共有 1722 条记录
事件描述:SushiSwap Launchpad 平台 MISO 上 Jay Pegs Auto Mart 项目的 DONA 代币拍卖遭到攻击,攻击者向 MISO 前端插入了恶意代码,将拍卖钱包地址改为了自己的钱包地址,损失目前已达 865 ETH (约 307 万美元)。SushiSwap 首席技术官 Joseph Delong 在推特表示该漏洞已被修复,且已要求 FTX 和币安提供攻击者的 KYC 信息,但两家交易所均拒绝配合。此外,Joseph Delong 还表示已经通过律师向 FBI 报案,并提醒项目方检查是否存在类似的前端漏洞。后据以太坊区块浏览器 Etherscan 显示,攻击者向 SushiSwap 归还了全部 ETH ,该操作分为两笔交易,第一笔归还 100 ETH,第二笔归还 700 ETH,第三笔归还 65 ETH。
损失金额:-攻击手法:恶意代码注入攻击
事件描述:Defibox 于 9 月 16日 晚 22 时发现 EOS-EMOON 交易对异常兑换情况,经过紧急排查,于 9 月 17 日 0 时暂停 Swap 合约,并于 9 月 17 日上午在完成审计以及多签后重新开放 Swap 合约。本次兑换异常是由于 Defibox Swap 合约和 EMOON 合约互相调用的不兼容性导致,事件发生前底池数为 482636464535179.88 EMOON/4866.1494 EOS,合约暂停时 EMOON 底池为 5790970803030.11 EMOON/3.4553EOS,造成约 4863 EOS 损失。目前 Defibox 团队已排除其他燃烧型代币会引起的此类型风险,并已升级 Swap 合约,进一步提高合约的安全性。Defibox 基金会将启动风险准备金,赔付 4863 EOS 给 EMOON 社区。
损失金额:4,863 EOS攻击手法:兼容性问题
事件描述:隐私公链 Secret Network 在推特表示,主网已经进行了一次计划外升级,将主网版本从 secret-2 升级为 secret-3,以防止网络出现重大安全问题而导致资金损失。团队表示,原生代币 SCRT 和跨链桥合约都没有受到影响,只有一个单一的智能合约受到了影响,该合约来自于 SecretSwap,有一个漏洞被利用了,使攻击者可以抽走质押 SEFI 合约中的资金。目前跨链桥仍处于关闭状态,交易所的存款功能也处于关闭状态。
损失金额:-攻击手法:合约漏洞
事件描述:以太坊上的去中心化交易所 Nowswap 遭到闪电贷攻击,攻击者掏空了 Nowswap 的流动资金池,流动资金池规模从 1,069,197 美元缩至 24.15 美元,攻击者获利 53.6 万 USDT 和 158 WETH,合计 100 多万美元。攻击者利用 Nowswap USDT/WETH 交易对合约中的 K 值验证漏洞,进行多次兑换,每次兑换获得正常应得兑出资产的多倍,直至将交易对池子中的资产薅光。
损失金额:$ 1,000,000攻击手法:K 值验证漏洞
事件描述:以太坊扩容网络 Arbitrum One 发布针对网络故障的报告。从美东时间 9 月 14 日 10:14 开始,Arbitrum One 停机持续 45 分钟,期间 Arbitrum Sequencer(定序器)处于离线状态,资金从未面临风险。停机的根本原因是一个 Bug,导致 Sequencer 在短时间内收到大量交易时卡住,Arbitrum 团队已经定位到该问题并已部署修复程序。团队还表示,就算 Sequencer 故障,也不会影响该网络的持续运行,用户可以绕开 Sequencer,将交易直接提交到以太坊。
损失金额:-攻击手法:安全漏洞
事件描述:公链 Solana 的主网 Beta 版自北京时间昨夜 19:52 开始出现不稳定状况,至今已达 12 小时,Solana 链上应用至今无法正常运转。Solana Status 发布的信息称,Solana 验证人社区选择协同重启网络,快照高度为 slot 96542804。Solana Status 建议验证节点更新至 Mainnet-Beta 1.6.24 版本。9 月 21 日消息,Solana 官方发布 9 月 14 日网络中断初步概述,据悉,9 月 14 日,Solana 网络离线 17 个小时。没有资金损失,网络在 24 小时内恢复了全部功能。网络停滞的原因是拒绝服务攻击。UTC 时间 12:00,Grape Protocol 在 Raydium 上启动 IDO,机器人生成的交易使网络拥堵。这些交易造成了内存溢出,导致许多验证节点崩溃,迫使网络变慢并最终停止。当验证节点网络无法就区块链的当前状态达成一致时,网络就会脱机,从而阻止网络确认新区块。
