共有 50 条记录
事件描述:Aptos 生态钱包 Petra 发推称,Aptos Labs 团队在 10 月 20 日发现 Petra 上的一个漏洞,该助记词与现有钱包内的帐户创建有关,页面上显示的助记词可能会不准确。访问准确的 12 个助记词短语的过程为,设置、管理帐户、输入密码,然后单击显示密钥恢复短语。当前,Petra 已修复该漏洞。
损失金额:-攻击手法:助记词漏洞
事件描述:据钱包 BitKeep 官方消息,BitKeep Swap 遭黑客攻击,开发团队已进行紧急处理,黑客的攻击行为已被阻止,攻击集中于 BNB Chain,造成约 100 万美元的损失。据慢雾 MistTrack 监测,Bitkeep Swap 攻击者已将 4300 枚 BNB(约合 118 万美元)被盗资金以每笔 100 BNB 的形式转移至 Tornado Cash。
损失金额:$ 1,180,000攻击手法:合约漏洞
事件描述:DeBank 插件钱包 Rabby 发推称,其 Rabby Swap 智能合约存在漏洞,请使用过它的用户尽快撤销所有链上的 Rabby Swap 批准。据慢雾安全团队分析, Rabby Swap 合约被攻击, 其合约中代币兑换函数直接通过 OpenZeppelin Address library 中的 functionCallWithValue 函数进行外部调用,而调用的目标合约以及调用数据都可由用户传入,但合约中并未对用户传入的参数进行检查,导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。
损失金额:$ 190,000攻击手法:合约漏洞
事件描述:据 TokenPocket 官方公告,目前官网 tokenpocket.pro 受到异常流量攻击,技术团队正在进行紧急维护。技术维护期间,TokenPocket 网站将不能正常访问,用户资产安全不会受到影响。
损失金额:-攻击手法:异常流量攻击
事件描述:@alxlpsc 在 medium 上披露称 MetaMask 存在严重的隐私泄露问题。漏洞主要是利用了 MetaMask 自动加载 NFT 图片 URL。基本的攻击思路:攻击者在可以将 NFT 的 URI 设置成自己可控的服务器网址,并将 NFT transfer 给目标账户;当用户登录 MetaMask 时,MetaMask 会自动扫描账户上所拥有的 NFT,并发起指向攻击者服务器的 HTTP 请求;攻击者则可以从访问日志中得到受害者的 IP 信息。
损失金额:-攻击手法:信息泄露
事件描述:Dharma 钱包官方发推称,出现宕机情况。后 Dharma 更新推特称,已经恢复正常,所有资金都是安全的。
损失金额:-攻击手法:宕机
事件描述:Chivo 钱包是萨尔瓦多政府为推行比特币法案而在 9 月 7 日发布的国家级数字钱包,为此,萨尔瓦多承诺,下载并认证的 Chivo 钱包用户将获得 30 美元的比特币奖励。此举使这个萨尔瓦多官方钱包在 1 个月内的用户量超过 200 万人。在 10 月 9 日至 10 月 14 日期间,萨尔瓦多的人权组织 Cristosal 收到了 755 份关于萨尔瓦多人报告 Chivo 钱包身份被盗的通知。
损失金额:$ 22,650攻击手法:钱包被盗
事件描述:DeFi 保险协议 Nexus Mutual 在推特上表示,其创始人 Hugh Karp 的个人地址被一位平台用户攻击,被盗 37 万 NXM,损失超过 800 万美元。官方表示这是一次具有针对性的攻击,只有 Karp 的地址收到影响,Nexus Mutual 或其他成员没有后续风险。 官方称,Karp 使用的是硬件钱包,攻击者获得了对他电脑的远程访问权限,并修改了钱包插件 MetaMask,欺骗他签署了交易,将资金转移到攻击者自己的地址。这位攻击者在 11 天前完成了 KYC,然后在 12 月 3 日换了一个新地址。
损失金额:370,000 NXM攻击手法:权限被盗
事件描述:11 月 9 日消息,名为 “aaron67” 的用户发文讲述其 BSV 被盗经历称,请立即停止使用 ElectrumSV 实现的 multisig accumulator 多签方案。该方案的锁定脚本有严重 bug,以至于其于 11 月 6 号被盗了 600 BSV。事件发生后,该用户已第一时间联系了 ElectrumSV 的作者 Roger Taylor,随后这个严重的 bug 被确认。与此同时,Note.SV 开发者表示,已第一时间做了分析找到了 bug 源头,并且通知了钱包作者和社区用户。
