共有 2042 条记录
事件描述:GoPlus 发布安全警报,Adobe 疑似遭攻击,约 1300 万用户数据泄露。用户可能面临伪装 Adobe 客服的钓鱼邮件或电话、工单信息被用于精准社工诈骗、密码撞库等风险。
损失金额:-攻击手法:供应链攻击
事件描述:据 ZachXbt 监测,Trust Wallet 的 Discord 短链接 discord[.]gg/trustwallet 已被劫持,目前指向一个钓鱼服务器。用户应避免通过官方渠道(包括官网、Telegram、博客等)提供的链接加入该 Discord。
损失金额:0攻击手法:基础设施劫持
事件描述:据 The Block 报道,Solana 生态去中心化交易平台 Drift Protocol 遭黑客攻击,损失至少 2 亿美元,一些估计认为损失接近 2.7 亿美元,成为 Solana 生态仅次于 Wormhole 桥漏洞的第二大 DeFi 安全事件。攻击涉及多个 Drift 金库,包括 JLP Delta Neutral、SOL Super Staking 和 BTC Super Staking。链上数据显示,攻击者已将被盗资产通过 Jupiter 兑换为 USDC,并跨链至以太坊购买 ETH,截至 UTC 时间 17:45,攻击者持有约 19,913 枚 ETH(约 4200 万美元)。Drift 表示正在调查异常活动,并提醒用户暂停存入资金。最新消息,据 Onchain Lens 监测,Drift Protocol 遭到黑客攻击,损失超过 2.7 亿美元,随后黑客将几乎所有被盗资金转换为129,067 枚 ETH,价值 2.7747 亿美元。
损失金额:$ 270,000,000攻击手法:未知
事件描述:Galaxy Digital 发言人披露,该公司近日控制了一起网络安全事件,未经授权访问仅限于一个隔离的开发测试环境,生产系统、交易平台和客户账户均未受影响。公司迅速检测并控制入侵,受影响的是用于研发的独立环境,与核心基础设施无关,损失不到 1 万美元的公司测试资金。经审查,没有客户资金或账户信息被访问或处于风险中,所有平台和服务完全正常运行。Galaxy 表示将继续审查事件并适时更新进展。
损失金额:$ 10,000攻击手法:未知
事件描述:据 BlockSec 监测,发现 BSC 链上一个疑似 LML/USDT 质押协议的未知合约遭攻击,损失约 95 万美元。分析显示,漏洞或源于定价设计缺陷:可领取奖励基于 TWAP 或快照价格计算,而攻击者可在受操纵的现货价格下出售奖励代币。攻击者首先通过包含接收者为零地址的路径进行交易推高 LML 价格,随后通过此前存入代币的地址调用领取功能,在攻击过程中直接获取奖励。
损失金额:$ 950,000攻击手法:价格操纵与预言机套利攻击
事件描述:DeFi 项目 Steakhouse Financial 昨日披露其遭遇针对 OVH Cloud 的电话社交工程攻击,攻击者更改主站和 app 子域名的 DNS A 记录指向恶意 IP,并试图启动 5 天的域名转移。目前相关更改已撤销,DNS 记录已清空,正在与 OVH 合作解决。所有金库和合约未受影响,储户资金安全,无其他服务账户被入侵。在问题解决前请勿与官网和邮件交互,详细事后报告将尽快发布。今日凌晨,Steakhouse Financial 表示,在官网域名 DNS 记录清空期间,金库仍可通过 Morpho 直接访问,存款、提款等所有功能正常,前端恢复后将另行确认。
损失金额:-攻击手法:社交工程
事件描述:Huma Finance 在 X 平台发布提醒称,其合作伙伴 Arf 的官方 X 账户 @arf_one 遭到入侵,在账户恢复前请勿与该账户的任何帖子互动。
损失金额:0攻击手法:账号被黑
