共有 1939 条记录
事件描述:永续 DEX El Dorado Exchange(EDE)疑似被攻击,损失约 58 万美元,某地址一直在向 Arbitrum 的 ELP-1 池发送小额资金,并在之后立即提取大额资金。攻击者称协议后门允许开发者强制清算任何头寸,如开发者承认操纵价格将退还资金。5 月 30 日,攻击者已返还了 33.4 万枚 USDC。到 5 月 31 日,攻击者归还了超 40 万美元的被盗资金。Dorado 还透露了攻击者在归还资金时收取了被盗资金的 10% 作为手续费。
损失金额:$ 580,000攻击手法:合约漏洞
事件描述:BSC 项目 BlockGPT 发生 Rug Pull,涉及资产超 816 枚 BNB(约合 25.6 万美元),目前已有 800 枚 BNB 转入 Tornado Cash。
损失金额:$ 256,000攻击手法:跑路
事件描述:DWallet Labs 发现 TRON 多重签名账户中的一个零日漏洞使超过 5 亿美元的数字资产面临风险,此漏洞允许多重签名帐户的任何签名者(具有任何权重)完全克服 TRON 提供的多重签名安全性,无论帐户中定义的阈值和签名者数量如何。目前该漏洞已被披露并修复,因此现在没有用户资产处于风险之中。
损失金额:-攻击手法:多重签名漏洞
事件描述:区块链安全研究员 iczc 发推称,在 Polygon zkEVM 中发现一个漏洞,并获得来自 Immunefi L2 漏洞赏金。该漏洞导致从 L1 桥接至 Polygon zkEVM (L2) 的资产无法在 L2 中正确认领,从而阻碍了 L1 至 L2 的资产迁移。iczc 在处理认领交易 (claim tx) 预执行结果的代码逻辑中发现,恶意攻击者可以通过将 Gas 费设置为非零来绕过对认领交易的 “isReverted” 预执行检查,使其可以通过发送大量低成本的 claim 对定序器和验证器进行 DoS 攻击,从而增加计算开销。此外,交易不会在执行后立即从池中删除。状态从“待定”更新为“选定”,并继续存在于 PostgreSQL 数据库中。目前,只有一个可信的定序器能够从交易池中获取交易并执行它们。因此,另一个漏洞是通过发送一个失败的交易来恶意标记任何存款数。这将导致正确使用存款数的认领交易被拒绝,因为存款数已经被使用。这使得新用户无法使用 L2 网络。Polygon zkEVM 团队通过删除认领交易的特定 gas 逻辑,修复了这一漏洞,没有资金面临风险。
损失金额:-攻击手法:逻辑漏洞
事件描述:风投工作室 LambdaClass 贡献者 Fede's Intern 在推特上表示,发现可编程隐私网络 Aleo 存在通货膨胀漏洞与使用第一个漏洞停止区块生产的问题,并通过邮件联系 Aleo 团队。在 Zero Knowledge Podcast 的公开讨论下,Aleo CEO、Zero Knowledge Podcast 贡献者 Alex Pruden 介入此事,目前漏洞已修复。
损失金额:-攻击手法:通胀漏洞
事件描述:Arbitrum 生态项目 Jimbos Protocol 遭受攻击,约 4090 枚 ETH 被盗(约 750 万美元)。本次攻击是由于缺乏对流动性转移操作的滑点控制,导致协议拥有的流动性被投资到一个倾斜/不平衡的价格范围内,这被用于反向交换以获取利润。
损失金额:$ 7,500,000攻击手法:合约漏洞
事件描述:The Sandbox 发推称,其首席执行官兼联合创始人 Arthur Madrid 的 Twitter 账户遭到黑客攻击,黑客发布了一个虚假的 SAND 代币空投的诈骗/钓鱼链接。The Sandbox 提醒用户切勿点击该链接,而是报告该帖子,这样它就会被屏蔽。
损失金额:-攻击手法:账号被黑
事件描述:据 News.bitcoin 报道,尼日利亚礼品卡和加密货币交易平台 Patricia 于 5 月 26 日透露,黑客破坏了其零售交易应用程序,导致未公开数量的 BTC 和奈拉资产受到损害。其他加密货币余额未受到影响,属于其客户和商家的资产仍然安全。Patricia 表示它已停止处理提款,目前“正在进行内部重组”。
损失金额:$ 2,000,000攻击手法:零售交易应用程序被破坏
事件描述:据 The Block 报道,网络安全公司 Unciphered 声称它能够侵入由 Trezor T 型硬件加密钱包。在 YouTube 演示中,Unciphered 展示了利用钱包漏洞从钱包中提取助记词私钥的过程,并称这种攻击只有在攻击者可以物理访问硬件钱包时才可行。Trezor 首席技术官 Tomáš Sušánka 对此回应称:“这似乎是一个名为 RDP 降级攻击的漏洞,实施该攻击需要具备极其精熟的技术知识和先进的设备。即使有以上条件,Trezor 也可以通过强大的密码短语进行保护,使 RDP 降级攻击无效。”Trezor 补充称,他们已经采取了重要步骤,即与其姊妹公司 Tropic Square 一起开发用于硬件钱包的新安全元件来解决未来的问题。
损失金额:-攻击手法:RDP 降级攻击
事件描述:Multichain 推特发文称,虽然 Multichain 协议的大部分跨链路由运行正常,但由于不可抗力,部分跨链路由无法使用,恢复服务的时间未知。服务恢复后,待处理的交易将自动入账。Multichain 将对在此过程中受到影响的用户进行补偿,补偿方案将在后续公布。据多个社群用户此前反映,Multichain 跨链资金到账存在异常延迟。行情显示,Multichain 代币 MULTI 过去 24 小时下跌 24.1%,目前报 5.36 美元。
