共有 2029 条记录
事件描述:自动收益杠杆化策略平台 Steadefi 在推特上表示:“我们的协议部署者钱包(也是协议中所有金库的所有者)已被泄露。攻击者已将所有金库(借贷和策略)的所有权转移到他们控制的钱包中,并继续采取各种仅限所有者的操作,例如允许任何钱包能够从借贷金库借入任何可用资金。目前, Arbitrum 和 Avalanche 上的所有可用借贷能力已被攻击者耗尽,资产被交换为 ETH 并桥接到以太坊。链上消息已发送至攻击者钱包地址进行协商。Steadefi 希望与参与漏洞利用的各方讨论赏金问题,对被盗资金提供 10% 的奖励。”Steadefi 在此次事件中已损失约 115.8 万美元。8 月 8 日,Steadefi 团队成功地从剩余金库中恢复了约 54 万美元的用户资金。
损失金额:$ 1,158,000攻击手法:私钥泄露
事件描述:印度奥里萨邦法律当局成功破获了价值 1.2 亿美元(100 亿卢比)的加密货币庞氏骗局。这起欺诈行动的两名核心人物已被逮捕。涉案项目名为 Solar Techno Alliance (STA),利用绿色能源和太阳能技术等术语。调查发现,STA 在线上成员的协助下,在短时间内利用各种说服策略以及利润承诺来吸引人们参与该计划,仅在奥里萨邦的参与者达 1 万多人。调查显示,STA 没有获得印度储备银行、印度央行或其他监管机构的授权来积累存款。
损失金额:$ 120,000,000攻击手法:骗局
事件描述:2023 年 8 月 7 日,基于 Solana 的去中心化交易所 Cypher 推特发文称遭到攻击。攻击者利用涉及隔离保证金子账户的机制相关的错误攻击了 Cypher 的主合约,使其最终提取的资金多于最初存入的资金,导致系统出现坏账。攻击者窃取了 15,452 个 SOL、149,205 USDC 及其他代币,损失超 100 万美元。攻击者地址疑似为 HHm4wK91XvL3hhEC4hQHo544rtvkaKohQPc59TvZeC71。8 月 18 日,Cypher 表示约 60 万美元已在各个中心化交易所(CEX)上被冻结,这些资金的返还将取决于这些 CEX 的合作以及执法部门发出的扣押令。
损失金额:$ 1,000,000攻击手法:合约漏洞
事件描述:Bitlord (BITLORD) 大量流动性已被移除。部署者从 LP 中移除了约 309 枚 WETH,价值约合 56.7 万美元。该代币项目疑似为蜜罐骗局。
损失金额:$ 567,000攻击手法:跑路
事件描述:以太坊核心开发者 Tim Beiko 的推特账号疑似被盗,其半个小时内发布两条关于“ETH 空投”的推文并附带钓鱼链接(ether.fo),请用户不要点击可疑链接,以防资金被盗。据慢雾分析,幕后黑手是 PinkDrainer。
损失金额:-攻击手法:账号被黑
事件描述:BNB Chain 链上 Apache NFT SalesRoom(ASN)发生 Rug Pull,部署者获利约 68 万美元。部署者将大量代币转移到地址 0xdc8 开头地址,现在该地址已以 68 万美元的 BSC-USD 价格抛售了 100 万枚 ASN。
损失金额:$ 680,000攻击手法:跑路
事件描述:Uwerx network 遭到攻击,损失大约 174.78 ETH。据慢雾分析,根本原因是当接收地址为 uniswapPoolAddress(0x01)时,将会多 burn 掉 from 地址的转账金额 1% 的代币,因此攻击者利用 uniswapv2 池的 skim 功能消耗大量 WERX 代币,然后调用 sync 函数恶意抬高代币价格,最后反向兑换手中剩余的 WERX 为 ETH 以获得利润。据 MistTrack 分析,黑客初始资金来自 Tornadocash 转入的 10 BNB,接着将 10 BNB 换成 1.3 ETH,并通过 Socket 跨链到以太坊。
损失金额:$ 324,000攻击手法:价格操纵
事件描述:DeFi 保险协议 InsurAce 发推称:“我们的 Discord 服务器遇到了安全漏洞。 我们的团队今天早些时候发现了对服务器的未经授权的访问。 我们非常重视这一事件,并正在努力纠正这一情况。在此期间,请不要与服务器交互。”据慢雾分析,钓鱼网站为 insurace.gift,幕后黑手是 PinkDrainer。
