共有 47 条记录
事件描述:DeBank 插件钱包 Rabby 发推称,其 Rabby Swap 智能合约存在漏洞,请使用过它的用户尽快撤销所有链上的 Rabby Swap 批准。据慢雾安全团队分析, Rabby Swap 合约被攻击, 其合约中代币兑换函数直接通过 OpenZeppelin Address library 中的 functionCallWithValue 函数进行外部调用,而调用的目标合约以及调用数据都可由用户传入,但合约中并未对用户传入的参数进行检查,导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。
损失金额:$ 190,000攻击手法:合约漏洞
事件描述:@alxlpsc 在 medium 上披露称 MetaMask 存在严重的隐私泄露问题。漏洞主要是利用了 MetaMask 自动加载 NFT 图片 URL。基本的攻击思路:攻击者在可以将 NFT 的 URI 设置成自己可控的服务器网址,并将 NFT transfer 给目标账户;当用户登录 MetaMask 时,MetaMask 会自动扫描账户上所拥有的 NFT,并发起指向攻击者服务器的 HTTP 请求;攻击者则可以从访问日志中得到受害者的 IP 信息。
损失金额:-攻击手法:信息泄露
事件描述:Dharma 钱包官方发推称,出现宕机情况。后 Dharma 更新推特称,已经恢复正常,所有资金都是安全的。
损失金额:-攻击手法:宕机
事件描述:Chivo 钱包是萨尔瓦多政府为推行比特币法案而在 9 月 7 日发布的国家级数字钱包,为此,萨尔瓦多承诺,下载并认证的 Chivo 钱包用户将获得 30 美元的比特币奖励。此举使这个萨尔瓦多官方钱包在 1 个月内的用户量超过 200 万人。在 10 月 9 日至 10 月 14 日期间,萨尔瓦多的人权组织 Cristosal 收到了 755 份关于萨尔瓦多人报告 Chivo 钱包身份被盗的通知。
损失金额:$ 22,650攻击手法:钱包被盗
事件描述:DeFi 保险协议 Nexus Mutual 在推特上表示,其创始人 Hugh Karp 的个人地址被一位平台用户攻击,被盗 37 万 NXM,损失超过 800 万美元。官方表示这是一次具有针对性的攻击,只有 Karp 的地址收到影响,Nexus Mutual 或其他成员没有后续风险。 官方称,Karp 使用的是硬件钱包,攻击者获得了对他电脑的远程访问权限,并修改了钱包插件 MetaMask,欺骗他签署了交易,将资金转移到攻击者自己的地址。这位攻击者在 11 天前完成了 KYC,然后在 12 月 3 日换了一个新地址。
损失金额:370,000 NXM攻击手法:权限被盗
事件描述:11 月 9 日消息,名为 “aaron67” 的用户发文讲述其 BSV 被盗经历称,请立即停止使用 ElectrumSV 实现的 multisig accumulator 多签方案。该方案的锁定脚本有严重 bug,以至于其于 11 月 6 号被盗了 600 BSV。事件发生后,该用户已第一时间联系了 ElectrumSV 的作者 Roger Taylor,随后这个严重的 bug 被确认。与此同时,Note.SV 开发者表示,已第一时间做了分析找到了 bug 源头,并且通知了钱包作者和社区用户。
损失金额:600 BSV攻击手法:安全漏洞
事件描述:针对 Ledger 钱包所有者的网络钓鱼和诈骗正在增加,其中一个诈骗网站从受害者处获得了超过 1150000 枚 XRP。这一骗局利用钓鱼邮件将用户引导到一个假冒的 Ledger 网站。在这个假网站上,受害者被诱骗下载了冒充为安全更新的恶意软件,从而导致 Ledger 钱包余额悉数被盗。据社区运营的欺诈识别网站 xrplorer 称,从骗局中获取的 XRP 通过 5 笔存款被发送到 Bittrex,但该交易所“无法及时冻结 XRP”。
损失金额:1,150,000 XRP攻击手法:钓鱼攻击
事件描述:ZDNet 一项调查显示,黑客通过引诱用户安装假软件更新,从比特币钱包 Electrum 的用户那里窃取了 2200 万美元。而该手法最高出现在 2018 年。而自两年前首次发现这种攻击以来,Electrum 团队已经采取了一些措施来防止这种攻击。但这种攻击仍然适用于使用旧版本应用程序的用户。
损失金额:$ 22,000,000攻击手法:假软件更新
