共有 2045 条记录
事件描述:去中心化永续合约交易平台 Denaria 发推表示,其昨日遭受智能合约攻击,损失约 16.5 万美元。目前团队正与 Linea 及审计方合作调查,将尽快发布完整事后分析报告。
损失金额:$165,000攻击手法:智能合约攻击
事件描述:据 ExVul 监测,BSC 链上发生 TMM/USDT 储备操纵攻击,导致约 166.5 万 USDT 的损失。攻击者利用来自 Lista DAO Moolah、Venus、Aave V3、Pancake SwapVault 和 Uniswap PoolManager 的闪电贷操纵 TMM/USDT 交易对。攻击者将 TMM 销毁至黑洞地址,使交易对储备降至 1 枚 TMM,随后将 8.5 亿枚 TMM 兑换为约 2.72 亿 USDT。在偿还所有闪电贷后,攻击者将约 166.5 万 USDT 的利润转移至相关地址。
损失金额:$ 1,665,000攻击手法:储备操纵攻击
事件描述:DeFi 借贷协议 HypurrFi 发推表示,hypurr .fi 域名被劫持,团队已将基础设施迁移至 hypurrfi .com,协议本身、用户资金及团队基础设施未受影响。
损失金额:0攻击手法:域名劫持
事件描述:GoPlus 发布安全警报,Adobe 疑似遭攻击,约 1300 万用户数据泄露。用户可能面临伪装 Adobe 客服的钓鱼邮件或电话、工单信息被用于精准社工诈骗、密码撞库等风险。
损失金额:-攻击手法:供应链攻击
事件描述:据 ZachXbt 监测,Trust Wallet 的 Discord 短链接 discord[.]gg/trustwallet 已被劫持,目前指向一个钓鱼服务器。用户应避免通过官方渠道(包括官网、Telegram、博客等)提供的链接加入该 Discord。
损失金额:0攻击手法:基础设施劫持
事件描述:据 The Block 报道,Solana 生态去中心化交易平台 Drift Protocol 遭黑客攻击,损失至少 2 亿美元,一些估计认为损失接近 2.7 亿美元,成为 Solana 生态仅次于 Wormhole 桥漏洞的第二大 DeFi 安全事件。攻击涉及多个 Drift 金库,包括 JLP Delta Neutral、SOL Super Staking 和 BTC Super Staking。链上数据显示,攻击者已将被盗资产通过 Jupiter 兑换为 USDC,并跨链至以太坊购买 ETH,截至 UTC 时间 17:45,攻击者持有约 19,913 枚 ETH(约 4200 万美元)。Drift 表示正在调查异常活动,并提醒用户暂停存入资金。随后,据派盾统计,Drift Protocol 在攻击事件中的损失超 2.85 亿美元。
损失金额:$ 285,000,000攻击手法:未知
事件描述:Galaxy Digital 发言人披露,该公司近日控制了一起网络安全事件,未经授权访问仅限于一个隔离的开发测试环境,生产系统、交易平台和客户账户均未受影响。公司迅速检测并控制入侵,受影响的是用于研发的独立环境,与核心基础设施无关,损失不到 1 万美元的公司测试资金。经审查,没有客户资金或账户信息被访问或处于风险中,所有平台和服务完全正常运行。Galaxy 表示将继续审查事件并适时更新进展。
损失金额:$ 10,000攻击手法:未知
事件描述:据 BlockSec 监测,发现 BSC 链上一个疑似 LML/USDT 质押协议的未知合约遭攻击,损失约 95 万美元。分析显示,漏洞或源于定价设计缺陷:可领取奖励基于 TWAP 或快照价格计算,而攻击者可在受操纵的现货价格下出售奖励代币。攻击者首先通过包含接收者为零地址的路径进行交易推高 LML 价格,随后通过此前存入代币的地址调用领取功能,在攻击过程中直接获取奖励。
损失金额:$ 950,000攻击手法:价格操纵与预言机套利攻击
事件描述:DeFi 项目 Steakhouse Financial 昨日披露其遭遇针对 OVH Cloud 的电话社交工程攻击,攻击者更改主站和 app 子域名的 DNS A 记录指向恶意 IP,并试图启动 5 天的域名转移。目前相关更改已撤销,DNS 记录已清空,正在与 OVH 合作解决。所有金库和合约未受影响,储户资金安全,无其他服务账户被入侵。在问题解决前请勿与官网和邮件交互,详细事后报告将尽快发布。今日凌晨,Steakhouse Financial 表示,在官网域名 DNS 记录清空期间,金库仍可通过 Morpho 直接访问,存款、提款等所有功能正常,前端恢复后将另行确认。
损失金额:-攻击手法:社交工程
事件描述:Huma Finance 在 X 平台发布提醒称,其合作伙伴 Arf 的官方 X 账户 @arf_one 遭到入侵,在账户恢复前请勿与该账户的任何帖子互动。
损失金额:0攻击手法:账号被黑
事件描述:Socket 检测到 npm 核心包 axios 的 1.14.1 版本遭遇活跃的供应链攻击。攻击者通过注入一个今日首次出现的恶意依赖包,向 axios 植入恶意代码。建议使用 axios 的开发者立即固定版本,并审查项目锁定文件。
损失金额:0攻击手法:供应链攻击
