共有 2045 条记录
事件描述:以太坊核心开发者 Tim Beiko 的推特账号疑似被盗,其半个小时内发布两条关于“ETH 空投”的推文并附带钓鱼链接(ether.fo),请用户不要点击可疑链接,以防资金被盗。据慢雾分析,幕后黑手是 PinkDrainer。
损失金额:-攻击手法:账号被黑
事件描述:BNB Chain 链上 Apache NFT SalesRoom(ASN)发生 Rug Pull,部署者获利约 68 万美元。部署者将大量代币转移到地址 0xdc8 开头地址,现在该地址已以 68 万美元的 BSC-USD 价格抛售了 100 万枚 ASN。
损失金额:$ 680,000攻击手法:跑路
事件描述:Uwerx network 遭到攻击,损失大约 174.78 ETH。据慢雾分析,根本原因是当接收地址为 uniswapPoolAddress(0x01)时,将会多 burn 掉 from 地址的转账金额 1% 的代币,因此攻击者利用 uniswapv2 池的 skim 功能消耗大量 WERX 代币,然后调用 sync 函数恶意抬高代币价格,最后反向兑换手中剩余的 WERX 为 ETH 以获得利润。据 MistTrack 分析,黑客初始资金来自 Tornadocash 转入的 10 BNB,接着将 10 BNB 换成 1.3 ETH,并通过 Socket 跨链到以太坊。
损失金额:$ 324,000攻击手法:价格操纵
事件描述:DeFi 保险协议 InsurAce 发推称:“我们的 Discord 服务器遇到了安全漏洞。 我们的团队今天早些时候发现了对服务器的未经授权的访问。 我们非常重视这一事件,并正在努力纠正这一情况。在此期间,请不要与服务器交互。”据慢雾分析,钓鱼网站为 insurace.gift,幕后黑手是 PinkDrainer。
损失金额:-攻击手法:账号被黑
事件描述:Base 链上最大 DEX LeetSwap 中 axlUSD/WETH 池遭遇攻击,已暂停交易以进行调查。似乎 342.5 ETH(约 62.4 万美元)被利用。8 月 3日,LeetSwap 表示,已经从存在风险的流动性池中收回大约 400 枚 ETH。据慢雾分析,本次被攻击的主要原因是在 Pair 合约中,_transferFeesSupportingTaxTokens 函数外部可调用,该函数可以转移合约中的任意数量的指定代币到收取手续费的地址。于是攻击者首先进行一次正常的小额 swap 操作以获取下一次 swap 时所需的代币,紧接着调用 _transferFeesSupportingTaxTokens 函数将 Pair 中的其中一方代币几乎全部转移给了收取手续费的地址,从而使得 Pair 的流动性失衡。最后再调用 sync 函数平衡池子后反向 swap 套取超出预期的 ETH。
损失金额:$ 624,000攻击手法:价格操纵
事件描述:部分社区用户反映名为 ZT Global 的加密交易所疑似跑路,自 7 月 28 日宣布进行系统升级维护后平台内已无法进行交易,TG 频道禁言,无法联系到创始人。7 月 31 日 21 时该交易所发布公告声称已完成维护,并恢复交易功能,但交易页面显示仅 0.0006 BTC(17 美元)的买盘就将该平台内 BTC 的价格推高并维持在 6 万美元,ETH 的价格也在数十美元交易量的情况下发生剧烈波动。
损失金额:-攻击手法:跑路
事件描述:建立在 Coinbase Base 测试网络上的名为 BALD 的 MEME 币,似乎已经被拉到了至少 2560 万美元。 尽管 Base 网络旨在用于开发者测试,一位名为“Bald”的匿名加密货币用户宣布,他们将在 Base 网络上出售 BALD 代币,该代币价格迅速飙升。 然而,代币部署者在推出两天后就从流动性池中清空了价格约为 2560 万美元的代币,明显拉动了市场。 代币价格迅速暴跌约 90%。
损失金额:$ 25,600,000攻击手法:跑路
