共有 2034 条记录
事件描述:据 BlockSec Phalcon 监测,发现一起针对 BSC 链上未知合约(Stake)的可疑交易,造成约 13.3 万美元损失。攻击者利用 Stake 合约中的现货价格依赖漏洞,操纵 TUR-NOBEL 池中的 TUR 价格后质押 TUR,基于被推高的价格触发奖励计算,通过推荐账户领取放大后的奖励,最终将盗取的 TUR 兑换为 USDT 获利。
损失金额:$ 133,000攻击手法:预言机操纵
事件描述:据 The Block 报道,DeFi 借贷协议 Moonwell 在 Moonriver 部署上正遭遇治理攻击。一名未知攻击者约花费 1800 美元买入约 4000 万枚 MFAM 代币,在约 11 分钟内完成买入、发起提案并投票过审,试图通过将 7 个借贷市场、控制器及预言机等核心合约的管理员权限转移至其控制合约,从而可提取约 108 万美元用户资金。目前该提案投票将持续至 3 月 27 日,早期已达法定人数,随后反对票占优,但最终结果仍取决于剩余投票及协同。
损失金额:-攻击手法:治理攻击
事件描述:慢雾科技首席信息安全官 23pds 在 X 平台发文称:“每月下载量高达 9700 万次的 LiteLLM 发生 PyPI 供应链攻击:“通过 pip install litellm 即可窃取敏感信息,包括SSH密钥、云凭据(AWS/GCP/Azure)、Kubernetes 配置、Git 凭据、环境变量(API 密钥)、Shell 历史、加密钱包及数据库密码等。”
损失金额:-攻击手法:PyPI 供应链攻击
事件描述:据 BlockSec Phalcon 监测,BSC 链上的 PancakeSwap BCE-USDT 池数小时前遭遇攻击,损失约 67.9 万美元。根本原因在于 BCE 代币的销毁机制存在缺陷。攻击者部署了两个恶意合约,绕过买卖限制并触发池内代币销毁,通过操纵池中储备从 BCE-USDT 池中提取约 67.9 万美元获利。
损失金额:$ 679,000攻击手法:流动性池储备操纵
事件描述:PeckShield 在 X 平台发文警示称,Resolv Labs 稳定币 USR 疑似已出现多笔大额铸造,目前已铸造价值 8000 万美元的 USR。
损失金额:-攻击手法:未知
事件描述:DeFi 协议 Neutrl 在 X 平台发文宣布,其前端疑似遭攻击,团队正在紧急调查,出于安全考虑,官方建议用户在进一步更新发布前不要与网站进行任何交互。同时,Neutrl 提醒用户尽快前往 Revoke.cash 撤销对相关地址的 Permit2 授权,并且提醒用户也应检查并撤销对其他可疑地址的授权,以降低潜在资产风险。随后,Neutrl 调查结果初步显示,托管该应用域名的 DNS 提供商遭到了社会工程攻击,导致攻击者重定向了该域名。
损失金额:-攻击手法:DNS 劫持
事件描述:DeFi 借贷协议 dTRINITY 在 X 平台披露,昨日,dLEND 在以太坊上的部署遭遇首次存款通胀攻击,导致借贷供应中的 dUSD 资金被耗尽,造成约 25.7 万美元坏账。协议已暂时暂停,团队正积极制定补救措施,并承诺使用内部资金 100% 覆盖损失,坏账偿还将在此公告 24 小时内开始,随后恢复 dLEND。dTRINITY 在 Fraxtal 和 Katana 上的部署未受影响,用户资金安全。各协议部署均保持链隔离的储备、抵押品和借贷存款。
损失金额:$ 257,000攻击手法:存款通胀攻击
