共有 2002 条记录
事件描述:据 BlockSec 警报,SynapLogic 合约因 swapExactTokensForETHSupportingFeeOnTransferTokens 函数缺乏关键参数校验,导致攻击者可操控“白名单”逻辑并指定任意收益地址。此外,合约未验证原生代币分发总额是否超出实际支付,使攻击者可超额提取原生代币并同时获得新铸造的 SYP,造成约 18.6 万美元损失。
损失金额:$ 186,000攻击手法:合约漏洞
事件描述:据 PeckShieldAlert 监测,Makinafi 协议遭黑客攻击,损失约 1299 枚以太坊(约 413 万美元)。目前被盗资金存放在两个地址:0xbed2...dE25(约 330 万美元)和 0x573d...910e(约 88 万美元)。
损失金额:$ 4,130,000攻击手法:基于闪电贷的预言机价格操纵攻击
事件描述:部署于 Arbitrum 上的 FutureSwap 协议在四天前遭首次攻击后,再次被黑客利用重入漏洞攻击,损失约 7.4 万美元。攻击者先在 3 天前通过重入函数 0x5308fcb1 超额铸造 LP 代币,待冷却期结束后赎回超额抵押资产实现获利。
损失金额:$ 74,000攻击手法:重入攻击
事件描述:区块链验证协议 Truebit 疑似遭黑客攻击损失 8535 枚 ETH,价值约 2644 万美元。
损失金额:$ 26,440,000攻击手法:未知
事件描述:基于 Polymarket 的交易 Bot 项目 Polycule 遭黑客攻击。Polycule 团队表示,本次事件中约 23 万美元的用户资金受到影响,目前相关 Bot 已下线,补丁修复与安全审计工作预计将于本周末前完成。
损失金额:$ 230,000攻击手法:合约漏洞
事件描述:CertiK Alert 发推表示,The Daily Ape 创始人 Darren Lau 的 X 账号目前已被黑客入侵。CertiK 安全团队提醒用户在账号恢复控制前,不要点击任何链接或批准任何交易,保持警惕。
损失金额:-攻击手法:X 账号被黑
事件描述:据 CertiK Alert 监测,其已检测到 Arbitrum 上与 TMX 相关合约存在约 140 万美元漏洞。在漏洞利用循环中,攻击者铸造并质押 TMX LP 代币(使用 USDT),然后将 USDT 兑换成 USDG,解除质押,并卖出更多 USDG。
损失金额:$ 1,400,000攻击手法:合约漏洞
事件描述:Fusion 发布安全更新称,其 IPOR USDC Fusion Optimizer 中的 Arbitrum Vault 存在漏洞。IPOR 团队于 1 月 6 日 接到通报并确认,该漏洞已导致约 33.6 万美元的 USDC 损失。此次漏洞利用仅影响 一个特定的旧版 Fusion Vault,由于该 Vault 具有独特配置,这是唯一一个容易受到该攻击路径影响的资金池。据慢雾(SlowMist) 进一步分析,事件的根本原因在于:项目团队通过 EIP‑7702 控制的 EOA 账户 所委托的基础合约存在安全缺陷,该缺陷允许任意外部调用。攻击者正是利用这一问题,创建并配置了针对 Plasma Vault 的恶意熔断合约,从而实现对资金的非法提取。官方表示,本次损失金额仅占 Fusion 所担保资金总额的不足 1%。目前,团队正与 Security Alliance 合作,持续追踪资金流向并尝试追回资产。IPOR DAO 将从财库中弥补资金缺口,所有受影响的存款人均可获得全额补偿。此外,据 CertiK 监测,Fusion 被盗资金中约 267,000 美元 已被跨链转移至以太坊网络,并进一步流入 Tornado Cash。1 月 7 日,IPOR 团队发推表示资金已追回 ,并已与白帽方达成 10% 的赏金协议,由 IPOR DAO 承担。本次事件已作为一次善意的白帽安全事件圆满结束。
损失金额:$ 336,000攻击手法:合约漏洞
事件描述:比特币 RGB 协议、闪电网络稳定币支付基础设施 Bitlight Labs X 账号疑似被盗,发布 Meme 代币相关信息。
损失金额:-攻击手法:账号被黑