损失金额:-攻击手法:DDoS 攻击
事件描述:Klondike Finance 遭到黑客攻击,总损失大约 35,281.71 KXUSD(6.5629 WETH)。
损失金额:35,281.71 KXUSD攻击手法:闪电贷攻击
事件描述:Avalanche 链上 Zabu Finance 项目遭受闪电贷攻击。官方表示,攻击者从 Zabu Farm Contract 提取 45 亿个 ZABU 代币,使供应达到 50 亿,并将全部倾销给 ZABU 的 Pangolin LPs 和 Trader Joe LPs。根据 DeFi 分析提供商 DeFiprime 的说法,总额估计为 320 万美元的漏洞利用。
损失金额:$ 3,200,000攻击手法:合约漏洞
事件描述:NFT 市场 OpenSea 的一个漏洞导致至少 42 个 NFT 被发送至一个销毁地址,价值至少 10 万美元。这个问题首先是由以太坊域名服务(ENS)的首席开发者 Nick Johnson 提出的,他指出,当他转移一个 ENS 域名(以 NFT 的形式)时,它被转移到了一个销毁地址。这意味着它被意外地发送到一个无人控制的地址,不能再移动了。关于被销毁的 ENS 域名,Johnson 称,这是第一个注册的 ENS 域名,名为 rilxxlir.eth,当 Johnson 用个人资金注册时它是由一个 ENS 账户持有的。为了把 ENS 域名转到他自己的账户上,他去 OpenSea 进行转移操作,但却发现它被错误地发送到一个销毁地址。 由于 Johnson 仍然是该 ENS 域名的控制人,他仍然能够修改,只是无法移动该域名。随后,Johnson 收到了其他受到类似影响的人的进一步报告,并汇总了一份包含 32 笔受影响交易的清单,涉及 42 个 NFT。大多数 NFT 采用 ERC-721 标准,但也有少数采用 ERC-1155。他查看了每个 NFT 的地板价,合计约为 10 万美元。Johnson 声称 OpenSea 现在已经修复了这个漏洞。
损失金额:$ 100,000攻击手法:合约漏洞
事件描述:推特网友 “mhonkasalo” 表示,dYdX 质押合约存在 bug,用户质押时收到 0 枚 stkDYDX,前端已禁用,共有 64 个受影响的地址。后 dYdX 发布“质押合约 bug”事故报告,dYdX 安全模块在可升级智能合约部署过程中,出现了一个错误,导致 DYDX 兑换 stkDYDX 比率从 1 变为 0,使得质押 DYDX 的用户没有收到 stkDYDX。dYdX 表示,错误是由于智能合约部署过程中出现错误导致的,其认为代码本身没有任何错误,安全模块之前接受了智能合约审计,并且基于流动性模块设计,该设计也经过审计。安全模块在部署前经过全面测试。 目前,用户资金安全的锁定在安全模块中,直至 28 天的 epoch 结束,没有分发安全模块奖励也无法提款。为了恢复合约功能,需要进行升级,建议解决方案为恢复安全模块功能、允许质押用户取回资金、补偿用户因参加安全模块错误的奖励。
损失金额:-攻击手法:合约部署错误
事件描述:Ethereum Classic (ETC)发推称,因以太坊客户端 Geth 此前漏洞导致 ETC 主网遭遇分叉,目前大部分算力在主网上,Core-geth 节点运营商应尽快更新到 v1.12.1 以上版本。
损失金额:-攻击手法:以太坊客户端 Geth 漏洞
事件描述:DAO Maker 的 Vesting 合约遭到黑客攻击。DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)都使用了 Dao Maker 的分发系统,在 DAO Maker 中进行持有者发行(SHO)时因 DAO Maker 合约被攻击,即 SHO 参与者的分发系统中出现了一个漏洞:init 未初始化保护,攻击者初始化了 init 的关键参数,同时变更了 owner,然后通过 emergencyExit 将目标代币盗走,并兑换成了 DAI,攻击者最终获利近 400 万美元。