事件描述:Socket 检测到 npm 核心包 axios 的 1.14.1 版本遭遇活跃的供应链攻击。攻击者通过注入一个今日首次出现的恶意依赖包,向 axios 植入恶意代码。建议使用 axios 的开发者立即固定版本,并审查项目锁定文件。
损失金额:0攻击手法:供应链攻击
事件描述:据 BlockSec Phalcon 监测,发现一起针对 BSC 链上未知合约(Stake)的可疑交易,造成约 13.3 万美元损失。攻击者利用 Stake 合约中的现货价格依赖漏洞,操纵 TUR-NOBEL 池中的 TUR 价格后质押 TUR,基于被推高的价格触发奖励计算,通过推荐账户领取放大后的奖励,最终将盗取的 TUR 兑换为 USDT 获利。
损失金额:$ 133,000攻击手法:预言机操纵
事件描述:据 The Block 报道,DeFi 借贷协议 Moonwell 在 Moonriver 部署上正遭遇治理攻击。一名未知攻击者约花费 1800 美元买入约 4000 万枚 MFAM 代币,在约 11 分钟内完成买入、发起提案并投票过审,试图通过将 7 个借贷市场、控制器及预言机等核心合约的管理员权限转移至其控制合约,从而可提取约 108 万美元用户资金。目前该提案投票将持续至 3 月 27 日,早期已达法定人数,随后反对票占优,但最终结果仍取决于剩余投票及协同。
损失金额:0攻击手法:治理攻击
事件描述:慢雾科技首席信息安全官 23pds 在 X 平台发文称:“每月下载量高达 9700 万次的 LiteLLM 发生 PyPI 供应链攻击:“通过 pip install litellm 即可窃取敏感信息,包括SSH密钥、云凭据(AWS/GCP/Azure)、Kubernetes 配置、Git 凭据、环境变量(API 密钥)、Shell 历史、加密钱包及数据库密码等。”
损失金额:-攻击手法:PyPI 供应链攻击
事件描述:据 BlockSec Phalcon 监测,BSC 链上的 PancakeSwap BCE-USDT 池数小时前遭遇攻击,损失约 67.9 万美元。根本原因在于 BCE 代币的销毁机制存在缺陷。攻击者部署了两个恶意合约,绕过买卖限制并触发池内代币销毁,通过操纵池中储备从 BCE-USDT 池中提取约 67.9 万美元获利。
损失金额:$ 679,000攻击手法:流动性池储备操纵
事件描述:PeckShield 在 X 平台发文警示称,Resolv Labs 稳定币 USR 疑似已出现多笔大额铸造,目前已铸造价值 8000 万美元的 USR。
损失金额:$ 25,000,000攻击手法:合约漏洞
事件描述:DeFi 协议 Neutrl 在 X 平台发文宣布,其前端疑似遭攻击,团队正在紧急调查,出于安全考虑,官方建议用户在进一步更新发布前不要与网站进行任何交互。同时,Neutrl 提醒用户尽快前往 Revoke.cash 撤销对相关地址的 Permit2 授权,并且提醒用户也应检查并撤销对其他可疑地址的授权,以降低潜在资产风险。随后,Neutrl 调查结果初步显示,托管该应用域名的 DNS 提供商遭到了社会工程攻击,导致攻击者重定向了该域名。
损失金额:-攻击手法:DNS 劫持
事件描述:DeFi 借贷协议 dTRINITY 在 X 平台披露,昨日,dLEND 在以太坊上的部署遭遇首次存款通胀攻击,导致借贷供应中的 dUSD 资金被耗尽,造成约 25.7 万美元坏账。协议已暂时暂停,团队正积极制定补救措施,并承诺使用内部资金 100% 覆盖损失,坏账偿还将在此公告 24 小时内开始,随后恢复 dLEND。dTRINITY 在 Fraxtal 和 Katana 上的部署未受影响,用户资金安全。各协议部署均保持链隔离的储备、抵押品和借贷存款。
损失金额:$ 257,000攻击手法:存款通胀攻击
