切正常,未受任何影响,已经注意到部分地址的相关情况,正在积极跟进并妥善处理。12 月 30 日,Debot 所有赔偿申请已全部发放完毕。团队表示未来若再遇安全问题,将继续承诺100%赔付。
损失金额:$ 255,000攻击手法:私钥泄漏
事件描述:0G 基金会在 X 平台发文表示,12 月 11 日一次有针对性的攻击导致奖励合约遭到入侵。攻击者利用用于分发联盟奖励的 0G 奖励合约的紧急提款功能,窃取了 520,010 枚 0G 代币、9.93 枚 ETH 和价值 4200 美元的USDT,这些代币随后通过 Tornado Cash 进行桥接和分散。由于 Next.js 的一个严重漏洞(CVE-2025-66478)于 12 月 5 日被利用,攻击者通过内部 IP 地址横向移动,影响范围包括校准服务、验证器节点、Gravity NFT 服务、节点销售服务、计算、Aiverse、Perpdex、Ascend等,但核心链基础设施或用户资金均未受到影响。
损失金额:$ 520,000攻击手法:私钥泄漏
事件描述:据 Almanak 公告,今日空投过程中因操作失误与 DDoS 攻击引发申领延迟与钱包部署失败。申领功能原定于 UTC 时间 12:15 开放,实际推迟至 12:35;约 1,100 名用户在钱包创建过程中遇到“PENDING”状态问题。团队已恢复系统、清除卡顿状态并确认用户代币安全无损。
损失金额:-攻击手法:DDoS 攻击
事件描述:据网络安全公司 Blockaid 表示, Meme 币 PEPE 的官方网站遭到攻击者入侵,攻击者修改了网站前端代码,导致访问网站的用户被重定向到恶意页面。
损失金额:-攻击手法:供应链攻击
事件描述:据 Finance Feeds 报道,黑客利用了 React JavaScript 库中的一个漏洞,将窃取加密货币钱包资金的代码注入网站,主要是在加密货币平台上。12 月 3 日,React 团队针对 CVE-2025-55182 漏洞发布了补丁,该漏洞允许未经身份验证的代码在远程计算机上运行,React 团队强烈建议所有受影响模块立即升级以防止进一步被利用。
损失金额:-攻击手法:远程代码执行漏洞
事件描述:去中心化 AI 数据网络 Port3 Network 在 X 平台披露,其代币 PORT3 遭遇黑客利用跨链桥漏洞进行恶意增发。根据链上分析师余烬监测,黑客通过 BridgeIn 跨链桥 的合约漏洞铸造了 10 亿枚 PORT3。随后,黑客将其中 1.6275 亿枚在链上抛售,换得 199.5 枚 BNB(约 16.6 万美元),使 PORT3 价格瞬间下跌 76%。Port3 Network 随后发布事件报告,解释攻击的根本原因来自其采用的 NEXA Network 跨链代币解决方案 CATERC20。该方案存在一个边界条件验证漏洞:在代币所有权放弃后,相关函数会返回值 0,而该数值恰好满足所有权检查条件,导致权限验证失效。这使得攻击者无需授权即可调用敏感操作,包括代币增发。值得注意的是,CATERC20 的审计报告中并未提及这一风险,而 Port3 代币此前为实现去中心化已放弃所有权,因此处于受攻击状态。事件发生后,Port3 团队紧急移除链上剩余流动性,多家中心化交易所也随即暂停 PORT3 的充值。由于无法继续抛售,黑客在约 40 分钟前将剩余 8.3725 亿枚未售出 PORT3 全部销毁。
损失金额:$ 830,000攻击手法:合约漏洞
事件描述:据 WLFI 公告称,在平台正式上线前,一部分用户钱包因钓鱼攻击或助记词泄露遭到入侵。WLFI 强调事件非平台或合约漏洞所致,攻击源于第三方安全问题。团队已开发新合约逻辑,允许在完成 KYC 验证后将资产重新分配至安全新钱包。未提交申请或未通过验证的钱包将继续被冻结,用户仍可通过客服中心开启恢复流程。据 Emmett Gallic 称,World Liberty Fi 将一个疑似被攻破的钱包中共计 1.6667 亿枚 WLFI(价值约 2214 万美元)代币销毁,并将等量代币重新分配至新的安全地址。
损失金额:-攻击手法:钓鱼攻击和私钥泄漏
事件描述:SlowMist 创始人余弦提醒使用 NOFX AI 开源自动交易系统的用户需注意安全风险。虽然 NOFX AI 开源工作表现良心,但已发生真实盗币事件,部分用户的钱包私钥及 CEX/DEX API Key 因此泄露。余弦确认,该漏洞同样波及 Aster 用户的钱包私钥安全。余弦表示,已联合相关安全团队尽力通知受影响用户以降低风险,并建议用户提高警惕,及时采取安全措施。
损失金额:-攻击手法:私钥泄漏
事件描述:Sui 官方在 X 平台发布提醒称,Sui 生态流动性质押协议 Aftermath 的 X 账户已被盗用,在官方恢复之前请勿与该账户进行任何操作。
损失金额:-攻击手法:账号被黑
事件描述:GMGN 联合创始人 Haze 发推表示,“我们注意到一次蓄意针对 GMGN 的外部钓鱼攻击:攻击者通过伪造第三方代币网站诱导用户点击,触发非本人授权交易。目前此问题已经彻底解决,受影响账号已恢复安全,同类钓鱼攻击已被完全阻断。本次事件约影响了 107 位用户。对于因账号被非授权控制所造成的损失,我们将 100% 全额赔付,并在今日内发放至 GMGN 账户。”
损失金额:$10,300攻击手法:钓鱼攻击
事件描述:10 月 27 日,GMGN 联合创始人 Haze 在 X 平台发文表示,团队已完成对受 MEV 攻击影响用户的补偿发放。他指出,48 小时前 GMGN 遭遇 MEV 攻击,受影响交易共 729 笔,团队已完成损失计算并于昨日将补偿款发放至相关用户钱包。
损失金额:-攻击手法:三明治攻击