损失金额:-攻击手法:未知
事件描述:代币 CS Token 被黑客攻击,共盗走 71.4 万枚 USDT。该黑客初始资金来自 Tornado Cash 转入的 1 BNB,而后将 383 枚 ETH 转入了 Tornado Cash。
损失金额:$ 714,000攻击手法:合约漏洞
事件描述:区块链金融平台 Fintoch 幕后团队疑似庞氏骗局,在 BNB Chain 上骗取了用户 3160 万枚 USDT,资金被桥接到 Tron、以太坊上的多个地址,用户报告无法提款。Fintoch 宣传其是由摩根斯坦利打造的区块链金融平台,用户每日可获得 1% 的投资回报率。 Fintoch 网站上的团队页面称 “Bobby Lambert” 为其 CEO,而实际上他并不存在,并且是一名付费演员。此前,新加坡政府和摩根士丹利都对这一投资计划发出了警告。
损失金额:$ 31,600,000攻击手法:骗局
事件描述:据 The Block 报道,跨链互操作性协议 Celer Network 周三报告称,它已修补由 Jump Crypto 首次发现的一个代码漏洞。在 Celer 和 Jump Crypto 发布的博客文章中,披露了 Celer 权益证明 (PoS) 区块链 State Guardian Network(SGN) 中的一个漏洞。如果被执行,该漏洞可能允许恶意验证节点提交大量欺诈性“投票”,从而导致网络状态改变。Celer 强调,漏洞没有造成任何资金损失。该漏洞无法公开访问,在发现时也没有资金面临直接风险。Celer 表示,由于该发现,它将提议为 Jump Crypto 提供漏洞赏金。
损失金额:-攻击手法:合约漏洞
事件描述:Polygon 生态项目 LunaFi 遭到攻击。攻击者从 BSC 上的 TornadoCash 获得初始资金,根本原因是奖励计算缺陷,合约中还有许多其他问题。
损失金额:$ 35,000攻击手法:奖励机制缺陷
事件描述:5 月 20 日 15 点 25 分,Tornado Cash 遭遇治理攻击,攻击者通过恶意提议授予自己 120 万选票,超过合法选票数量(约 70 万),获得了完全治理控制权。攻击者可以撤回所有锁定选票并耗尽治理合约中的所有代币,禁用路由器,不过攻击者仍无法耗尽个别池子。Tornado Cash 治理攻击者从治理金库一共获得了 483,000 枚 TORN。
损失金额:$ 2,173,500攻击手法:治理攻击
事件描述:BNB Chain 上 Swap-LP 合约(0xe0c352c56af65772ac7c9ab45b858cb43d22f28f)遭遇攻击,损失约 110 万美元。攻击者(0xdead)将被盗资金转入 Tornado Cash。具体而言,攻击者操纵了 Swap-LP factory 地址中的一个低级调用,触发了 SwapLP 对的 0x33604058 函数。这导致了该对中的所有 WDZD 代币转移到 factory 地址。因此,攻击者能够使用较少的 WDZD 从未经验证的地址 0x3c4e06d17e243e2cb2e4568249b6f7213c43c743 获得更多的 SWAP LP,随后销毁 LP 以获利。
损失金额:$ 1,100,000攻击手法:合约漏洞
事件描述:美国司法部公告称,一名内华达州男子因涉嫌参与 CoinDeal 而受到指控,CoinDeal 是一项投资欺诈计划,骗取了 10,000 多名受害者超过 4500 万美元。根据法庭文件,Lee 涉嫌与 Neil Chandran 等人合谋诈骗 Chandran 所控制的公司的投资者。这些公司以“ViRSE”的名义运营,包括 Free Vi Lab、Studio Vi Inc.、ViDelivery Inc.、ViMarket Inc. 和 Skalex USA Inc. 等。据推测,这些公司正在开发虚拟世界技术,包括他们自己的加密货币,用于虚拟世界。据称,Chandran 以他的公司即将被富有的买家财团收购为前提,错误地承诺极高的回报,从而误导了投资者。正如进一步指控的那样,Lee 是 ViMarket 的名义所有者和董事,并听从 Chandran 的指示如何将收到的投资者资金拨入 ViMarket 的银行账户。
损失金额:$ 45,000,000攻击手法:骗局
事件描述:在 Polygon 上的 Aave V2 中有约 1.1 亿美元的 WETH、USDT、WBTC、WMATIC 无法提款,也无法进行借款和偿还操作。这是因为利率策略合约只兼容 Ethereum,不兼容 Polygon。 目前 Aave 已提交了修复该问题的补丁,将在投票通过后部署。资金没有风险,但至少需要一周时间才能解冻资金。
损失金额:-攻击手法:兼容性问题
事件描述:Arbitrum 生态 Swaprum 项目发生 Rug Pull,SAPR 价格下跌了 100%,Swaprum 已删除社交账号,诈骗者将 1628 枚 ETH(约 300 万美元)桥接到以太坊并转入 Tornado Cash。
损失金额:$ 3,000,000攻击手法:跑路
事件描述:5 月 19 日,Blockworks Research 在推特上表示,比特币 Layer 2 网络 Stacks 在过去的几个月里经历了几重障碍:1.STX“stacking” 机制中存在一个严重漏洞;2.混乱的审查在 Stacks 挖矿过程中变得常见;3.Stacks 链区块重组更常见。
损失金额:-攻击手法:区块重组