共有 2105 条记录
事件描述:Butter Bridge V3.1(MAP Protocol 和 Butter Network 旗下跨链桥)遭遇攻击。攻击者利用 OmniServiceProxy 合约中 retryMessageIn 函数的 abi.encodePacked 哈希碰撞漏洞(动态字节字段无长度前缀导致不同数据打包出相同哈希),伪造跨链重试消息,绕过验证,在 Ethereum 和 BSC 上铸造了约 1 quadrillion(10^15)MAPO 代币(约为合法流通量 ~2.08 亿的 480 万倍)。攻击者随后将约 10 亿假币倾销到 Uniswap V4 ETH/MAPO 池中,抽取约 $180,000 流动性(≈52.21 ETH)。项目方迅速暂停桥和相关兑换功能,正在进行修复、审计和重新部署。待处理兑换的用户资金安全,剩余约 999 万亿假币仍在攻击者钱包中,存在持续稀释风险。
损失金额:$ 180,000攻击手法:合约漏洞
事件描述:RetoSwap(基于 Haveno 交易协议的 Tor 网络 P2P 多签 DEX,主要用于 Monero 交易)遭到活跃攻击。攻击者在交易过程中发送伪造的、顺序错误的 ACK 消息,冒充仲裁者(arbitrator),诱导客户端将仲裁者节点地址更新为攻击者控制的地址,从而在受害者存入资金之前创建被篡改的多签钱包。攻击主要影响加密货币对换交易。RetoSwap 迅速封禁攻击者的 Onion 地址,通过强制客户端版本升级暂停所有交易,并正在开发补丁及评估用户资金追回方案。共损失约 7,000 XMR。
损失金额:$ 2,700,000攻击手法:协议逻辑漏洞
事件描述:Base 链上的 AI 加密交易代理平台 Bankr 遭遇社会工程攻击。攻击者通过针对 Grok 与 Bankrbot 之间自动化代理信任层的提示注入手法(包括 Morse code 等恶意输入),诱导系统执行未经授权的交易签名,从而访问了 14 个用户钱包并进行资金转移。Bankr 官方暂停相关功能,进行调查,并承诺从国库全额赔偿所有损失。
损失金额:$ 440,000攻击手法:社会工程
事件描述:HermesVault(基于 Algorand 的零知识证明隐私协议,用于实现隐私交易)遭遇攻击。攻击者利用提款验证脚本中密钥重置防御逻辑的漏洞,绕过零知识(zk)验证过程,进行了未经授权的提款。事件发生后,协议永久关闭运营。首席工程师 Giulio Pizzini 确认核心 zk 电路安全,但提款辅助脚本存在漏洞。团队已修复问题,并退还大部分资金,同时启动受影响用户的全额退款流程。
损失金额:$ 29,466攻击手法:合约漏洞
事件描述:Blockaid 检测到 Verus-Ethereum Bridge(Verus 到 Ethereum 跨链桥)正在遭受攻击。攻击者已抽走约 1158 万美元资产(包括约 1625 ETH、103.6 tBTC 和 14.7万 USDC)。部分资金通过 Uniswap 等 DEX 兑换并集中到 drainer 钱包。事件影响跨链桥基础设施,并非 Verus 主链核心协议。此前项目方刚发布紧急更新,但仍未能阻止此次利用。资金目前仍处于攻击者控制中。5 月 22 日,据派盾监测,Verus 跨链桥攻击者已向团队地址返还 4052.4 枚 ETH,约 850 万美元,占被盗总额的 75%,剩余 25% 约 1350 枚 ETH 作为赏金保留在攻击者钱包中。
损失金额:$ 11,580,000攻击手法:合约漏洞
事件描述:Echo Protocol 在 Monad 链上的 eBTC 因管理员私钥泄露遭受攻击。攻击者获得铸币权限,凭空 mint 1000 枚无抵押 eBTC(名义价值约 7670 万美元),用其中 45 枚(约 345 万美元)作为抵押在 Curvance 借出约 11.29 WBTC(约 86.7万美元),随后跨链至以太坊换成 ETH,并将约 384 ETH(约 82.1万美元)转入 Tornado Cash 洗钱。剩余 955 枚 eBTC 仍由攻击者控制,存在进一步风险。
损失金额:$ 821,700攻击手法:私钥泄漏
