共有 1876 条记录
事件描述:据平安徐汇官方公众号,A 公司员工的张某、董某、刘某 2023 年 3 月初决定在某虚拟币钱包软件中加入后门程序以获取用户私钥。三人共计非法获取助记词 27000 余条、私钥 10000 余条,成功转换数字钱包地址 19000 余个。2024 年 4 月徐汇区人民法院依法以非法获取计算机信息系统数据罪,分别判处被告人刘某、张某甲、董某有期徒刑三年,并处罚金人民币三万元。值得注意的是,该 A 公司疑似为原火币公司。2023 年吴说独家报道,由于前员工设置木马,iToken(原火币钱包)部分用户助记词或私钥已泄露。HTX 回应为收购前、原火币员工个人行为设置木马,盗取他人助记词与私钥。
损失金额:-攻击手法:内部作恶
事件描述:Algorand 生态钱包 MyAlgo 在推特上发布提醒称,黑客攻击发生在一个多星期以前,此后没有发生其他行动。受攻击的用户在他们的账户上都拥有大量资金,并使用助记词钱包,密钥存储在浏览器中。链上数据分析师 ZachXBT 发推称:“由于 2 月 19 日至 21 日 Algorand 生态钱包 MyAlgo 遭受攻击,Algorand 上可能有超过 920 万美元资产(1950 万枚 ALGO、350 万枚 USDC 等)被盗。ChangeNow 分享说他们能够冻结 150 万美元。”
损失金额:$ 9,200,000攻击手法:助记词泄露
事件描述:DeFi 项目 LaunchZone 的流动资金池中 80% 的资金突然被抽干,LZ 代币价格从之前的 0.15 美元左右下跌超过 80% 至 0.026 美元,被盗资金约为 70 万美元。
损失金额:$ 700,000攻击手法:合约漏洞
事件描述:BSC 上的 DeFi 项目 DND Token(DungeonSwap Token)已被利用。初始资金来自 TornadoCash,攻击者从 Dungeonswap 中窃取了 2,400 多个 BNB(约合 728,000 美元)。
损失金额:$ 728,000攻击手法:合约漏洞
事件描述:@HideYoApes 之前拥有来自 Yuga Labs 的几个昂贵的 NFT,包括一个 Bored Ape、Mutant Ape、三个 Bored Ape Kennel Club NFT、一个 SewerPass 和两个 Otherdeed。攻击者卖掉了所有的 NFT,获利 127.3 wETH(约 208,000 美元)。HideYoApes 在 Twitter 上解释说他已经从 MetaMask 的官方网站下载并安装了 MetaMask 钱包扩展。
损失金额:$ 208,000攻击手法:钓鱼攻击
事件描述:据官方博客,The Sandbox 发布安全事故通知,2 月 26 日发现未经授权的第三方获得了团队一名员工计算机的访问权限,并使用其权限发送了一封虚假的声称来自 The Sandbox 的电子邮件。这封名为 “The Sandbox Game (PURELAND) Access” 的电子邮件包含指向恶意软件的超链接,能在用户的计算机上远程安装恶意软件,从而授予其对计算机的控制权和对用户个人信息的访问权。The Sandbox 表示,在发现未经授权的访问后,已通知收件人,并封禁了该员工的帐户和对 The Sandbox 的访问,目前还没有发现任何进一步的影响。
损失金额:-攻击手法:钓鱼攻击
事件描述:据 Coindesk 报道,Solana 网络经历了一次分叉事件,因而限制了用户执行交易的能力。据 Solana Explorer 显示,美国东部时间今日凌晨 2 点左右,该网络每秒处理约 93 笔交易,远低于此前大约 15 分钟前接近 5000 TPS 的网络速率。如此低的吞吐量已经禁止用户在 Solana 上进行链上交易和转账等活动。
损失金额:-攻击手法:分叉
事件描述:2023 年 2 月 24 日,Earning.farm 的 USDC 金库被利用,损失约 515 万 USDC。
损失金额:$ 5,150,000攻击手法:闪电贷攻击
事件描述:AMM 流动性管理协议 Revert Finance 在推特上披露,其 v3utils 合约被攻击,其中有 90% 资金是从单个账户中盗取,被盗窃资产包括:22983.235188 枚 USDC、4106.316699 枚 USDT、485.5786287699002 枚 OP、0.18217977664322793 枚 WETH、36.59093198260223 枚 DAI、211.21463945524238 枚 WMATIC与 22 枚 Premia。按照目前的价格,约合 2.9 万美元。
损失金额:$ 29,000攻击手法:合约漏洞
事件描述:Baby Doll (BABYDOLL) 项目遭到闪电贷攻击,损失 25 枚 BNB(约 7,900 美元)。BSC 合约地址为 0x449cfecbc8e8469eeda869fca6cccd326ece0c04a1cdd96b23d21f3b599adee2
损失金额:$ 7,900攻击手法:闪电贷攻击
事件描述:黑客利用 Dexible 智能合约代码中的一个漏洞,使用已批准支出的资金从加密钱包中提取资金。该团队补充说,“少数鲸鱼”损失的资金占本次被盗资金总量的 85%。链上数据显示,数字资产投资公司 Block Tower Capital 是受害者之一。被标记为 Block Tower Capital 的地址在本次事件中被盗价值 150 万美元的 TRU 代币。攻击者将 TRU 代币转移到 SushiSwap 兑换为以太币 (ETH),随后转入 TornadoCash。
损失金额:$ 1,500,000攻击手法:Dexible 事件影响