事件描述:攻击者利用 Venus Protocol 的漏洞,借助闪电贷获取了大量资产。在此次攻击中,攻击者的地址(0x1a35...6231)成功获取了 20 枚 BTC、150 万枚 CAKE 以及 200 枚 BNB,总价值超过 370 万美元。为了进行操作,攻击者将大量 THE 代币作为抵押品,借出了 Cake、BTCB 和 BNB,导致大量 THE 代币持续被清算。经过 Venus Protocol 风险管理方Allez Labs 的最新调查,确认此次攻击源自 BNB Chain 核心池的供应上限操纵。攻击者自 2025 年 6 月起,逐步积累 THE 代币,最终在 9 个月内将其持有量提升至供应上限的 84%(约 1450 万枚 THE)。随后,攻击者通过直接向协议合约转账的方式绕过了正常的存款流程,完全规避了供应上限,最终建立起 5320 万枚 THE 的头寸(为上限的 3.67 倍)。利用 THE 代币链上流动性低的弱点,攻击者操控了 TWAP 预言机,将 THE 价格从 0.27 美元推高至 0.53 美元,借出了大量其他资产。峰值时,攻击者以 5320 万枚 THE 作为抵押品,借出了 667 万枚 CAKE、2801 枚 BNB、1970 枚 WBNB、158 万枚 USDC 和 20 枚 BTCB。为了防止进一步的损失,Venus Protocol 已经暂停了涉及 THE 资产以及其他流动性高度集中的市场(如 BCH、LTC、UNI、AAVE、FIL、TWT 等)的借贷和提现功能。然而,其他 Venus 市场未受到影响,仍在正常运行。Venus 表示将继续与安全合作伙伴合作,深入调查此次事件,并及时提供进一步的更新。
损失金额:$ 2,150,000攻击手法:闪电贷➕预言机操纵
事件描述:据 BlockSec Phalcon 监测,DBXen 合约今日上午遭遇攻击,估计损失约 15 万美元。根本原因在于 ERC2771 元交易下发送者身份不一致。
损失金额:$ 150,000攻击手法:逻辑漏洞
事件描述:BSC 链上 AM/USDT 池数小时前遭遇攻击,估计损失约 13.1 万美元。根本原因在于销毁机制存在缺陷,被利用来操纵池中的 AM 储备并人为推高代币价格。攻击者首先操纵 toBurnAmount,然后在调整池中 AM 余额后触发销毁逻辑,使 AM 储备降至异常低水平,从而允许攻击者以人为抬高的价格将 AM 卖回池中获利。
损失金额:$ 131,000攻击手法:闪电贷 + 储备量操纵
事件描述:BONKfun 在 X 平台发文宣布,其官网在 3 月 11 日遭恶意社工攻击,攻击者通过域名服务提供商劫持了 BONKfun 域名,并将其转至外部注册商。团队确认此次事件并非 BONK 或 BONKfun 内部系统、代码库或团队账户被攻破所致。事件发生后,团队立即采取措施:关闭网站、协调钱包服务提供商标记域名为恶意、并控制用户影响范围。此次攻击导致客户约损失 3 万美元,团队将按 110% 赔偿受影响用户,以覆盖潜在机会成本。BONKfun 域名及注册在 3 月 18 日东部时间下午 5 点左右已完全恢复控制,主要钱包提供商功能于 3 月 19 日晚恢复,网站已安全上线。目前部分杀毒软件仍将主域名标记为风险,团队正在积极处理。对于因防病毒软件导致无法访问官方网站的用户,备用域名也已上线,功能与主站一致可使用。
损失金额:$ 30,000攻击手法:社工攻击➕域名劫持➕钓鱼攻击
事件描述:NFT 平台 Gondi 近日遭遇合约漏洞攻击,导致约 78 枚 NFT 被盗,损失约 23 万美元。根据 Gondi 官方公告,攻击与 2 月 20 日部署的新版 Sell & Repay 合约有关,其 Purchase Bundler 功能存在逻辑缺陷,未能正确验证调用者是否为 NFT 的合法所有者或借款人。被盗 NFT 包括 44 枚 Art Blocks、10 枚 Doodles、2枚 Beeple 作品等。
损失金额:$ 230,000攻击手法:合约漏洞