事件描述:NFT 借贷平台 JPEG'd 遭黑客攻击,JPEG 代币短时下跌 40%,损失至少约 1000 万美元。根本原因在于重入,攻击者在调用 remove_liquidity 函数移除流动性时通过重入 add liquidity 函数添加流动性,由于余额更新在重入进 add_liquidity 函数之前,导致价格计算出现错误。JPEG'd 发推称,PETH-ETH 曲线池遭遇攻击。允许借用 NFT 的金库合约是安全的,仍在正常运行。NFT 与财库资金安全。JPEG'd 合约没有被黑客攻击,是安全的。8 月 5 日,JPEG'd 推特发文称,DAO 多签地址确认收到 5494.4 枚 WETH,从 pETH 漏洞中追回资金的地址所有者获得了 10% 的白帽赏金,即 610.6 枚 WETH。
损失金额:$ 11,363,266攻击手法:重入攻击
事件描述:Curve Finance 推特称,由于递归锁出现故障,许多使用 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击。crvUSD 合约和其它资金池不受影响。截至目前,Curve Finance 稳定币池黑客攻击事件已造成 Alchemix、JPEG'd、MetronomeDAO、deBridge、Ellipsis 和 CRV/ETH 池累计损失 7350 万美元。8 月 6 日, Alchemix 发推表示,Curve Finance 黑客已将 Alchemix 在 Curve 池中的资金全部归还。8 月 19 日,MetronomeDAO 表示名为 "c0ffeebabe" 的 MEV bot 已收回大部分被盗资金并归还给了 Metronome。
损失金额:$ 25,123,594攻击手法:Vyper 漏洞影响
事件描述:DeFi 借贷协议 Alchemix 在推特上表示,在收到 Curve Finance 关于因 Vyper 错误导致 alETH/ETH 池被攻击的通知后,Alchemix 迅速开始通过 AMO 合约从曲线池中移除 AMO 控制的流动性。该漏洞是在 Curve 池合约上执行的。Alchemix 智能合约没有受到任何形式的损害,资金是安全的。合约上执行的。需要进行三项交易:从 Convex 取消质押 LP 代币、从 Curve 池中提取 alETH、从 Curve 池中提取 ETH。上述第一项交易已执行,第二笔交易执行后,从 Curve 池中移除 8000 枚 ETH。这意味着 Curve 池中仍有 AMO 控制的约 5000 枚 ETH 流动性。在移除剩余流动性的过程中,alETH/ETH Curve 池被攻击者耗尽。目前,alETH 储备损失约 5000 枚 ETH。9 月 4 日,Alchemix 发文表示,一个白帽 MEV 机器人运营者已返还从 Curve alETH/ETH 池攻击事件中通过套利获得的 43.3 ETH 利润,这将添加到重新分配资金中。
损失金额:$ 35,315,843攻击手法:Vyper 漏洞影响
事件描述:8 月 6 日,以太坊编译器 Vyper 发布有关上周漏洞事件的分析报告:此前 7 月 30 日由于 Vyper 编译器中的潜在漏洞,多个 Curve 流动性池被利用。虽然已识别并修补了错误,但当时并未意识到对使用易受攻击的编译器的协议的影响,也没有明确通知他们。该漏洞本身是一个未正确实施的重入防护,受影响的 Vype 版本为 v0.2.15、v0.2.16、v0.3.0。漏洞已于 v0.3.1 修复并测试,v0.3.1 及更高版本是安全的。
损失金额:-攻击手法:编译器漏洞
事件描述:zkSync Era 收益聚合器协议 Kannagi Finance 已 Rug Pull,其官推和官网前端均已失效。DeFiLlama 数据显示,在昨日 Kannagi Finance TVL 为 213 万美元,目前 TVL 已近归零,因而预计用户损失为 213 万美元。Kannagi Finance 合约代码并未开源验证。使用过该项目的用户应尽快取消授权。
损失金额:$ 2,130,000攻击手法:跑路
事件描述:BNB 链上的 DefiLabs 已跑路,带走约为 160 万美元。特权地址0xee08 通过利用 vPoolv6 合约中的 后门函数 withdrawFunds() 耗尽用户资金。DeFiLabs 在 Twitter 上声称,该平台在“进行维护和更新”时“遇到了意外问题”。