损失金额:-攻击手法:账号被黑
事件描述:Base 链上最大 DEX LeetSwap 中 axlUSD/WETH 池遭遇攻击,已暂停交易以进行调查。似乎 342.5 ETH(约 62.4 万美元)被利用。8 月 3日,LeetSwap 表示,已经从存在风险的流动性池中收回大约 400 枚 ETH。据慢雾分析,本次被攻击的主要原因是在 Pair 合约中,_transferFeesSupportingTaxTokens 函数外部可调用,该函数可以转移合约中的任意数量的指定代币到收取手续费的地址。于是攻击者首先进行一次正常的小额 swap 操作以获取下一次 swap 时所需的代币,紧接着调用 _transferFeesSupportingTaxTokens 函数将 Pair 中的其中一方代币几乎全部转移给了收取手续费的地址,从而使得 Pair 的流动性失衡。最后再调用 sync 函数平衡池子后反向 swap 套取超出预期的 ETH。
损失金额:$ 624,000攻击手法:价格操纵
事件描述:部分社区用户反映名为 ZT Global 的加密交易所疑似跑路,自 7 月 28 日宣布进行系统升级维护后平台内已无法进行交易,TG 频道禁言,无法联系到创始人。7 月 31 日 21 时该交易所发布公告声称已完成维护,并恢复交易功能,但交易页面显示仅 0.0006 BTC(17 美元)的买盘就将该平台内 BTC 的价格推高并维持在 6 万美元,ETH 的价格也在数十美元交易量的情况下发生剧烈波动。
损失金额:-攻击手法:跑路
事件描述:建立在 Coinbase Base 测试网络上的名为 BALD 的 MEME 币,似乎已经被拉到了至少 2560 万美元。 尽管 Base 网络旨在用于开发者测试,一位名为“Bald”的匿名加密货币用户宣布,他们将在 Base 网络上出售 BALD 代币,该代币价格迅速飙升。 然而,代币部署者在推出两天后就从流动性池中清空了价格约为 2560 万美元的代币,明显拉动了市场。 代币价格迅速暴跌约 90%。
损失金额:$ 25,600,000攻击手法:跑路
事件描述:NFT 借贷平台 JPEG'd 遭黑客攻击,JPEG 代币短时下跌 40%,损失至少约 1000 万美元。根本原因在于重入,攻击者在调用 remove_liquidity 函数移除流动性时通过重入 add liquidity 函数添加流动性,由于余额更新在重入进 add_liquidity 函数之前,导致价格计算出现错误。JPEG'd 发推称,PETH-ETH 曲线池遭遇攻击。允许借用 NFT 的金库合约是安全的,仍在正常运行。NFT 与财库资金安全。JPEG'd 合约没有被黑客攻击,是安全的。8 月 5 日,JPEG'd 推特发文称,DAO 多签地址确认收到 5494.4 枚 WETH,从 pETH 漏洞中追回资金的地址所有者获得了 10% 的白帽赏金,即 610.6 枚 WETH。
损失金额:$ 11,363,266攻击手法:重入攻击
事件描述:Curve Finance 推特称,由于递归锁出现故障,许多使用 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击。crvUSD 合约和其它资金池不受影响。截至目前,Curve Finance 稳定币池黑客攻击事件已造成 Alchemix、JPEG'd、MetronomeDAO、deBridge、Ellipsis 和 CRV/ETH 池累计损失 7350 万美元。8 月 6 日, Alchemix 发推表示,Curve Finance 黑客已将 Alchemix 在 Curve 池中的资金全部归还。8 月 19 日,MetronomeDAO 表示名为 "c0ffeebabe" 的 MEV bot 已收回大部分被盗资金并归还给了 Metronome。
损失金额:$ 25,123,594攻击手法:Vyper 漏洞影响