损失金额:$ 4,000,000攻击手法:合约漏洞
事件描述:某用户在推特上宣称自己误入了一个 NFT 拍卖骗局,被某个艺术网站卷走了价值 33.6 万美元的以太坊。然而故事的发展有些出人意料,因为对方竟然将 100 ETH 悉数奉还。本次骗局,受害者自述始于其从 Discord 上的某个人口中打探到了周一的 NFT 拍卖,而后他以为自己有幸中标了网站上的首个 NFT,并为此付出了 100 ETH(约 33.6 万美元)。然而据 BBC 周二报道,一位黑客利用了艺术家 Banksy 网站的一个安全漏洞,并设置了一个网页(banksy.co.uk/NFT)来兜售所谓的非同质代币(NFT)。最后虽然黑客退回了款项,但该用户还是损失了 5000 美元的交易费用。
损失金额:$ 5,000攻击手法:钓鱼攻击
事件描述:Fantom 生态与 FTM 挂钩的算法稳定币项目 Tomb Finance 代币 TOMB 昨日最大跌幅一度达到 77%,并被社区怀疑遭到攻击,对此,Tomb Finance 表示,其用来在卖出 TOMB 时征收服务费的机制 Gatekeeper 被第三方利用,从而导致恐慌性抛售,但项目未遭到攻击,也没有资金被盗。
损失金额:-攻击手法:服务费征收机制缺陷
事件描述:OpenZeppelin 发布错误漏洞修复分析,Whitehat Zb3 于 2021 年 8 月 21 日在 OpenZeppelin 的 TimelockController 合约中提交了一个严重的可重入漏洞,该漏洞影响了 Immunefi 漏洞赏金平台上托管的一个项目。该项目选择保持匿名,已向白帽子支付了一笔未公开的金额(包括匿名奖金),OpenZeppelin向白帽子支付了 25,000 美元的奖金,以表彰他们对社区安全的贡献,并发布了补丁。 据其所知,这是 OpenZeppelin 在其开源智能合约库中唯一存在的严重漏洞。该漏洞已在受影响的项目中进行了修补,OpenZeppelin 已发布了修复该漏洞的更新合约版本。所有使用 TimelockController 的项目都应该迁移。
损失金额:-攻击手法:合约漏洞
事件描述:抵押借贷平台 Cream Finance 出现闪电贷攻击,其在发布的闪电贷攻击事后分析报告中表示,漏洞导致 AMP 代币和 ETH (价值约合 1900 万美元)被盗,并承诺将所有协议费用的 20% 用于偿还,直至全部偿还。此次安全事件有一个主要的漏洞攻击者和一个模仿者。10 月 4 日,据 Cointelegraph 报道,DeFi 安全机构 Lossless 已协助收回被盗的 5152.6 枚 ETH,价值近 1670 万美元。
损失金额:$ 2,300,000攻击手法:闪电贷攻击
事件描述:Bilaxy(币系)交易所发推称,热钱包被黑客攻击,损失约 296 个代币(包括 ETH)。
损失金额:$ 21,709,378攻击手法:钱包被盗
事件描述:遭遇闪电贷攻击的 DeFi 质押和流动性策略平台 xToken 发布 xSNX 合约漏洞事件分析报告。UTC 时间 8 月 29 日4:43,xSNX 合约中一个漏洞被利用,估计持有人的损失为 450 万美元。 xToken 认为此时最好是停止提供 xSNX 产品。xToken 表示,将不再使用 xSNX 合约进行 SNX 质押。
损失金额:$ 4,500,000攻击手法:闪电贷攻击
事件描述:波卡生态 DeFi 收益聚合器 Dot.Finance 遭受闪电贷攻击。Dot.Finance 的代币 PINK 短时急跌 35%,从 0.77 USD 跌至约 0.5 USD。攻击者获利 900.89 BNB(合计约 $429,724)。
损失金额:$429,724攻击手法:闪电贷攻击
事件描述:今年 5 月 SEC 对 5 名涉嫌推广 BitConnect 的人提起诉讼。SEC 认为 BitConnect 是一种未注册的数字资产证券产品,该计划通过发起人网络从散户投资者那里筹集了超过 20 亿美元。BitConnect 是在 2017 年推出具备庞氏骗局特征的一项加密货币投资计划,其代币 BCC 是当时价值最高 20 种加密货币之一,市值超过 26 亿美元。9 月份,BitConnect 创始人 Glenn Arcaro 承认参与诈骗计划,该计划涉嫌金额达 20 亿美元。
损失金额:$ 2,000,000,000攻击手法:骗局