事件描述:据 BlockSec Phalcon 监测,发现一起针对 BSC 链上未知合约(Stake)的可疑交易,造成约 13.3 万美元损失。攻击者利用 Stake 合约中的现货价格依赖漏洞,操纵 TUR-NOBEL 池中的 TUR 价格后质押 TUR,基于被推高的价格触发奖励计算,通过推荐账户领取放大后的奖励,最终将盗取的 TUR 兑换为 USDT 获利。
损失金额:$ 133,000攻击手法:预言机操纵
事件描述:据 The Block 报道,DeFi 借贷协议 Moonwell 在 Moonriver 部署上正遭遇治理攻击。一名未知攻击者约花费 1800 美元买入约 4000 万枚 MFAM 代币,在约 11 分钟内完成买入、发起提案并投票过审,试图通过将 7 个借贷市场、控制器及预言机等核心合约的管理员权限转移至其控制合约,从而可提取约 108 万美元用户资金。目前该提案投票将持续至 3 月 27 日,早期已达法定人数,随后反对票占优,但最终结果仍取决于剩余投票及协同。
损失金额:0攻击手法:治理攻击
事件描述:慢雾科技首席信息安全官 23pds 在 X 平台发文称:“每月下载量高达 9700 万次的 LiteLLM 发生 PyPI 供应链攻击:“通过 pip install litellm 即可窃取敏感信息,包括SSH密钥、云凭据(AWS/GCP/Azure)、Kubernetes 配置、Git 凭据、环境变量(API 密钥)、Shell 历史、加密钱包及数据库密码等。”
损失金额:-攻击手法:PyPI 供应链攻击
事件描述:据 BlockSec Phalcon 监测,BSC 链上的 PancakeSwap BCE-USDT 池数小时前遭遇攻击,损失约 67.9 万美元。根本原因在于 BCE 代币的销毁机制存在缺陷。攻击者部署了两个恶意合约,绕过买卖限制并触发池内代币销毁,通过操纵池中储备从 BCE-USDT 池中提取约 67.9 万美元获利。
损失金额:$ 679,000攻击手法:流动性池储备操纵
事件描述:PeckShield 在 X 平台发文警示称,Resolv Labs 稳定币 USR 疑似已出现多笔大额铸造,目前已铸造价值 8000 万美元的 USR。
损失金额:$ 25,000,000攻击手法:合约漏洞
事件描述:DeFi 协议 Neutrl 在 X 平台发文宣布,其前端疑似遭攻击,团队正在紧急调查,出于安全考虑,官方建议用户在进一步更新发布前不要与网站进行任何交互。同时,Neutrl 提醒用户尽快前往 Revoke.cash 撤销对相关地址的 Permit2 授权,并且提醒用户也应检查并撤销对其他可疑地址的授权,以降低潜在资产风险。随后,Neutrl 调查结果初步显示,托管该应用域名的 DNS 提供商遭到了社会工程攻击,导致攻击者重定向了该域名。
损失金额:-攻击手法:DNS 劫持
事件描述:DeFi 借贷协议 dTRINITY 在 X 平台披露,昨日,dLEND 在以太坊上的部署遭遇首次存款通胀攻击,导致借贷供应中的 dUSD 资金被耗尽,造成约 25.7 万美元坏账。协议已暂时暂停,团队正积极制定补救措施,并承诺使用内部资金 100% 覆盖损失,坏账偿还将在此公告 24 小时内开始,随后恢复 dLEND。dTRINITY 在 Fraxtal 和 Katana 上的部署未受影响,用户资金安全。各协议部署均保持链隔离的储备、抵押品和借贷存款。
损失金额:$ 257,000攻击手法:存款通胀攻击
事件描述:攻击者利用 Venus Protocol 的漏洞,借助闪电贷获取了大量资产。在此次攻击中,攻击者的地址(0x1a35...6231)成功获取了 20 枚 BTC、150 万枚 CAKE 以及 200 枚 BNB,总价值超过 370 万美元。为了进行操作,攻击者将大量 THE 代币作为抵押品,借出了 Cake、BTCB 和 BNB,导致大量 THE 代币持续被清算。经过 Venus Protocol 风险管理方Allez Labs 的最新调查,确认此次攻击源自 BNB Chain 核心池的供应上限操纵。攻击者自 2025 年 6 月起,逐步积累 THE 代币,最终在 9 个月内将其持有量提升至供应上限的 84%(约 1450 万枚 THE)。随后,攻击者通过直接向协议合约转账的方式绕过了正常的存款流程,完全规避了供应上限,最终建立起 5320 万枚 THE 的头寸(为上限的 3.67 倍)。利用 THE 代币链上流动性低的弱点,攻击者操控了 TWAP 预言机,将 THE 价格从 0.27 美元推高至 0.53 美元,借出了大量其他资产。峰值时,攻击者以 5320 万枚 THE 作为抵押品,借出了 667 万枚 CAKE、2801 枚 BNB、1970 枚 WBNB、158 万枚 USDC 和 20 枚 BTCB。为了防止进一步的损失,Venus Protocol 已经暂停了涉及 THE 资产以及其他流动性高度集中的市场(如 BCH、LTC、UNI、AAVE、FIL、TWT 等)的借贷和提现功能。然而,其他 Venus 市场未受到影响,仍在正常运行。Venus 表示将继续与安全合作伙伴合作,深入调查此次事件,并及时提供进一步的更新。
损失金额:$ 3,700,000攻击手法:闪电贷➕预言机操纵
事件描述:据 BlockSec Phalcon 监测,DBXen 合约今日上午遭遇攻击,估计损失约 15 万美元。根本原因在于 ERC2771 元交易下发送者身份不一致。
损失金额:$ 150,000攻击手法:逻辑漏洞