共有 1939 条记录
事件描述:Pinecone 在 2021 年 8 月 18 日 09::00 UTC 上线了协议代币 PCT 的质押池,之后在 11:41:19 AM UTC 时间遭到攻击。Pinecone PCT 质押池上线时在前端做了处理,限制了非法操作,但黑客在攻击时绕过前端页面,直接通过普通账户调用智能合约, deposit 了大于本身账户余额数量的 PCT 代币,PCT 池子错误的记录了用户 deposit 数量,在 withdraw 时,可以提取更多的 PCT token。项目方发现币价大幅跳水后,第一时间终止了智能合约调用,目前损失的 PCT 数量 :353 万枚左右。
损失金额:3,530,000 PCT攻击手法:兼容性问题
事件描述:Solana 生态借贷协议 Solend 发推称,协议于北京时间 8 月 19 日 20:40 遭到黑客攻击,攻击者破解了 UpdateReserveConfig 函数中对不安全身份的检查,使得其可以清算所有账户。此外,黑客还将借入资金的 APY 设置为了 250%。此期间,有 5 名用户的资金被误清算,目前清算人正在退还这 5 名用户总计 1.6 万美元的损失。Solend 表示,本次攻击没有造成资金被盗的情况,之后将提高漏洞赏金的规模并建立更好的监控和报警系统。
损失金额:$ 16,000攻击手法:合约漏洞
事件描述:Solana 链经历了它的第一次地毯式拉动。Luna Yield ($LUNY) 是一个通过 Solana 启动板“SolPad”推出的收益聚合器,已经消失了,价值约 670 万美元的各种数字货币。Luna Yield 将自己宣传为一个合法项目,可以为其用户聚合和优化产量农业;它甚至得到了著名的基于 Solana 的项目启动板“SolPad”的支持,该启动板使提交“合格文件”的项目能够通过其基于 Solana 的去中心化平台上的初始 DEX 产品(IDO)筹集资金。尽管 Luna Yield 提交了“合格文件”,但它对投资者的态度却是冷淡。在 8 月 16 日筹款之前,Luna Yield 看起来是合法的。在其 IDO 三天后,Luna Yield 将其筹集的资金发送给了混合服务 Tornado Cash 以使其无法被追踪,然后它关闭了其网站以及所有社交媒体账户——没有人能够联系 Luna Yield 团队。
损失金额:$ 6,700,000攻击手法:跑路
事件描述:8 月 17 日,BSC 上 DeFi 项目 XSURGE 遭遇闪电贷攻击。当地时间 8 月 16 日,XSURGE 官方在遭攻击前曾发布了关于 SurgeBNB 漏洞的声明,由于 SurgeBNB 合约不可更改且已被放弃,因此无法修补该漏洞。 XSURGE 称没有透露任何关于此漏洞性质的具体细节,但强烈建议用户尽快迁移出 SurgereBnb,该漏洞随时可能被攻击者触发。在声明发布后,XSURGE 随后便遭遇攻击,攻击者在 SurgeBNB 中窃取了 500 万美元。
损失金额:$ 5,000,000攻击手法:闪电贷攻击
事件描述:NEAR 生态去中心化交易所 Ref.Finance 团队发推称,UTC 时间 8 月 14 日下午 2 点左右,Ref 团队注意到 REF-NEAR 交易对的异常行为,随即发现最近所部署合约的修补程序中的一个错误,且该错误已被多个用户利用,致使约 100 万枚 REF 和 58 万枚 NEAR 受到影响。
损失金额:$ 3,202,539攻击手法:修补程序错误
事件描述:据路透社报道,伦敦高等法院法官批准了人工智能公司 Fetch.ai 的要求,命令 Binance 追查盗取 Fetch.ai Binance 账户内 260 万美元资产的黑客并冻结黑客盗取的资产。Fetch.ai 在英国和新加坡成立,为区块链数据库开发人工智能项目,声称欺诈者于 6 月 6 日在 Binance 交易所侵入其加密货币账户。Binance 发言人表示,为保护用户财产安全,币安会会定期冻结被认定有可疑活动的账户。
损失金额:$ 2,600,000攻击手法:入侵账户
事件描述:币安智能链(BSC)上借贷协议 Neko Network 遭受攻击,攻击者利用协议漏洞以用户名义抵押资产,并将借得资金直接发送至攻击者自己的地址,Neko Network 所有资产池已冻结以避免更多攻击发生,由于时间锁的设定,需等待 24 小时才能开发资金池,让用户提出池内资金。Neko Network 是由零息货币市场协议 Maze Protocol 团队开发的产品。