事件描述:GitHub 用户 ”1400 BitcoinStolen“ 表示其比特币巨额款项消失在黑客攻击中。该用户使用的是比特币钱包 Electrum 软件,该用户一直没有安全更新此软件,因此当他转移比特币时提示更新和修补潜在问题,但当他根据提示操作时,该软件利用了一个漏洞连接了黑客的服务器,1400 枚比特币(价值 1600 万美元)被存入了黑客的钱包。
损失金额:$ 16,000,000攻击手法:假软件更新
事件描述:加密钱包提供商 Ledger 最近出现了数据库泄露以及钱包漏洞,使用户的比特币面临风险。Ledger 首席技术官表示,就数据库泄露而言,攻击者通过第三方在我们网站上配置错误的 API 密钥访问了我们的电子商务和营销数据库的一部分,允许未经授权访问我们客户的联系方式和订单数据。Ledger 在同一天修复了这个问题,并禁用了 API 密钥。
损失金额:-攻击手法:信息泄露
事件描述:一位加密货币交易员发推表示,有黑客入侵其 Ledger 加密钱包,盗走了超过 10 万枚 ERC-20 代币。此外,该名交易员表示,他的账户处于安全状态,因为上周他刚刚对账户密码进行了重置。
损失金额:100,000 ERC-20攻击手法:未知
事件描述:2020 年 7 月 25 日,Ledger 的数据库存在未授权访问,导致数据泄漏。泄漏的数据包括电子商务和营销数据,但是支付信息、加密资产是安全的。Ledger 的公告宣称是利用了 API Key 实现数据库的未授权访问,目前这个 API Key 已经失效。
损失金额:-攻击手法:信息泄露
事件描述:攻击者制作恶意的 Ledger Chrome 扩展,并通过 Google 搜索广告投放等方式,欺骗用户下载恶意的 Ledger Chrome 扩展,以此盗取用户的加密货币,目前已知至少 140 万 XRP 被盗。
损失金额:1,400,000 XRP攻击手法:钓鱼攻击
事件描述:黑客利用 IOTA 官方钱包应用程序的漏洞窃取用户资金后,IOTA 于本周关闭了整个网络,损失估计为 8550000 枚 MIOTA(价值 230 万美金)
损失金额:8,550,000 MIOTA攻击手法:应用程序漏洞
事件描述:Electrum 遭遇“更新钓鱼”盗币行为。(该“更新钓鱼”盗币攻击还在继续,老版本(小于 3.3.4)还处于威胁之中。)
损失金额:2,000 BTC攻击手法:钓鱼攻击
事件描述:Gatehub 钱包数据泄露,导致 140 万用户密码泄露。
损失金额:-攻击手法:信息泄露
事件描述:ZenGo 的联合创始人 Ouriel Ohayon 在 Twitter 上报告称,钱包扩展 SAFU Wallet 显然是通过向用户注入恶意代码来窃取大量资金。一位白帽黑客表示,通过检查 SAFU 代码,他发现他们在每个正在加载的页面中 动态注入了这个脚本https://safuwallet.tk/inside.js 。同时,他们使用混淆工具以使其难以看到。尽管如此,白帽黑客解释说,他们的目标是 MEW、Index 和 Binance,使用后台脚本将信息发送到同一域的 4 个不同端点。因此,创建的钱包会自动共享给他们。 目前,在社区要求删除扩展程序后,SAFU 钱包 Google Chrome 网站无法使用。
损失金额:-攻击手法:恶意代码注入攻击
事件描述:Fusion 发布据官方公告,Fusion 交易钱包(0x8e6bDa71f3f0F49dDD29969De79aFCFac4457379)于 9 月 28 日被攻击,导致 1000 万本机 FSN 和 350 万 ERC20 FSN 令牌被盗,价值约 557 万美元。据悉,该钱包遭到攻击的原因是私钥被盗。针对被盗事件,Fusion Foundation 官方也已经将所有剩余资金转移到冷钱包中。同时,Fusion 官方也正在追踪异常交易,并且不确定的证据表明盗窃可能是由 Fusion Foundation 相关人员造成的。
损失金额:10,000,000 FSN + 3,500,000 ERC20 FSN攻击手法:私钥泄露
事件描述:My Dash Wallet 在线钱包网页被嵌入恶意脚本,该恶意脚本会将用户 DASH 币账户余额、keystore 或私钥、种子等关键信息上传至 https://api.dashcoinanalytics.com/stats.php。
损失金额:-攻击手法:恶意代码注入攻击
事件描述:硬件钱包 Trezor 被曝仅用 5 分钟即可提取出密钥种子,该漏洞无法通过补丁修复。
损失金额:-攻击手法:钱包漏洞