损失金额:$ 1,600,000攻击手法:跑路
事件描述:由 Pauly0x 推出的 Pepe the Frog 品牌 MEME 币 Pond0x 中的严重缺陷导致交易者损失了至少 220 万美元,因为人们发现任何人都可以转移属于其他人的代币。人们很快开始争先恐后地互相偷钱。Pauly0x 的回应是指责买卖代币的交易员,并在第二天在 Twitter 上发布了各种帖子,称他正在给人们一个教训,人们赔钱不是他的错。他写信给愤怒的交易员,指责他地毯拉力。他在网站上添加了一条消息:"GREED KILLS"。
损失金额:$ 2,200,000攻击手法:合约漏洞
事件描述:BSC 生态 Carson 遭遇攻击,损失约 14.5 万美元。目前 Carson 代币价格下跌达 96%,攻击者已将窃取资产兑换为 600 枚 BNB 并转至 Tornado Cash。攻击者通过闪贷反复调用 0x2bdf...341a 合约(非开源)中的 swapExactTokensForTokensSupportingFeeOnTransferTokens 函数,兑换成 BUSD 并销毁该货币对中的 Carson,然后反复抬高 Carson 的价格以获取利润。
损失金额:$ 145,000攻击手法:闪电贷攻击
事件描述:据慢雾披露,IEGT 代币于 7 月 13 日在 BSC 上创建。其创建者“秘密铸造了大量代币,为拉动地毯做准备”。 尽管该项目的代币供应量只有 500 万枚,但这使得该团队能够出售 10 亿枚代币,兑现约 114 万美元的 USDT 稳定币。根据慢雾的说法,项目方是在合约初始化时,通过内联汇编的方式修改了指定地址余额,隐蔽地增发了大量未被其他用户获悉的代币,导致用户在参与项目时被 Rug。
损失金额:$ 1,140,000攻击手法:跑路
事件描述:BSC 链上的 Palmswap 项目遭到攻击,攻击者获利超 90 万美元。据慢雾分析,本次攻击事件是由于核心函数的权限管控功能未开启,并且流动性代币的价格计算模型设计得过于简单,仅取决于金库中的 USDT 代币数量和总供应量,导致攻击者可以利用闪电贷来恶意操控价格以获取非预期的利润。7 月 28 日,Palmswap 发推表示 80% 的被盗资金已被返还,剩余的 20% 作为黑客的漏洞赏金。
损失金额:$ 900,000攻击手法:闪电贷攻击
事件描述:MetaLabz 发推表示:“为了确保我们持有的供应,我们部署了一份未经审计的合约(代币储物柜),但该合约已被利用。随后流动性攻击加剧了这一情况,总共造成略高于 400 BNB 的损失。”据分析,原因在于授权检查被绕过。
损失金额:400 BNB攻击手法:合约漏洞
事件描述:7 月 25 日,据多位用户反映,Zksync 上的借贷协议 Eralend 遭受闪电贷攻击,目前已无法借贷,暂时可以提出。7 月 26 日,EraLend 发布被攻击事件进展,EraLend 表示攻击者操纵了预言机价格,导致 USDC 矿池被利用约 276 万美元。所有其他池保持安全且不受影响。攻击者使用多个桥将被利用的资金分散到各个链上的多个钱包中。
损失金额:$ 2,760,000攻击手法:闪电贷攻击
事件描述:加密货币支付服务商 Alphapo 热钱包被盗,损失 2300 万美元。Alphapo 客户 HypeDrop 已经禁用取款功能。被盗资金首先被在以太坊上交换为 ETH,然后跨链到 Avalanche 和 BTC 网络。Alphapo 处理许多博彩服务的支付,比如 HypeDrop、Bovada 和 Ignition。目前尚不清楚 Alphapo 有多少比特币被盗。 7 月 25 日,链上分析师 ZachXBT 发推表示,在 Alphapo 热钱包被盗事件中,已找到因这次黑客攻击而在 TRON 和 BTC 上额外被盗的 3700 万美元。现在 Alphapo 被盗总额增加到 6000 万美元。此次黑客攻击很可能是由 Lazarus 完成。
损失金额:$ 60,000,000攻击手法:钱包被盗