事件描述:Arbitrum (ARB) 上检测到多笔涉及代理合约的可疑交易,预计造成约 150 万美元损失。初步分析表明,USDGambit 和 TLP 项目的单一部署者可能已失去对其账户的访问权限。随后,攻击者部署了一个新合约,并更新了代理管理员(ProxyAdmin) 权限以获取控制权。被盗资金随后被桥接至 ETH 网络,并存入 Tornado Cash。
损失金额:$ 1,500,000攻击手法:权限管理漏洞
事件描述:据 TenArmorAlert 监测,其已检测到 BSC 上涉及 OLY 的三明治攻击,损失约 6.34 万美元。
损失金额:$ 63,400攻击手法:三明治攻击
事件描述:SlowMist 团队发布安全通告称,其已识别到 HitBTC 交易平台存在潜在严重漏洞,并已通过私信渠道提前负责任披露,但截至目前尚未收到对方回应。团队呼吁 HitBTC 尽快联系以协商后续修复措施。
损失金额:-攻击手法:安全漏洞
事件描述:部署于 Story Protocol 上的 Unleash Protocol 项目遭遇未经授权的合约升级并被恶意转移用户资产。攻击者通过操控其多签治理权限实施升级,导致 WIP、USDC、WETH、stIP 及 vIP 等资产被盗并跨链转移至外部地址。当前确认损失约 390 万美元。Unleash 已暂停所有操作,并启动全面调查及审计程序,呼吁用户暂勿交互其合约。Story Protocol 本身未受影响。
损失金额:$ 3,900,000攻击手法:权限被盗
事件描述:BSC 链上未知智能合约 MSCST 遭遇闪电贷攻击,预计造成约 13 万美元损失。该漏洞源于 MSCST 合约中releaseReward() 函数缺失访问控制(ACL),使得攻击者能够操纵 PancakeSwap 流动性池(0x12da) 中 GPC 代币的价格。
损失金额:$130,000攻击手法:闪电贷攻击
事件描述:慢雾创始人余弦在 X 平台发文表示,正在跟进 DeBot 事件,看链上情况,Debot 相关的用户私钥被盗,黑客目前获利 25.5 万美元资产,还在持续盗窃中。此前,针对部分社区用户称 DeBot 钱包疑似遭到黑客入侵被盗,DeBot 官方回应称安全钱包地址运行一切正常,未受任何影响,已经注意到部分地址的相关情况,正在积极跟进并妥善处理。12 月 30 日,Debot 所有赔偿申请已全部发放完毕。团队表示未来若再遇安全问题,将继续承诺100%赔付。
损失金额:$ 255,000攻击手法:私钥泄漏
事件描述:Flow 基金会发文称,攻击者利用 Flow 执行层的一个漏洞,在验证者执行协调停止操作之前,将约 390 万美元的资产转移到了网络外。此次攻击并未影响现有用户的余额。所有用户的存款均完好无损。
损失金额:$ 3,900,000攻击手法:执行层漏洞
事件描述:Trust Wallet 发布官方消息,确认了 Trust Wallet 浏览器扩展程序 2.68 版本存在安全风险,提醒所有在使用 2.68 版本的用户应立即禁用该版本并升级至 2.69 版本。据慢雾分析,此次后门事件源于对 Trust Wallet 扩展内部代码库(分析服务逻辑)的恶意源代码修改,而非引入已被篡改的通用第三方包(如恶意 npm 包)。攻击者直接篡改了应用程序自身的代码,利用合法的 PostHog 库将分析数据导向恶意服务器。截止12 月 31 日,该事件已确认影响 2520 个钱包地址,损失总额约 850 万美元。初步调查显示该攻击与 11 月发生的 Sha1-Hulud 行业级供应链事件有关。目前 Trust Wallet 已回滚插件至安全版本 2.69,并启动受害用户赔付流程。
损失金额:$ 8,500,000攻击手法:恶意代码注入攻击
事件描述:据慢雾 MistEye 安全监控系统监测,发现与 @futureswapx 相关的潜在可疑活动。经分析,事件根源在于攻击者创建恶意提案,并利用闪电贷进行投票,最终使攻击合约获得权限,从而转移其他用户的代币。
损失金额:$830,000攻击手法:治理攻击
事件描述:慢雾向加密交易所 ICRYPEX Global 发送安全通知,称已发现其潜在严重漏洞。
损失金额:-攻击手法:安全漏洞
事件描述:据派盾监测,Yearn Finance V1 遭遇黑客攻击,造成总计约 30 万美元的损失。攻击者已将窃取的资金兑换成 103 枚 ETH,这些资金目前存于地址:0x0F21...4066。
损失金额:$ 300,000攻击手法:未知