事件描述:稳定币交易项目 Platypus 在 AAVE 上遭遇闪电贷攻击,导致总价值约 900 万美元的资产损失。据分析,漏洞似乎在于 emergencyWithdraw 函数对 MasterPlatypusV4 合约的验证,只有在借入资产超过借入限额时才会失败。然后该函数继续转移所有用户的存款资产,而不考虑用户借入的资产价值。2 月 18 日,据 The Block 报道,Platypus 遭黑客攻击后,在安全公司的帮助下,至少已有 240 万美元资金被追回。
损失金额:$ 9,000,000攻击手法:闪电贷攻击
事件描述:DEX 工具 Dexible 疑似遭遇攻击,损失约 200 万美元。据分析,Dexible 合约 selfSwap 函数存在逻辑漏洞,会调用其中的 fill 函数,该函数存在一个调用攻击者自定义的 data,而攻击者在此 data 中构造了一个 transferfrom 函数,并将其他用户 (0x58f5f0684c381fcfc203d77b2bba468ebb29b098) 的地址和自己的攻击地址 (0x684083f312ac50f538cc4b634d85a2feafaab77a) 传入,导致该用户授权给该合约的代币被攻击者转走。
损失金额:$ 2,000,000攻击手法:合约漏洞
事件描述:Multichain 的 AnyswapV4Router 合约遭遇抢跑攻击,攻击者获利约 87 个以太坊,约 13 万美元。经分析,攻击者利用 MEV 合约 (0xd050) 在正常的交易执行之前(用户授权了 WETH 但是还未进行转账)抢先调用了 AnyswapV4Router 合约的 anySwapOutUnderlyingWithPermit 函数进行签名授权转账,虽然函数利用了代币的 permit 签名校验,但是本次被盗的 WETH 却并没有相关签名校验函数,仅仅触发了一个 fallback 中的 deposit 函数。在后续的函数调用中攻击者就能够无需签名校验直接利用 safeTransferFrom 函数将 _underlying 地址授权给被攻击合约的 WETH 转移到攻击合约之中。
损失金额:$ 130,000攻击手法:抢跑攻击
事件描述:域名注册商 Namecheap 的电子邮件账号遭到黑客攻击,黑客利用将该账号发送钓鱼邮件。根据 BleepingComputer 的报告,网络钓鱼活动起源于 SendGrid,为 Namecheap 用来发送营销邮件和续订通知的电子邮件平台。这些钓鱼邮件假装来自物流供应商 DHL 和加密货币钱包 MetaMask。其中冒充 MetaMask 的电子邮件称收件人的账户已被暂停,需要完成 KYC 验证过程才能重新激活。该电子邮件还包含 Namecheap 营销链接,该链接将用户重定向到一个虚假的 MetaMask 页面,要求用户输入他们的助记词或私钥,寻求窃取收件人的个人信息和加密货币钱包资产。MetaMask 官方回应称,MetaMask 不会收集 KYC 信息,也不会向用户发送有关帐户的电子邮件。
损失金额:-攻击手法:钓鱼攻击
事件描述:网络安全初创公司 Unciphered 对 OneKey 制造的加密硬件钱包实施了攻击。在 YouTube 上的一个视频中,Unciphered 展示了一种所谓的“中间人”钱包攻击方法,它能够利用一个漏洞从 OneKey Mini 硬件钱包中提取助记种子短语,也就是私钥。OneKey 在一份声明中承认了该漏洞,并表示已经更新了安全补丁,没有人受到影响。OneKey 表示已向 Unciphered 公司支付了一笔赏金。
损失金额:-攻击手法:“中间人”攻击
事件描述:BSC 上项目 fcdep(EPMAX) 遭到闪电贷攻击,损失约 35 万美元。
损失金额:$ 350,000攻击手法:闪电贷攻击
事件描述:DeFi 聚合平台 dForce 在 Arbitrum 和 Optimism 遭到攻击,攻击者获利约 365 万美金。据慢雾分析,此次攻击的根本原因在于攻击者利用在 wstETH/ETH Pool 中移除流动性时先转移 Native 代币后燃烧 LP 的流程,触发接收 Native 代币回调来重入操控虚拟价格并清算其他用户获利。2 月 13 日,dForce 发推表示,攻击者已将被盗资金全部返还给 Arbitrum 和 Optimism 上的项目多签地址,所有受影响的用户都将得到补偿。
损失金额:$ 3,650,000攻击手法:价格操纵
事件描述:SushiSwap 的 BentoBoxv1 合约遭受攻击,黑客获利约 2.6 万美元。据分析,该攻击是由于 Kashi Medium Risk ChainLink 价格更新晚于抵押/借贷后。在两笔攻击交易中,攻击者分别 flashloan 了 574,275 和 785,560 个 xSUSHI,在抵押和借贷之后,LINK Oracle 中的 kmxSUSHI/USDT 的价格从下降了 16.9%。通过利用这一价格差距,攻击者可以调用 liquidate() 函数清算从而获得 15,429 和 11,333 个 USDT。
损失金额:$ 26,000攻击手法:价格操纵
事件描述:Arbitrum 上 DeFi 协议 Umami Finance 为机构客户提供收益产品。在 1 月 31 日,他们宣布他们将暂停收益率,声称他们担心监管策略。不久之后,项目 CEO 开始在市场上抛售代币,套现 44,000 个 UMAMI 代币。这些表面上的价格为 800,000 美元,尽管抛售使 UMAMI 价格暴跌了 60% 以上,但 CEO 仍净赚了约 380,000 美元的 USDC。
损失金额:$ 380,000攻击手法:跑路