事件描述:THORChain 的一个 Asgard 金库被攻破,攻击者同时从多个支持链(至少 9 条)提取资金,总损失约 1000-1100 万美元(包括约 36.75 BTC ≈$3M 及其他 EVM 链代币)。协议暂停交易,用户资金安全,仅协议自有资金受影响。攻击疑似与金库 churn(轮换/迁移)过程中的地址投毒或 GG20 TSS 实现漏洞有关,导致密钥材料泄露并重构私钥。THORChain 团队确认事件,正在调查并推出恢复门户,用户可撤销恶意授权并申请退款(仅协议资金受影响,用户 LP/资金未丢失)。
损失金额:$ 10,700,000攻击手法:GG20 TSS 漏洞
事件描述:Adshares 桥(Bridge/Wrapper)于 2026 年 5 月 15 日在 Ethereum 上被利用。攻击者利用桥铸币 EOA 签署了三笔 wrapTo() 调用,这些调用绑定了 Adshares 主链上不存在的原生交易 ID,从而铸造了大量虚假 wrapped ADS(wADS:约10万×2 + 100万)。随后攻击者在 Uniswap V4 等平台抛售假代币,从流动性中抽走约 62.8 万美元(含 148.5 ETH + 约 30.5 万美元 USDC)。安全研究员迅速标记事件,项目方随后在链上发布白帽披露消息,提供 10% 赏金换取归还 90% 资金。
损失金额:$ 628,000攻击手法:桥验证绕过
事件描述:TON 网络扩展项目 TAC 的跨链层 TON 侧遭外部攻击者利用,损失约 280 万美元的 USDT、BLUM 和tsTON。TAC 代币、TON 本身以及从以太坊跨链过来的 ERC-20 代币未受影响。桥接服务已暂停,团队正在进行取证分析和修复,并计划通过基金会 TAC 代币储备的合法结构化出售来补偿用户并恢复流动性。团队将与执法部门、安全伙伴合作追踪资金,并在 48 小时内发布事后分析报告。
损失金额:$ 2,800,000攻击手法:合约漏洞
事件描述:跨链聚合协议 Transit Finance 的旧版(2022 年部署并已弃用)TRON 网络智能合约遭利用,黑客从中抽走约 188 万美元的 DAI 资产。资金随后转移至以太坊地址。项目方确认这是历史遗留合约漏洞,当前版本合约安全,已完成隔离修复。他们承诺全额补偿受影响用户,并向攻击者地址发送链上消息,提供 48 小时内返还资金的赏金,否则将采取法律行动。
损失金额:$ 1,880,000攻击手法:合约漏洞
事件描述:ShapeShift 的 FOX Colony(FOX 代币持有者的社区治理和参与计划)在 Arbitrum 网络上因 Colony Network 智能合约的元交易(meta-transaction)漏洞被攻击。攻击者利用 executeMetaTransaction 函数的自调用及 DSAuth 授权机制的语义冲突,在单一交易中劫持 resolver 并通过 delegatecall 抽干合约中的约 13.27 万美元 USDC 和 FOX 代币。核心交易所平台未受影响,此事件主要影响 DAO/社区资金。
损失金额:$ 132,700攻击手法:合约漏洞
事件描述:Aurellion Labs 的 Diamond Proxy 合约(EIP-2535 标准)因 SafeOwnable Facet 中的 initialize(address) 函数未正确保护(未标记为已初始化,_initialized 槽仍为 0),尽管已设置 owner 但初始化检查失败。攻击者调用 initialize() 成为新 owner,随后通过 diamondCut 注入恶意 Facet(包含 pullERC20 等函数),利用用户历史 USDC 授权(approve)从多个钱包拉取资金。项目方确认事件后暂停运营,承诺补偿受影响用户,并建议撤销旧授权。
损失金额:$ 455,003攻击手法:合约漏洞
事件描述:SQ Protocol 在 BNB Chain上的 Staking 合约被攻击者利用硬编码的 owner 后门(hardcoded owner backdoor)进行攻击。攻击者通过特殊交易(type-0x4 + authorizationList)获得权限,接管所有权、铸造假质押凭证、赎回 USDT,并将 SQi 代币抛售到流动性池,总计获利约 34.61 万美元。攻击主要针对已验证的 Staking 合约(地址0x404404a845fff0201f3a4d419b4839fc419c99f7)。
损失金额:$ 346,100攻击手法:合约漏洞
