共有 400 条记录
事件描述:据 Purrlend 官方发布的事故报告,Purrlend 于 4 月 25 日遭遇安全事件,在 HyperEVM 和 MegaETH 上的部署共损失约 152 万美元。攻击者入侵了团队的 2/3 管理员多签钱包,向恶意地址授予了包括 BRIDGE_ROLE 在内的多项管理员权限,随后通过 mintUnbacked 函数无抵押铸造约 200 万枚 pUSDm 和 485 万枚 pUSDC,将其作为抵押品从资金池中借出真实资产。HyperEVM 损失约 120 万美元,MegaETH 损失约 32.5 万美元。Purrlend 已暂停协议、撤销权限,并联系执法部门和区块链分析公司追查资金。事件根源是多签配置缺乏时间锁,而非智能合约逻辑漏洞。团队正在探索补偿方案。
损失金额:$ 1,520,000攻击手法:管理员多签钱包被入侵 + 高权限滥用
事件描述:Sweat Foundation 遭受攻击,攻击者在约 30 秒内从基金会控制的多个账户中抽走约 13.71 亿 SWEAT 代币(占总供应量约 65%),损失约 350万美元。攻击者利用 SWEAT token 合约漏洞,部署自定义 drainer 合约快速执行抽取,随后尝试通过 Ref Finance 和 Wormhole 转移资金。Sweat 团队迅速暂停合约、冻结攻击者账户,并已恢复所有外部用户余额。
损失金额:$ 3,500,000攻击手法:Refund First & Refund Second Logic Exploit
事件描述:基于 Sui 区块链的去中心化永续合约交易平台 Aftermath Finance 遭受攻击。其永续合约(perps)协议因费用记账逻辑存在漏洞(具体为允许设置负的 builder code 费用),被攻击者利用。该漏洞使攻击者能够虚增合成抵押品并从协议金库中提取资金。攻击者在约 36 分钟内通过 11 笔交易窃取了约 114 万美元(约 1.14M)USDC。安全公司 Blockaid 实时监测并标记了此次攻击(攻击者地址以0x1a65...2d41e开头)。Aftermath Finance 团队迅速作出响应,暂停了受影响的永续合约产品,并与 Blockaid、CertiK 等安全伙伴合作进行调查。项目方强调,此次事件仅限于永续期货市场,现货交易、AMM 池、afSUI 质押等其他产品未受影响。
损失金额:$ 1,140,000攻击手法:集成方费用核算中的有符号性不匹配问题
事件描述:Sui 生态借贷协议 Scallop 在 X 平台表示,发现一个与 Scallop 的 sSUI 奖励池相关的附属合约存在漏洞,导致约 15 万 SUI 损失。受影响的合约已被冻结。Scallop 称核心合约仍然安全,只有 sSUI 奖励池受到影响。所有其他奖励池均安全无虞。Scallop 将全额承担 100% 的损失,并将尽快发布进一步的更新。
损失金额:$ 141,750攻击手法:合约漏洞
事件描述:Sui 生态协议 Volo 在 X 平台披露,Volo Vaults 今日遭遇安全漏洞,约 350 万美元资产(WBTC、XAUm 和USDC)被盗。Volo 表示已检测到攻击并立即通知 Sui 基金会及生态合作伙伴,冻结了所有金库以防止进一步损失。
损失金额:$ 3,500,000攻击手法:私钥泄漏
事件描述:前端云平台 Vercel 首席执行官 Guillermo Rauch 发推表示,目前团队正在对公司安全事件进行全面调查。事件起因是某 Vercel 员工使用的 AI 平台客户 Context.ai 被入侵,导致其 Vercel Google Workspace 账户遭攻破。攻击者通过一系列操作进一步获得了环境访问权限。Vercel 所有客户环境变量在静止状态下均完全加密,但平台支持将部分变量标记为「non-sensitive」,攻击者通过枚举方式获得了进一步访问。其行动速度和对 Vercel 架构的理解超出预期。