事件描述:攻击者利用 Venus Protocol 的漏洞,借助闪电贷获取了大量资产。在此次攻击中,攻击者的地址(0x1a35...6231)成功获取了 20 枚 BTC、150 万枚 CAKE 以及 200 枚 BNB,总价值超过 370 万美元。为了进行操作,攻击者将大量 THE 代币作为抵押品,借出了 Cake、BTCB 和 BNB,导致大量 THE 代币持续被清算。经过 Venus Protocol 风险管理方Allez Labs 的最新调查,确认此次攻击源自 BNB Chain 核心池的供应上限操纵。攻击者自 2025 年 6 月起,逐步积累 THE 代币,最终在 9 个月内将其持有量提升至供应上限的 84%(约 1450 万枚 THE)。随后,攻击者通过直接向协议合约转账的方式绕过了正常的存款流程,完全规避了供应上限,最终建立起 5320 万枚 THE 的头寸(为上限的 3.67 倍)。利用 THE 代币链上流动性低的弱点,攻击者操控了 TWAP 预言机,将 THE 价格从 0.27 美元推高至 0.53 美元,借出了大量其他资产。峰值时,攻击者以 5320 万枚 THE 作为抵押品,借出了 667 万枚 CAKE、2801 枚 BNB、1970 枚 WBNB、158 万枚 USDC 和 20 枚 BTCB。为了防止进一步的损失,Venus Protocol 已经暂停了涉及 THE 资产以及其他流动性高度集中的市场(如 BCH、LTC、UNI、AAVE、FIL、TWT 等)的借贷和提现功能。然而,其他 Venus 市场未受到影响,仍在正常运行。Venus 表示将继续与安全合作伙伴合作,深入调查此次事件,并及时提供进一步的更新。
损失金额:$ 2,150,000攻击手法:闪电贷➕预言机操纵
事件描述:据 BlockSec Phalcon 监测,DBXen 合约今日上午遭遇攻击,估计损失约 15 万美元。根本原因在于 ERC2771 元交易下发送者身份不一致。
损失金额:$ 150,000攻击手法:逻辑漏洞
事件描述:BSC 链上 AM/USDT 池数小时前遭遇攻击,估计损失约 13.1 万美元。根本原因在于销毁机制存在缺陷,被利用来操纵池中的 AM 储备并人为推高代币价格。攻击者首先操纵 toBurnAmount,然后在调整池中 AM 余额后触发销毁逻辑,使 AM 储备降至异常低水平,从而允许攻击者以人为抬高的价格将 AM 卖回池中获利。
损失金额:$ 131,000攻击手法:闪电贷 + 储备量操纵
事件描述:BONKfun 在 X 平台发文宣布,其官网在 3 月 11 日遭恶意社工攻击,攻击者通过域名服务提供商劫持了 BONKfun 域名,并将其转至外部注册商。团队确认此次事件并非 BONK 或 BONKfun 内部系统、代码库或团队账户被攻破所致。事件发生后,团队立即采取措施:关闭网站、协调钱包服务提供商标记域名为恶意、并控制用户影响范围。此次攻击导致客户约损失 3 万美元,团队将按 110% 赔偿受影响用户,以覆盖潜在机会成本。BONKfun 域名及注册在 3 月 18 日东部时间下午 5 点左右已完全恢复控制,主要钱包提供商功能于 3 月 19 日晚恢复,网站已安全上线。目前部分杀毒软件仍将主域名标记为风险,团队正在积极处理。对于因防病毒软件导致无法访问官方网站的用户,备用域名也已上线,功能与主站一致可使用。
损失金额:$ 30,000攻击手法:社工攻击➕域名劫持➕钓鱼攻击
事件描述:NFT 平台 Gondi 近日遭遇合约漏洞攻击,导致约 78 枚 NFT 被盗,损失约 23 万美元。根据 Gondi 官方公告,攻击与 2 月 20 日部署的新版 Sell & Repay 合约有关,其 Purchase Bundler 功能存在逻辑缺陷,未能正确验证调用者是否为 NFT 的合法所有者或借款人。被盗 NFT 包括 44 枚 Art Blocks、10 枚 Doodles、2枚 Beeple 作品等。
损失金额:$ 230,000攻击手法:合约漏洞
事件描述:据 BlockSec Phalcon 监测,数小时前在 BSC 上检测到一笔针对 MT-WBNB 交易池的可疑交易,估计造成约 24.2 万美元的损失。根本原因在于买家限制机制存在缺陷:在通缩模式下,正常买入被回退,但路由器和交易对地址被列入白名单,攻击者通过路由器交换和移除流动性绕过限制,从交易对中获得 MT 代币。攻击者随后出售 MT 以积累 pendingBurnAmount,并调用 distributeFees() 直接从交易对中销毁 MT,人为推高价格,再将 MT 换回 WBNB 获利。此外,允许前 0.2 枚 MT 转账绕过买家限制的推荐规则使攻击者得以启动攻击。
