共有 2061 条记录
事件描述:YieldCore 的 YieldCore-3rd-deal 金库遭到攻击,损失 382,864 美元。漏洞原因在于调用者授权检查缺失,攻击者利用此漏洞将金库中所有资金转出。
损失金额:$ 382,864攻击手法:权限控制漏洞利用
事件描述:据 CertiK Alert 报道,攻击者通过入侵 Commons 跨链桥,对 Syndicate 实施攻击。相关地址获取约 1850 万枚SYND代币,卖出获利约 33 万美元,所得资金已跨链至以太坊。
损失金额:$ 330,000攻击手法:-
事件描述:ZetaChain 在 X 平台发文披露,ZetaChain GatewayEVM 合约今日遭到攻击,仅影响 ZetaChain 内部团队钱包。已封堵攻击途径,防止更多资金被盗。作为预防措施,ZetaChain 上的跨链交易目前已暂停。调查仍在进行中,目前没有用户资金受到攻击影响。4 月 29 日,ZetaChain 在 X 平台发布更新称,4 月 27 日,ZetaChain 遭遇了一次有预谋的定向攻击,攻击者使用了 Tornado Cash 进行资金充值并伪造了钱包地址。跨链 ZETA 转账未受影响,用户资金未受影响,受影响钱包均为 ZetaChain 控制。主网补丁已部署,跨链交易将在持续监控后重新启用。该攻击影响了 GatewayEVM 的特定任意调用功能,导致四条连接链共损失约 33.4 万美元。
损失金额:$ 334,000攻击手法:跨链桥/网关合约任意调用漏洞
事件描述:Sui 生态借贷协议 Scallop 在 X 平台表示,发现一个与 Scallop 的 sSUI 奖励池相关的附属合约存在漏洞,导致约 15 万 SUI 损失。受影响的合约已被冻结。Scallop 称核心合约仍然安全,只有 sSUI 奖励池受到影响。所有其他奖励池均安全无虞。Scallop 将全额承担 100% 的损失,并将尽快发布进一步的更新。
损失金额:$ 141,750攻击手法:合约漏洞
事件描述:2026 年 4 月 23 日,DeFi 协议 @giddydefi 的 GiddyVaultV3 合约遭遇攻击,损失约 130 万美元。攻击源于其授权校验逻辑中的设计缺陷。该合约在使用 EIP-712 签名机制时,仅对 SwapInfo 结构中的部分数据进行签名校验,未覆盖包括 aggregator、fromToken、toToken 及 amount 在内的关键参数,导致签名保护范围不完整。攻击者利用这一缺陷,复用一份合法签名,并构造恶意交易参数:将 fromToken 替换为策略中的 LP Token,将 aggregator 指向攻击者控制的合约,同时将 toToken 替换为自定义代币,并将交易金额设置为最大值。由于这些关键字段未纳入签名校验范围,合约在验证通过后执行了该恶意交易。最终,攻击者成功转移协议资产,造成约 130 万美元损失。
损失金额:$ 1,300,000攻击手法:签名验证逻辑缺陷 + 参数篡改 + 签名重放
事件描述:Sui 生态协议 Volo 在 X 平台披露,Volo Vaults 今日遭遇安全漏洞,约 350 万美元资产(WBTC、XAUm 和USDC)被盗。Volo 表示已检测到攻击并立即通知 Sui 基金会及生态合作伙伴,冻结了所有金库以防止进一步损失。
损失金额:$ 3,500,000攻击手法:私钥泄漏
事件描述:前端云平台 Vercel 首席执行官 Guillermo Rauch 发推表示,目前团队正在对公司安全事件进行全面调查。事件起因是某 Vercel 员工使用的 AI 平台客户 Context.ai 被入侵,导致其 Vercel Google Workspace 账户遭攻破。攻击者通过一系列操作进一步获得了环境访问权限。Vercel 所有客户环境变量在静止状态下均完全加密,但平台支持将部分变量标记为「non-sensitive」,攻击者通过枚举方式获得了进一步访问。其行动速度和对 Vercel 架构的理解超出预期。
损失金额:-攻击手法:供应链攻击
事件描述:LayerZero 发布声明称,4 月 18 日 KelpDAO 遭受约 2.9 亿美元攻击,初步判断为高度复杂的国家行为者(疑似朝鲜 Lazarus Group 下属 TraderTraitor)所为。此次攻击完全孤立于 KelpDAO 的 rsETH 配置,系其采用单 DVN(Decentralized Verifier Network)设置所致。LayerZero 协议本身未被利用,无任何其他跨链资产或应用受到波及。攻击核心是黑客通过污染 LayerZero DVN 依赖的下游 RPC 基础设施,获取了 DVN 使用的 RPC 节点列表,并入侵了两个独立 RPC 节点,替换了 op-geth 二进制文件,并使用自定义 payload 伪造消息,只对 DVN 显示假数据,对其他 IP(包括 LayerZero Scan)显示真实数据。之后黑客通过 DDoS 攻击未被入侵的 RPC,触发故障转移到已投毒的 RPC,使得假消息被接受从而完成攻击。攻击完成后,黑客删除了恶意的二进制文件、日志与配置。目前 LayerZero 已废弃所有受影响 RPC 节点并完成替换,DVN 已恢复正常运行。
损失金额:$ 292,000,000攻击手法:RPC 节点投毒攻击结合 DDoS 强制故障转移
事件描述:Vitalik Buterin 发推表示,eth.limo 的 DNS 注册商遭受攻击,建议用户暂时不要访问 vitalik.eth.limo 或其他 eth.limo 相关页面,待官方确认恢复正常后再行访问。
