共有 2141 条记录
事件描述:BSC 链上 ATM 代币因其 transferFrom() 函数中的自定义逻辑漏洞(自动将转账金额的约 20% 兑换为 BSC-USD)被攻击者反复触发 swap 机制,导致协议损失约 24.35 万美元。
损失金额:$ 243,500攻击手法:合约漏洞
事件描述:Gnosis Pay 披露其 Delay Module(延迟模块)存在漏洞且正在被利用。该模块为 Gnosis Pay 自托管卡支付系统提供交易安全延时保护。项目方紧急建议用户立即将 EURe 和 GNO 余额从卡中提现至钱包。Gnosis 团队确认将对受影响用户进行全额赔偿。
损失金额:0攻击手法:合约漏洞
事件描述:GoPlus 发布安全警报称,加密 KOL Jadoodoo(@jadoodoo_ )的 X 账号被盗,攻击者正以合作名义疯狂私信粉丝发送钓鱼链接。已有多个 KOL 中招,总损失约 5000 美元。
损失金额:$ 5000攻击手法:社会工程
事件描述:BSC 链上 DeFi 项目 TesseraDAO(TSR 代币)遭遇攻击,黑客通过控制核心合约铸造 9900 万枚 TSR 代币,并在 PancakeSwap 抛售获利约 240 万美元,导致 TSR 价格暴跌 99%。资金后续桥接至 Ethereum 并经 Tornado Cash 洗钱。
损失金额:$ 2,400,000攻击手法:私钥泄漏
事件描述:Fluid DeFi 协议的 off-chain Merkle 奖励分发基础设施遭受攻击,黑客利用妥协的 proposer 和 approver 操作密钥提交虚假 Merkle root 并通过空证明领取奖励,造成约 21.5 万美元损失。核心借贷、DEX 和用户资金未受影响,项目方已撤销受损密钥并暂停领取进行升级。
损失金额:$ 215,000攻击手法:私钥泄漏
事件描述:Phala Cloud API 端点存在漏洞,允许攻击者对部分 Offchain KMS CVM 进行未经授权的修改。攻击者向受影响 CVM 部署恶意预启动脚本,可能在 CVM 启动后访问解密的加密环境变量。问题已于 2026 年 6 月 1 日修复并控制,受影响用户/CVM 已通过邮件直接通知。
损失金额:0攻击手法:API 端点漏洞
事件描述:连接 Ethereum 与 Cosmos 生态的跨链桥 Gravity Bridge 疑似因合约密钥/签名权限泄露遭到攻击,黑客直接从桥合约提取约 $5.4M 资产(主要为 USDC、ETH、USDT)。攻击者已开始通过交易所和混币器洗钱,部分资金仍在攻击者控制中。
损失金额:$ 5,400,000攻击手法:私钥泄漏
事件描述:Alephium TokenBridge 遭受攻击,黑客利用桥后端漏洞伪造消息,在约 7 分钟内从 Ethereum 和 BNB Chain 提取约 81.5 万美元资产,并 mint 出大量未 backing 的 wrapped ALPH。项目方迅速关闭桥梁,承诺补偿用户,并建议用户撤出 ALPH 流动性。
损失金额:$ 815,000攻击手法:桥后端的链下漏洞
事件描述:BSC 上的 DeFi 项目 AROS 遭受攻击,攻击者通过与 AROS/USDT PancakeSwap 流动性池交互,抽走约$295.3K USDT。
损失金额:$ 295,300攻击手法:合约漏洞
事件描述:LegendaryMoneyMonNft 合约中 cliamRewred 函数存在签名验证缺陷。verify() 仅依赖 recoverSigner 检查签名者是否为 admin,且未正确处理 ecrecover 返回 address(0) 的情况。攻击者先将 admin 设为零地址,再使用无效签名(r=0, s=0, v=27)绕过验证,任意领取奖励并提走合约内所有代币,最终通过 PancakeSwap 换成 USDT。
损失金额:$ 85,519.47攻击手法:合约漏洞
事件描述:Computility 关联的 YSDAO 项目在 BSC PancakeSwap V2 流动性池遭受攻击,黑客通过合约调用操纵储备并提取资金,造成约 1.95 万美元损失。
损失金额:$ 19,500攻击手法:储备操纵攻击
事件描述:Joe Agent($JOE)项目合约存在单函数重入漏洞,攻击者在 _removeLiquidityViaContract 函数中利用 BNB 发送后才更新状态的逻辑,通过约 25 次重入循环,盗取了 62.5 BNB 和约 119.6万 JOE。
损失金额:$ 45,000攻击手法:重入攻击
