共有 405 条记录
事件描述:Sui 链上 Haedal Protocol 的 Vault 金库池因 2025 年底升级遗留的跨版本逻辑漏洞被攻击。攻击者通过旧版存款路径铸造超额 LP 份额,再经新版赎回路径提取超额底层资产,造成约 91.5 万美元直接损失。 Haedal 已暂停相关合约,将全额补偿用户损失,并正准备修复升级版本。
损失金额:$ 915,179攻击手法:合约漏洞
事件描述:2026 年 6 月 8 日,OpenMonero P2P 交易平台服务器遭到入侵,黑客获得 root 权限,窃取约 200 XMR。项目方在 Telegram 宣布所有资金丢失,攻击非应用层问题。
损失金额:$ 62,900攻击手法:供应链攻击
事件描述:GoPlus 发布安全警报称,加密 KOL Jadoodoo(@jadoodoo_ )的 X 账号被盗,攻击者正以合作名义疯狂私信粉丝发送钓鱼链接。已有多个 KOL 中招,总损失约 5000 美元。
损失金额:$ 5000攻击手法:社会工程
事件描述:Phala Cloud API 端点存在漏洞,允许攻击者对部分 Offchain KMS CVM 进行未经授权的修改。攻击者向受影响 CVM 部署恶意预启动脚本,可能在 CVM 启动后访问解密的加密环境变量。问题已于 2026 年 6 月 1 日修复并控制,受影响用户/CVM 已通过邮件直接通知。
损失金额:0攻击手法:API 端点漏洞
事件描述:HermesVault(基于 Algorand 的零知识证明隐私协议,用于实现隐私交易)遭遇攻击。攻击者利用提款验证脚本中密钥重置防御逻辑的漏洞,绕过零知识(zk)验证过程,进行了未经授权的提款。事件发生后,协议永久关闭运营。首席工程师 Giulio Pizzini 确认核心 zk 电路安全,但提款辅助脚本存在漏洞。团队已修复问题,并退还大部分资金,同时启动受影响用户的全额退款流程。
损失金额:$ 29,466攻击手法:合约漏洞
事件描述:Echo Protocol 在 Monad 链上的 eBTC 因管理员私钥泄露遭受攻击。攻击者获得铸币权限,凭空 mint 1000 枚无抵押 eBTC(名义价值约 7670 万美元),用其中 45 枚(约 345 万美元)作为抵押在 Curvance 借出约 11.29 WBTC(约 86.7万美元),随后跨链至以太坊换成 ETH,并将约 384 ETH(约 82.1万美元)转入 Tornado Cash 洗钱。剩余 955 枚 eBTC 仍由攻击者控制,存在进一步风险。
损失金额:$ 821,700攻击手法:私钥泄漏
事件描述:Keith Gill(知名为 Roaring Kitty)的验证 X 账户于 2026 年 5 月 11 日疑似遭黑客入侵。攻击者发布 Solana Pump.fun 上新推出的 meme 币 $RKC(Red Kitten Crew)合约地址和相关图片,短暂推高其市值至约 1100-1200 万美元。随后帖子在一小时内被删除,导致代币崩盘 90% 以上。开发者通过 10 个钱包控制约 39.52% 供应量(投入约 1950 美元),抛售后获利超 61 万美元。超 80 个钱包遭受损失,总计约 286 万美元。Keith Gill 尚未就此事件发表任何声明。
损失金额:0攻击手法:X 账号被黑
事件描述:SmartCredit 的 Leveraged Lido 功能模块遭受攻击。攻击者利用该模块的漏洞抽取资金。项目方已暂停 Leveraged Lido 功能,并使用协议的 Loss Provision Fund(损失准备金)全额覆盖受影响用户的损失。
损失金额:$ 72,000攻击手法:合约漏洞
事件描述:Sweat Foundation 遭受攻击,攻击者在约 30 秒内从基金会控制的多个账户中抽走约 13.71 亿 SWEAT 代币(占总供应量约 65%),损失约 350万美元。攻击者利用 SWEAT token 合约漏洞,部署自定义 drainer 合约快速执行抽取,随后尝试通过 Ref Finance 和 Wormhole 转移资金。Sweat 团队迅速暂停合约、冻结攻击者账户,并已恢复所有外部用户余额。
损失金额:$ 3,500,000攻击手法:合约漏洞
事件描述:基于 Sui 区块链的去中心化永续合约交易平台 Aftermath Finance 遭受攻击。其永续合约(perps)协议因费用记账逻辑存在漏洞(具体为允许设置负的 builder code 费用),被攻击者利用。该漏洞使攻击者能够虚增合成抵押品并从协议金库中提取资金。攻击者在约 36 分钟内通过 11 笔交易窃取了约 114 万美元(约 1.14M)USDC。安全公司 Blockaid 实时监测并标记了此次攻击(攻击者地址以0x1a65...2d41e开头)。Aftermath Finance 团队迅速作出响应,暂停了受影响的永续合约产品,并与 Blockaid、CertiK 等安全伙伴合作进行调查。项目方强调,此次事件仅限于永续期货市场,现货交易、AMM 池、afSUI 质押等其他产品未受影响。
损失金额:$ 1,140,000攻击手法:合约漏洞