损失金额:-攻击手法:DNS 劫持
事件描述:据 CertiK 监测,NEAR 生态 DeFi 协议 Rhea Finance 发生安全事件,攻击者创建多个假代币合约,并在新建资金池中添加流动性,疑似误导协议预言机与验证层,从而从相关池中提取至少约 760 万美元资产。
损失金额:$7,600,000攻击手法:预言机操纵攻击
事件描述:据 The Block 报道,注册于吉尔吉斯斯坦、与俄罗斯加密市场有联系的交易所 Grinex 在遭遇大规模网络攻击后暂停提款和交易。该交易所网站声明称,超过 10 亿卢布(约 1310 万美元)被盗,攻击是“旨在损害俄罗斯金融主权的协调行动”,需要“敌对国家”专属的资源和技术才能实施。
损失金额:$ 13,100,000攻击手法:基础设施渗透
事件描述:安全公司 Blockaid 称其系统识别到去中心化交易平台 CowSwap 的前端遭遇攻击, Cow.fi 当前已被标记为恶意站点。 Blockaid 警告称,曾将钱包连接至 CowSwap 的用户应立即通过钱包或安全工具撤销相关合约授权,并在问题解除前停止与 Cow.fi 进行任何交互,以防资产被盗。CoW DAO 随后发布公告,CoW Swap前端(swap.cow.fi)当前出现故障,团队正在调查处理中,并提醒用户暂时不要使用该平台进行交易。4 月 16 日消息,CoW Swap 在 X 平台发文表示,其已收回 cow.fi 域名控制权,并已在 cow.finance 正常运行一段时间,目前正逐步过渡回原域名。
损失金额:$ 1,200,000攻击手法:供应链攻击
事件描述:据 CertiK Alert 监测,Hyperbridge 网关合约遭攻击,攻击者通过伪造消息,篡改了以太坊上 Polkadot 代币合约的管理员权限,并通过铸造并出售 10 亿枚代币获利约 23.7 万美元。4月16日 消息,据 Hyperbridge 公告,其代币网关在 4 月 13 日遭攻击,初步损失估算由约 23.7 万美元上调至约 250 万美元,主要为Ethereum、Base、BNB Chain 和 Arbitrum 上的激励资金池受损。
损失金额:$ 2,500,000攻击手法:跨链消息伪造与管理员权限篡改
事件描述:DeFi 项目 dango 昨晚在披露安全事件三小时后发布更新称,白帽黑客已全额归还被盗资金并获得漏洞赏金,用户资金完全未受影响。dango 创始人表示将部署修复程序、增加安全措施并准备重启区块链。此前公告显示,攻击者利用保险基金逻辑漏洞盗取 USDC 抵押品,漏洞在于保险基金允许任何人向其捐赠但未检查捐赠金额为正数;得益于跨链桥速率限制,攻击者仅将 41 万美元 USDC 桥接至以太坊,剩余 149 万美元留在 Dango 并被追回;该漏洞已修复,不影响订单匹配、盈亏结算和清算等其他交易系统功能。
损失金额:$ 1,900,000攻击手法:智能合约业务逻辑漏洞
事件描述:Zerion 一名员工的设备被攻击者通过AI 驱动的社会工程攻击入侵,疑似与 DPRK 相关高级威胁组织有关。攻击者成功获取该员工的已登录会话、账户凭证以及用于内部测试和运营的公司热钱包私钥,进而从多个内部热钱包中转移约 10 万美元资金。本次攻击未影响任何用户资产,Zerion 的产品、移动端应用及后端基础设施均未被入侵。事件仅限于员工设备与公司内部热钱包系统。事件发生后,团队主动下线 Web 应用并执行全面凭证轮换、设备安全检查及基础设施加固措施,以防止进一步风险扩散。
损失金额:$ 100,000攻击手法:AI 驱动社会工程攻击
事件描述:去中心化永续合约交易平台 Denaria 发推表示,其昨日遭受智能合约攻击,损失约 16.5 万美元。目前团队正与 Linea 及审计方合作调查,将尽快发布完整事后分析报告。
损失金额:$165,000攻击手法:智能合约攻击
事件描述:据 ExVul 监测,BSC 链上发生 TMM/USDT 储备操纵攻击,导致约 166.5 万 USDT 的损失。攻击者利用来自 Lista DAO Moolah、Venus、Aave V3、Pancake SwapVault 和 Uniswap PoolManager 的闪电贷操纵 TMM/USDT 交易对。攻击者将 TMM 销毁至黑洞地址,使交易对储备降至 1 枚 TMM,随后将 8.5 亿枚 TMM 兑换为约 2.72 亿 USDT。在偿还所有闪电贷后,攻击者将约 166.5 万 USDT 的利润转移至相关地址。
损失金额:$ 1,665,000攻击手法:储备操纵攻击
事件描述:DeFi 借贷协议 HypurrFi 发推表示,hypurr .fi 域名被劫持,团队已将基础设施迁移至 hypurrfi .com,协议本身、用户资金及团队基础设施未受影响。
损失金额:0攻击手法:域名劫持
事件描述:GoPlus 发布安全警报,Adobe 疑似遭攻击,约 1300 万用户数据泄露。用户可能面临伪装 Adobe 客服的钓鱼邮件或电话、工单信息被用于精准社工诈骗、密码撞库等风险。
损失金额:-攻击手法:供应链攻击
事件描述:据 ZachXbt 监测,Trust Wallet 的 Discord 短链接 discord[.]gg/trustwallet 已被劫持,目前指向一个钓鱼服务器。用户应避免通过官方渠道(包括官网、Telegram、博客等)提供的链接加入该 Discord。
损失金额:0攻击手法:基础设施劫持