损失金额:-攻击手法:供应链攻击
事件描述:据 CertiK 监测,NEAR 生态 DeFi 协议 Rhea Finance 发生安全事件,攻击者创建多个假代币合约,并在新建资金池中添加流动性,疑似误导协议预言机与验证层,从而从相关池中提取至少约 760 万美元资产。4 月 18 日,Rhea Finance 就安全事件发布更新称,其借贷市场于 4 月 16 日遭遇未经授权的攻击,其杠杆交易功能遭到攻击。攻击者利用滑点保护机制中的潜在漏洞,从协议的储备池中窃取了约 1840 万美元的资产,导致协议内部出现实际损失,包括储备余额和参与用户受到影响。攻击者已将约 335.9 万 USDC 和 156.4 万 NEAR 存回 RHEA 借贷合约,同时冻结了 434 万 USDT(其中 329.1 万 USDT 由 Tether 冻结在攻击者的钱包中,105.3 万 USDT 冻结在 NEAR Intent 中)。与此同时,为确保资金安全,贷款合约已被冻结,恢复工作仍在进行中。团队正在积极尝试联系攻击者,以追回剩余受影响的资产。此外,团队已向中心化交易所正式启动追踪程序,以确定账户所有者。
损失金额:$ 18,400,000攻击手法:滑点保护逻辑漏洞
事件描述:DeFi 项目 dango 昨晚在披露安全事件三小时后发布更新称,白帽黑客已全额归还被盗资金并获得漏洞赏金,用户资金完全未受影响。dango 创始人表示将部署修复程序、增加安全措施并准备重启区块链。此前公告显示,攻击者利用保险基金逻辑漏洞盗取 USDC 抵押品,漏洞在于保险基金允许任何人向其捐赠但未检查捐赠金额为正数;得益于跨链桥速率限制,攻击者仅将 41 万美元 USDC 桥接至以太坊,剩余 149 万美元留在 Dango 并被追回;该漏洞已修复,不影响订单匹配、盈亏结算和清算等其他交易系统功能。
损失金额:$ 1,900,000攻击手法:智能合约业务逻辑漏洞
事件描述:DeFi 借贷协议 HypurrFi 发推表示,hypurr .fi 域名被劫持,团队已将基础设施迁移至 hypurrfi .com,协议本身、用户资金及团队基础设施未受影响。
损失金额:0攻击手法:域名劫持
事件描述:GoPlus 发布安全警报,Adobe 疑似遭攻击,约 1300 万用户数据泄露。用户可能面临伪装 Adobe 客服的钓鱼邮件或电话、工单信息被用于精准社工诈骗、密码撞库等风险。
损失金额:-攻击手法:供应链攻击
事件描述:Huma Finance 在 X 平台发布提醒称,其合作伙伴 Arf 的官方 X 账户 @arf_one 遭到入侵,在账户恢复前请勿与该账户的任何帖子互动。
损失金额:0攻击手法:账号被黑
事件描述:Socket 检测到 npm 核心包 axios 的 1.14.1 版本遭遇活跃的供应链攻击。攻击者通过注入一个今日首次出现的恶意依赖包,向 axios 植入恶意代码。建议使用 axios 的开发者立即固定版本,并审查项目锁定文件。
损失金额:0攻击手法:供应链攻击
事件描述:慢雾科技首席信息安全官 23pds 在 X 平台发文称:“每月下载量高达 9700 万次的 LiteLLM 发生 PyPI 供应链攻击:“通过 pip install litellm 即可窃取敏感信息,包括SSH密钥、云凭据(AWS/GCP/Azure)、Kubernetes 配置、Git 凭据、环境变量(API 密钥)、Shell 历史、加密钱包及数据库密码等。”
损失金额:-攻击手法:PyPI 供应链攻击