损失金额:$ 242,000攻击手法:通缩/销毁机制操纵
事件描述:比特币质押协议 Solv Protocol 发推表示,其 BRO 金库遭遇有限漏洞攻击,影响小于 10 名用户,损失 38.0474 枚 SolvBTC(约 270 万美元)。其他金库和用户资金安全未受影响,并已采取措施防止类似事件再次发生。官方承诺将为受影响用户承担相关损失,并向攻击者表示如及时归还资金将获得 10% 的白帽奖励,可通过私信或向指定地址发送链上消息联系。
损失金额:$ 2,700,000攻击手法:合约漏洞
事件描述:据 BlockSec Phalcon 监测,其系统数小时前检测到一笔针对以太坊上 Inverse Finance 合约的可疑交易,造成约 24 万美元损失。该事件似乎涉及 DOLA 价格操纵,迫使多名用户清算合约。
损失金额:$ 240,000攻击手法:未知
事件描述:比特币支付服务商 Bitrefill 在 X 平台发文披露于 2026 年 3 月 1 日遭受网络攻击导致客户数据泄露,攻击源自一名员工被入侵的笔记本电脑,并导致部分数据库和加密货币钱包被攻击者访问。调查显示,此次攻击手法与朝鲜 DPRK Lazarus/Bluenoroff 黑客组织过去针对加密企业的攻击高度相似,约 18,500 条购买记录涉及有限客户信息(邮箱、加密支付地址及 IP 元数据),其中约 1,000 条记录的客户姓名信息被加密存储,但可能被访问。Bitrefill 表示,客户无需采取特别操作,但建议警惕异常信息。Bitrefill 补充表示,目前已关闭相关系统进行隔离,并与安全专家、链上分析师及执法部门合作,现几乎已恢复正常运营。公司强调,业务长期盈利且资金充足,可吸收此次损失,并将持续强化网络安全措施,包括内部访问控制、监控与应急响应机制。
损失金额:-攻击手法:通过社会工程学实现的员工端点入侵
事件描述:Stake Nova 损失了约 137,014 美元,约占用户存款的 95%。根本原因是:RedeemNovaSol() 函数中未经检查的验证导致闪电贷漏洞利用,资金池被清空。漏洞已修复,dApp 已下线,网站正在维护中。团队提供 10% 的链上赏金,否则将继续追究责任。
损失金额:$ 137,014攻击手法:业务逻辑漏洞
事件描述:隐私游戏平台 FOOMCASH 在 Base 和 Ethereum 上遭到攻击,损失 24,283,773,519,600 $FOOM (约 226 万美元)。漏洞原因是验证密钥配置错误,攻击者利用该漏洞伪造了 zkSNARK 证明,然后从被攻击合约中提取了海量 $FOOM 。
损失金额:$ 2,260,000攻击手法:合约漏洞
事件描述:Holdstation 团队发推确认其 DeFAI Smart Wallet 产品发生安全事件。团队最新更新确认累计损失约 462,000 枚 USDT。官方称正调查事件根本原因并加固多层安全防护,当前已着手制定补偿方案,后续将向社区公布具体细节和执行计划。
损失金额:$ 462,000攻击手法:未知
事件描述:WLFI 在 X 平台发文表示,USD1今晨遭遇一次有组织攻击。攻击者据称入侵多名 WLFI 联合创始人账户,付费邀请网红散布恐慌信息(FUD),并大规模做空 $WLFI,试图从人为制造的市场混乱中获利。WLFI 表示,该行动未能奏效。凭借 USD1 稳健的铸造与赎回机制以及 100% 1:1 资产支持,USD1目前仍稳定维持在面值附近交易。团队强调,任何不法分子都无法动摇其对 USD1的长期承诺。WLFI 同时提醒用户,仅通过官方验证渠道获取准确信息,谨防误导性内容。
损失金额:-攻击手法:社交媒体劫持