损失金额:600 BSV攻击手法:安全漏洞
事件描述:针对 Ledger 钱包所有者的网络钓鱼和诈骗正在增加,其中一个诈骗网站从受害者处获得了超过 1150000 枚 XRP。这一骗局利用钓鱼邮件将用户引导到一个假冒的 Ledger 网站。在这个假网站上,受害者被诱骗下载了冒充为安全更新的恶意软件,从而导致 Ledger 钱包余额悉数被盗。据社区运营的欺诈识别网站 xrplorer 称,从骗局中获取的 XRP 通过 5 笔存款被发送到 Bittrex,但该交易所“无法及时冻结 XRP”。
损失金额:1,150,000 XRP攻击手法:钓鱼攻击
事件描述:ZDNet 一项调查显示,黑客通过引诱用户安装假软件更新,从比特币钱包 Electrum 的用户那里窃取了 2200 万美元。而该手法最高出现在 2018 年。而自两年前首次发现这种攻击以来,Electrum 团队已经采取了一些措施来防止这种攻击。但这种攻击仍然适用于使用旧版本应用程序的用户。
损失金额:$ 22,000,000攻击手法:假软件更新
事件描述:加密钱包提供商 Ledger 最近出现了数据库泄露以及钱包漏洞,使用户的比特币面临风险。Ledger 首席技术官表示,就数据库泄露而言,攻击者通过第三方在我们网站上配置错误的 API 密钥访问了我们的电子商务和营销数据库的一部分,允许未经授权访问我们客户的联系方式和订单数据。Ledger 在同一天修复了这个问题,并禁用了 API 密钥。
损失金额:-攻击手法:信息泄露
事件描述:GitHub 用户 ”1400 BitcoinStolen“ 表示其比特币巨额款项消失在黑客攻击中。该用户使用的是比特币钱包 Electrum 软件,该用户一直没有安全更新此软件,因此当他转移比特币时提示更新和修补潜在问题,但当他根据提示操作时,该软件利用了一个漏洞连接了黑客的服务器,1400 枚比特币(价值 1600 万美元)被存入了黑客的钱包。
损失金额:$ 16,000,000攻击手法:假软件更新
事件描述:一位加密货币交易员发推表示,有黑客入侵其 Ledger 加密钱包,盗走了超过 10 万枚 ERC-20 代币。此外,该名交易员表示,他的账户处于安全状态,因为上周他刚刚对账户密码进行了重置。
损失金额:100,000 ERC-20攻击手法:未知
事件描述:2020 年 7 月 25 日,Ledger 的数据库存在未授权访问,导致数据泄漏。泄漏的数据包括电子商务和营销数据,但是支付信息、加密资产是安全的。Ledger 的公告宣称是利用了 API Key 实现数据库的未授权访问,目前这个 API Key 已经失效。
损失金额:-攻击手法:信息泄露
事件描述:攻击者制作恶意的 Ledger Chrome 扩展,并通过 Google 搜索广告投放等方式,欺骗用户下载恶意的 Ledger Chrome 扩展,以此盗取用户的加密货币,目前已知至少 140 万 XRP 被盗。
损失金额:1,400,000 XRP攻击手法:钓鱼攻击
事件描述:黑客利用 IOTA 官方钱包应用程序的漏洞窃取用户资金后,IOTA 于本周关闭了整个网络,损失估计为 8550000 枚 MIOTA(价值 230 万美金)
损失金额:8,550,000 MIOTA攻击手法:应用程序漏洞
事件描述:Electrum 遭遇“更新钓鱼”盗币行为。(该“更新钓鱼”盗币攻击还在继续,老版本(小于 3.3.4)还处于威胁之中。)
损失金额:2,000 BTC攻击手法:钓鱼攻击
事件描述:Gatehub 钱包数据泄露,导致 140 万用户密码泄露。
损失金额:-攻击手法:信息泄露
事件描述:ZenGo 的联合创始人 Ouriel Ohayon 在 Twitter 上报告称,钱包扩展 SAFU Wallet 显然是通过向用户注入恶意代码来窃取大量资金。一位白帽黑客表示,通过检查 SAFU 代码,他发现他们在每个正在加载的页面中 动态注入了这个脚本https://safuwallet.tk/inside.js 。同时,他们使用混淆工具以使其难以看到。尽管如此,白帽黑客解释说,他们的目标是 MEW、Index 和 Binance,使用后台脚本将信息发送到同一域的 4 个不同端点。因此,创建的钱包会自动共享给他们。 目前,在社区要求删除扩展程序后,SAFU 钱包 Google Chrome 网站无法使用。
损失金额:-攻击手法:恶意代码注入攻击