事件描述:BNB Chain 上老牌 DeFi Launchpad 兼流动性锁定平台 DxSale 的 legacy liquidity locker 合约被利用,约 730 万美元资金(1400 + 个 2021 年老 LP)被抽干。攻击者利用所有者权限,通过自定义 drainer 合约降低费用、将解锁时间回溯至1970 年并提取资金,链上证据指向可能与团队相关地址有关,平台目前保持沉默。
损失金额:$ 7,300,000攻击手法:所有者权限覆盖攻击
事件描述:ONTR 代币项目因合约 onlyOwner 逻辑缺陷(允许 owner == address(0)),导致已 renounce 的代币可被重新获取所有权。攻击者通过隐藏的余额授予逻辑伪造巨额 ONTR 余额,无 totalSupply/mint 日志,然后注入 LP 并换出 WETH 获利。
损失金额:$ 98,200攻击手法:合约漏洞
事件描述:DeFi 协议 Stake DAO 在 Arbitrum 网络上因部署者私钥泄露遭受攻击。攻击者利用获取的特权权限,篡改了与跨链协议 LayerZero v2 连接的 setPeer() 配置,将信任的对端指向自己控制的合约,从而伪造跨链消息,触发了约 5.4 万亿枚 vsdCRV 代币的无限铸造。随后,攻击者将其中的约 1683 万枚 vsdCRV 兑换为约 43.78 枚 ETH,获利约 91,170 美元,并将资金桥接至以太坊主网。
损失金额:$ 91,170攻击手法:私钥泄漏
事件描述:2026 年 5 月 27 日,Superfortune($GUA)项目发生安全事件。团队原计划将额外解锁的代币转入空投领取合约,但在多签交易执行过程中,目标地址被异常替换,导致约 1498 万 GUA(转出时价值约 1518 万美元)被发送至疑似黑客控制的地址。黑客随后将代币全部抛售,换得约 2784 ETH(当时价值约 566 万美元),并分散至多个钱包。事件导致 GUA 代币价格暴跌约 70-76%。官方初步调查指向多签交易中的地址篡改,虽最初提及“疑似地址投毒”,但因黑客地址此前无任何交互记录,投毒可能性被评估为较低。项目方正在持续调查中,并承诺后续更新。
损失金额:$ 15180000攻击手法:多签地址篡改
事件描述:BSC 上 SKP 遭遇一次 token-side LP balance drain + sync 型攻击。攻击者单笔交易获利约 $212,850(162,854.21 USDT + 75.88 BNB)。根本原因是 SKP 代币逻辑存在缺陷,允许在大额买入后从 Pancake V2 SKP/USDT LP 中额外转出 SKP 余额,并通过 sync() 函数写入错误储备,将 SKP reserve 压至接近零。攻击者利用闪电贷放大操作完成攻击。
损失金额:$ 212,850攻击手法:合约漏洞
事件描述:WUSD.fi / GLOVE 项目在 Ethereum 上遭受激励滥用攻击。攻击者利用 WUSD._englove 奖励机制中缺乏 Sybil 抵抗的问题,通过 EIP-7702 helper 合约和 Morpho USDT 闪电贷反复 wrap/unwrap WUSD,多次 mint GLOVE 代币,然后将 GLOVE 倾销到 Uniswap V3 GLO-USDC 和 GLO-USDT 流动性池中,窃取了约 $200K 的 USDC 和 USDT。
损失金额:$ 200,000攻击手法:女巫攻击
事件描述:一款名为 SquidRouterModule 的第三方 Gnosis Safe 模块被利用,导致 86 个 Safe 钱包在以太坊和 Base 链上约 2 小时内被盗取约 300 万美元资金。该模块与官方 Squid Router 无关,仅因合约名称相似引发混淆。受害者此前将此第三方模块添加为可信 Safe Module,赋予其无需签名即可花费 Safe 内资产的权限。攻击者利用模块的验证漏洞执行任意调用,通过伪造 Uniswap V3 交换将真实代币换成无价值代币并提取资金。Squid 官方确认其核心路由合约(0xce16F...)和用户资金未受影响。
损失金额:$ 3,200,000攻击手法:合约漏洞
事件描述:据链上侦探 ZachXBT 和安全机构 Blockaid 披露,欧洲稳定币发行商 StablR 的两个相关智能合约(Ethereum 上的 EURR 和 USDR)疑似被攻击。攻击者资金通过 Noble 上的 CCTP 注入,已提取约 280 万美元以上,导致两种稳定币严重脱锚。
损失金额:$ 2,800,000攻击手法:私钥泄漏