事件描述:据 Decrypt 报道,比特币 ATM 运营商 Bitcoin Depot 在提交给美国证券交易委员会(SEC)的文件中披露,公司于 3 月 23 日遭遇安全漏洞,黑客窃取了约 50.9 枚比特币,价值约 366.5 万美元。攻击者侵入了公司的IT系统并获取了数字资产结算账户的凭证,从而在未经授权的情况下转移了资金。Bitcoin Depot 表示已启动应急响应机制,聘请外部网络安全专家调查攻击路径并锁定剩余资产,同时已通知执法部门。公司称客户平台和用户数据未受此次入侵影响。
损失金额:$ 3,665,000攻击手法:凭证窃取
事件描述:DeFi 借贷协议 dTRINITY 在 X 平台披露,昨日,dLEND 在以太坊上的部署遭遇首次存款通胀攻击,导致借贷供应中的 dUSD 资金被耗尽,造成约 25.7 万美元坏账。协议已暂时暂停,团队正积极制定补救措施,并承诺使用内部资金 100% 覆盖损失,坏账偿还将在此公告 24 小时内开始,随后恢复 dLEND。dTRINITY 在 Fraxtal 和 Katana 上的部署未受影响,用户资金安全。各协议部署均保持链隔离的储备、抵押品和借贷存款。
损失金额:$ 257,000攻击手法:存款通胀攻击
事件描述:比特币质押协议 Solv Protocol 发推表示,其 BRO 金库遭遇有限漏洞攻击,影响小于 10 名用户,损失 38.0474 枚 SolvBTC(约 270 万美元)。其他金库和用户资金安全未受影响,并已采取措施防止类似事件再次发生。官方承诺将为受影响用户承担相关损失,并向攻击者表示如及时归还资金将获得 10% 的白帽奖励,可通过私信或向指定地址发送链上消息联系。
损失金额:$ 2,700,000攻击手法:双重铸造
事件描述:比特币支付服务商 Bitrefill 在 X 平台发文披露于 2026 年 3 月 1 日遭受网络攻击导致客户数据泄露,攻击源自一名员工被入侵的笔记本电脑,并导致部分数据库和加密货币钱包被攻击者访问。调查显示,此次攻击手法与朝鲜 DPRK Lazarus/Bluenoroff 黑客组织过去针对加密企业的攻击高度相似,约 18,500 条购买记录涉及有限客户信息(邮箱、加密支付地址及 IP 元数据),其中约 1,000 条记录的客户姓名信息被加密存储,但可能被访问。Bitrefill 表示,客户无需采取特别操作,但建议警惕异常信息。Bitrefill 补充表示,目前已关闭相关系统进行隔离,并与安全专家、链上分析师及执法部门合作,现几乎已恢复正常运营。公司强调,业务长期盈利且资金充足,可吸收此次损失,并将持续强化网络安全措施,包括内部访问控制、监控与应急响应机制。
损失金额:-攻击手法:通过社会工程学实现的员工端点入侵
事件描述:Scroll 在 X 平台提醒称,联合创始人 @shenhaichen 的 X 账户被盗,正在积极努力恢复该账户,用户请勿与任何链接或私信互动。
损失金额:-攻击手法:账号被黑
事件描述:据 Paradex 公告,Mithril 交易机器人的内部系统遭攻击者入侵,导致约 57 个用户子密钥被泄露。这些子密钥虽无法提币,但具备账户交易权限,常用于连接第三方应用与交易机器人。Paradex 已暂停所有 XP 转账并撤销与 Mithril 相关的子密钥。受影响用户仅限于曾授权 Mithril 机器人的账户。官方提醒用户谨慎授权第三方服务,风险需自行评估。
损失金额:-攻击手法:未知
事件描述:据 BlockSec 警报,SynapLogic 合约因 swapExactTokensForETHSupportingFeeOnTransferTokens 函数缺乏关键参数校验,导致攻击者可操控“白名单”逻辑并指定任意收益地址。此外,合约未验证原生代币分发总额是否超出实际支付,使攻击者可超额提取原生代币并同时获得新铸造的 SYP,造成约 18.6 万美元损失。
损失金额:$ 186,000攻击手法:合约漏洞