事件描述:Scallop 的 sSUI Spool 奖励池侧合约(deprecated V2 rewards contract)遭受攻击。攻击者利用奖励累积逻辑中的缺失验证(uninitialized variable / missing validation in update_points 函数),通过少量质押(约 0.2 SUI)生成巨额虚假奖励点数(约 162 万亿),从而提取整个奖励池中剩余的约 15 万 SUI。核心借贷市场、用户存款和其他池子未受影响。项目方迅速冻结受影响合约,承诺从协议 treasury 全额补偿用户损失,并已恢复正常运营。
损失金额:$ 142,000攻击手法:合约漏洞
事件描述:据 Purrlend 官方发布的事故报告,Purrlend 于 4 月 25 日遭遇安全事件,在 HyperEVM 和 MegaETH 上的部署共损失约 152 万美元。攻击者入侵了团队的 2/3 管理员多签钱包,向恶意地址授予了包括 BRIDGE_ROLE 在内的多项管理员权限,随后通过 mintUnbacked 函数无抵押铸造约 200 万枚 pUSDm 和 485 万枚 pUSDC,将其作为抵押品从资金池中借出真实资产。HyperEVM 损失约 120 万美元,MegaETH 损失约 32.5 万美元。Purrlend 已暂停协议、撤销权限,并联系执法部门和区块链分析公司追查资金。事件根源是多签配置缺乏时间锁,而非智能合约逻辑漏洞。团队正在探索补偿方案。
损失金额:$ 1,520,000攻击手法:管理员权限滥用
事件描述:Sui 生态协议 Volo 在 X 平台披露,Volo Vaults 今日遭遇安全漏洞,约 350 万美元资产(WBTC、XAUm 和USDC)被盗。Volo 表示已检测到攻击并立即通知 Sui 基金会及生态合作伙伴,冻结了所有金库以防止进一步损失。
损失金额:$ 3,500,000攻击手法:私钥泄漏
事件描述:前端云平台 Vercel 首席执行官 Guillermo Rauch 发推表示,目前团队正在对公司安全事件进行全面调查。事件起因是某 Vercel 员工使用的 AI 平台客户 Context.ai 被入侵,导致其 Vercel Google Workspace 账户遭攻破。攻击者通过一系列操作进一步获得了环境访问权限。Vercel 所有客户环境变量在静止状态下均完全加密,但平台支持将部分变量标记为「non-sensitive」,攻击者通过枚举方式获得了进一步访问。其行动速度和对 Vercel 架构的理解超出预期。
损失金额:-攻击手法:供应链攻击
事件描述:据 CertiK 监测,NEAR 生态 DeFi 协议 Rhea Finance 发生安全事件,攻击者创建多个假代币合约,并在新建资金池中添加流动性,疑似误导协议预言机与验证层,从而从相关池中提取至少约 760 万美元资产。4 月 18 日,Rhea Finance 就安全事件发布更新称,其借贷市场于 4 月 16 日遭遇未经授权的攻击,其杠杆交易功能遭到攻击。攻击者利用滑点保护机制中的潜在漏洞,从协议的储备池中窃取了约 1840 万美元的资产,导致协议内部出现实际损失,包括储备余额和参与用户受到影响。攻击者已将约 335.9 万 USDC 和 156.4 万 NEAR 存回 RHEA 借贷合约,同时冻结了 434 万 USDT(其中 329.1 万 USDT 由 Tether 冻结在攻击者的钱包中,105.3 万 USDT 冻结在 NEAR Intent 中)。与此同时,为确保资金安全,贷款合约已被冻结,恢复工作仍在进行中。团队正在积极尝试联系攻击者,以追回剩余受影响的资产。此外,团队已向中心化交易所正式启动追踪程序,以确定账户所有者。
损失金额:$ 18,400,000攻击手法:滑点保护逻辑漏洞
事件描述:DeFi 项目 Dango 昨晚在披露安全事件三小时后发布更新称,白帽黑客已全额归还被盗资金并获得漏洞赏金,用户资金完全未受影响。Dango 创始人表示将部署修复程序、增加安全措施并准备重启区块链。此前公告显示,攻击者利用保险基金逻辑漏洞盗取 USDC 抵押品,漏洞在于保险基金允许任何人向其捐赠但未检查捐赠金额为正数;得益于跨链桥速率限制,攻击者仅将 41 万美元 USDC 桥接至以太坊,剩余 149 万美元留在 Dango 并被追回;该漏洞已修复,不影响订单匹配、盈亏结算和清算等其他交易系统功能。
损失金额:$ 1,900,000攻击手法:保险基金逻辑漏洞
事件描述:GoPlus 发布安全警报,Adobe 疑似遭攻击,约 1300 万用户数据泄露。用户可能面临伪装 Adobe 客服的钓鱼邮件或电话、工单信息被用于精准社工诈骗、密码撞库等风险。
损失金额:0攻击手法:供应链攻击
事件描述:DeFi 借贷协议 HypurrFi 发推表示,hypurr .fi 域名被劫持,团队已将基础设施迁移至 hypurrfi .com,协议本身、用户资金及团队基础设施未受影响。
损失金额:0攻击手法:域名劫持
事件描述:Huma Finance 在 X 平台发布提醒称,其合作伙伴 Arf 的官方 X 账户 @arf_one 遭到入侵,在账户恢复前请勿与该账户的任何帖子互动。
损失金额:0攻击手法:账号被黑
事件描述:Socket 检测到 npm 核心包 axios 的 1.14.1 版本遭遇活跃的供应链攻击。攻击者通过注入一个今日首次出现的恶意依赖包,向 axios 植入恶意代码。建议使用 axios 的开发者立即固定版本,并审查项目锁定文件。
损失金额:0攻击手法:供应链攻击