事件描述:DeFi 借贷协议 Alchemix 在推特上表示,在收到 Curve Finance 关于因 Vyper 错误导致 alETH/ETH 池被攻击的通知后,Alchemix 迅速开始通过 AMO 合约从曲线池中移除 AMO 控制的流动性。该漏洞是在 Curve 池合约上执行的。Alchemix 智能合约没有受到任何形式的损害,资金是安全的。合约上执行的。需要进行三项交易:从 Convex 取消质押 LP 代币、从 Curve 池中提取 alETH、从 Curve 池中提取 ETH。上述第一项交易已执行,第二笔交易执行后,从 Curve 池中移除 8000 枚 ETH。这意味着 Curve 池中仍有 AMO 控制的约 5000 枚 ETH 流动性。在移除剩余流动性的过程中,alETH/ETH Curve 池被攻击者耗尽。目前,alETH 储备损失约 5000 枚 ETH。9 月 4 日,Alchemix 发文表示,一个白帽 MEV 机器人运营者已返还从 Curve alETH/ETH 池攻击事件中通过套利获得的 43.3 ETH 利润,这将添加到重新分配资金中。
损失金额:$ 35,315,843攻击手法:Vyper 漏洞影响
事件描述:8 月 6 日,以太坊编译器 Vyper 发布有关上周漏洞事件的分析报告:此前 7 月 30 日由于 Vyper 编译器中的潜在漏洞,多个 Curve 流动性池被利用。虽然已识别并修补了错误,但当时并未意识到对使用易受攻击的编译器的协议的影响,也没有明确通知他们。该漏洞本身是一个未正确实施的重入防护,受影响的 Vype 版本为 v0.2.15、v0.2.16、v0.3.0。漏洞已于 v0.3.1 修复并测试,v0.3.1 及更高版本是安全的。
损失金额:-攻击手法:编译器漏洞
事件描述:zkSync Era 收益聚合器协议 Kannagi Finance 已 Rug Pull,其官推和官网前端均已失效。DeFiLlama 数据显示,在昨日 Kannagi Finance TVL 为 213 万美元,目前 TVL 已近归零,因而预计用户损失为 213 万美元。Kannagi Finance 合约代码并未开源验证。使用过该项目的用户应尽快取消授权。
损失金额:$ 2,130,000攻击手法:跑路
事件描述:BNB 链上的 DefiLabs 已跑路,带走约为 160 万美元。特权地址0xee08 通过利用 vPoolv6 合约中的 后门函数 withdrawFunds() 耗尽用户资金。DeFiLabs 在 Twitter 上声称,该平台在“进行维护和更新”时“遇到了意外问题”。
损失金额:$ 1,600,000攻击手法:跑路
事件描述:由 Pauly0x 推出的 Pepe the Frog 品牌 MEME 币 Pond0x 中的严重缺陷导致交易者损失了至少 220 万美元,因为人们发现任何人都可以转移属于其他人的代币。人们很快开始争先恐后地互相偷钱。Pauly0x 的回应是指责买卖代币的交易员,并在第二天在 Twitter 上发布了各种帖子,称他正在给人们一个教训,人们赔钱不是他的错。他写信给愤怒的交易员,指责他地毯拉力。他在网站上添加了一条消息:"GREED KILLS"。
损失金额:$ 2,200,000攻击手法:合约漏洞
事件描述:BSC 生态 Carson 遭遇攻击,损失约 14.5 万美元。目前 Carson 代币价格下跌达 96%,攻击者已将窃取资产兑换为 600 枚 BNB 并转至 Tornado Cash。攻击者通过闪贷反复调用 0x2bdf...341a 合约(非开源)中的 swapExactTokensForTokensSupportingFeeOnTransferTokens 函数,兑换成 BUSD 并销毁该货币对中的 Carson,然后反复抬高 Carson 的价格以获取利润。
损失金额:$ 145,000攻击手法:闪电贷攻击
事件描述:据慢雾披露,IEGT 代币于 7 月 13 日在 BSC 上创建。其创建者“秘密铸造了大量代币,为拉动地毯做准备”。 尽管该项目的代币供应量只有 500 万枚,但这使得该团队能够出售 10 亿枚代币,兑现约 114 万美元的 USDT 稳定币。根据慢雾的说法,项目方是在合约初始化时,通过内联汇编的方式修改了指定地址余额,隐蔽地增发了大量未被其他用户获悉的代币,导致用户在参与项目时被 Rug。
损失金额:$ 1,140,000攻击手法:跑路