事件描述:Huma Finance 在 Polygon 上的已弃用 v1 BaseCreditPool 合约因逻辑漏洞被利用,从协议费用和资金池所有者费用中转出约 101,400 枚 USDC 和 USDC.e。用户资金无风险,PST 代币不受影响。团队原本已在逐步下线 v1 资金池,已立即完全暂停所有 v1 合约。其 Solana 上的 v2 系统为完全重写,不受影响且保持安全。
损失金额:$ 101,400攻击手法:合约漏洞
事件描述:Ink Finance 在 Polygon 上的 Workspace Treasury Proxy 合约因白名单验证逻辑漏洞被利用。攻击者部署了一个与白名单 claimer 地址匹配的恶意合约,通过 claim() 函数绕过认证检查,并使用约 25,000 美元 Balancer V2 闪电贷放大提取,合计转出约 140,000 美元 USDT。
损失金额:$ 140,000攻击手法:合约漏洞
事件描述:Keith Gill(知名为 Roaring Kitty)的验证 X 账户于 2026 年 5 月 11 日疑似遭黑客入侵。攻击者发布 Solana Pump.fun 上新推出的 meme 币 $RKC(Red Kitten Crew)合约地址和相关图片,短暂推高其市值至约 1100-1200 万美元。随后帖子在一小时内被删除,导致代币崩盘 90% 以上。开发者通过 10 个钱包控制约 39.52% 供应量(投入约 1950 美元),抛售后获利超 61 万美元。超 80 个钱包遭受损失,总计约 286 万美元。Keith Gill 尚未就此事件发表任何声明。
损失金额:$ 2,860,000攻击手法:账号被黑
事件描述:Renegade 协议的遗留 V1 版本在 Arbitrum 上的 Dark Pool 代理合约遭受攻击。攻击者利用一个未受保护的初始化函数(unprotected initializer),结合 2025 年 4 月一次迁移导致的版本计数器不同步问题,通过注入恶意逻辑并使用 delegatecall,在代理合约的存储中执行权限操作,从合约中提取了约 20.9 万美元的 27 种 ERC-20 代币。攻击者随后以白帽身份与项目方链上协商,项目方提出“归还 90% 资金、保留 10% 作为白帽赏金、不采取法律行动”的方案。白帽黑客在 45 分钟内归还约 19 万美元,所有受影响用户将获得全额补偿。项目方确认问题仅限于 V1 Arbitrum 部署,已暂停相关基础设施,其他部署安全无风险。
损失金额:$ 209,000攻击手法:合约漏洞
事件描述:TrustedVolumes(1inch Fusion 等协议的重要流动性提供商/Resolver)遭黑客利用其自定义 RFQ Swap Proxy 合约漏洞攻击,损失约 670 万美元。项目方在 X 上确认事件,并公开存放被盗资金的三个地址,表示愿意与攻击者就漏洞赏金进行建设性沟通和协商解决。1inch 官方表示其协议、基础设施和用户资金不受影响,此次攻击仅限于 TrustedVolumes 控制的自定义组件。
损失金额:$ 6,700,000攻击手法:合约漏洞
事件描述:据 Blockaid 监测,Ekubo Protocol 在以太坊上的自定义扩展合约凌晨遭受攻击,目前已被盗约 140 万美元。Ekubo 用户本身不受影响,只有授权该 V2 合约作为代币支出者的用户存在风险。漏洞根源在于 Ekubo 扩展合约的 IPayer.pay 回调函数中,token.transferFrom 的 payer、token 和 amount 参数直接来自锁定载荷,由攻击者控制。合约未检查 payer 是否为锁定的发起者或授权的支付方,攻击者可利用用户此前对该合约的 ERC-20 授权,通过 Core 锁定路由至扩展合约,将任意授权用户设为 payer 并将自己设为提款接收方,从而盗取资产。
损失金额:$ 1,400,000攻击手法:合约漏洞
事件描述:SmartCredit 的 Leveraged Lido 功能模块遭受攻击。攻击者利用该模块的漏洞抽取资金。项目方已暂停 Leveraged Lido 功能,并使用协议的 Loss Provision Fund(损失准备金)全额覆盖受影响用户的损失。
损失金额:$ 72,000攻击手法:闪电贷攻击