损失金额:$ 2,200,000攻击手法:合约漏洞
事件描述:DAO Maker 发布公告称,UTC 时间 8 月 12 日 1 点左右,黑客恶意使用 DAO Maker 的一个钱包并获得管理员权限。这名网络罪犯在初步测试这一漏洞并成功窃取 1 万枚 USDC 后,又悄悄地进行 15 笔交易。通过这种方式,在安全团队能够追踪、控制并阻止资金外流之前,黑客挪用大约 700 万美元。总共有 5251 名用户受到影响,每个用户平均损失 1250 美元。不过幸运的是,最多持有 900 美元资金的用户完全不受影响。
损失金额:$ 7,000,000攻击手法:私钥泄漏
事件描述:去中心化年金协议 Punk Protocol 表示在公平启动的过程中遭遇攻击,造成 890 万美元损失,后来团队又找回了 495 万美元,已转移至一个安全的钱包。Punk Protocol 团队表示,该攻击者在投资策略中找到了一个关键漏洞,从 Forge-CompoundModel 模块中提取了超过 890 万美元的三种稳定币资产(USDC、USDT、DAI),不过一个白帽黑客注意到了攻击者的意图,所以执行了一个交易,得以恢复 495 万美元。丢失的资金已转移至以太坊混币平台 Tornado.cash 中,所以很难继续追踪。
损失金额:$ 3,950,000攻击手法:合约漏洞
事件描述:跨链互操作协议 Poly Network 称遭到攻击,共计超 6.1 亿美元转出至 3 个地址,其中,转出至 0x0D6e2 开头币安智能链地址的资金有超 2.5 亿美元,转至 0xC8a65 开头的以太坊地址有超 2.7 亿美元,转至 Polygon 地址的有超 8500 万美元。受此影响,此前 O3 Swap 跨链池大额资产被转出,官方正展开调查。在多方努力下,黑客目前已返还价值 3.42 亿美元的代币。
损失金额:$ 613,062,100.7攻击手法:权限被盗
事件描述:多链合成资产协议 Duet Protocol 核心成员 BachOnChain 发推称,Duet Protocol 先行网 Zerogoki 在数小时前经历了一次预言机攻击,错误的价格导致了无法识别的交易。BachOnChain 表示,已经暂停了预言机,zUSD 经历了一定的波动,预计一段时间后将在市场交易和套利中恢复价格。
损失金额:$ 670,000攻击手法:预言机攻击
事件描述:BSC 链上 Wault Finance 遭攻击,攻击者获利 93 万美元。由于经济模型上的设计缺陷导致的攻击者可以对 WaultSwapPair (BSC_USDT-WEX) 的池子进行套利攻击。
损失金额:$ 930,000攻击手法:闪电贷攻击
事件描述:有推特用户反映收到一个名为 VERA(The Vera)项目的代币空投,但在官网授权后钱包中的代币被盗。经查询发现该项目疑似为空投陷阱,具体方式是,通过单一地址空投 8 万个代币(价值约 9600 美元)来吸引用户关注,设置机制让用户在 Pancakeswap 上交易失败,进而引流用户至官网骗取授权实施盗币。
损失金额:-攻击手法:骗局
事件描述:多链收益优化平台 Popsicle Finance 遭到攻击。本次漏洞的核心在于由于奖励更新记录缺陷导致同个 PLP 凭证能在同个时间节点给多个持有者都带来收益。
损失金额:$ 20,000,000攻击手法:奖励机制缺陷
事件描述:北京时间 8 月 3 日 23:45 左右开始,BSV 遭受了“大规模”的 51% 攻击,导致该链的三个版本同时被挖掘。
损失金额:-攻击手法:51% 攻击
事件描述:名为 “cryptopunksbot” 的骗子在 CryptoPunk 的 Discord 服务器上发布,为 NFT 投资者提供赢得十个难以捉摸的 NFT 头像的机会。NFT 游戏项目 Hedgie 联合创始人 Stazie 接受了虚假报价的海报,但这一举动最终让他失去 16 个 CryptoPunk,可能价值至少 100 万美元。Stazie 无意中把钱包种子短语发给了骗子,导致还损失了一些 ETH。骗子以 149 ETH(385000 美元)的价格出售 5 个 CryptoPunk。
损失金额:$ 1,000,000攻击手法:钓鱼攻击
事件描述:BSC 链上加密指数协议 Levyathan 遭攻击。根据官方发布的事件更新,黑客铸造 100,000,000,000,000,000,0 亿枚 LEV 代币,导致 LEV 价格归零,此次攻击损失约为 150 万美元。官方将事故原因归结于开发人员私钥泄露。
损失金额:$ 1,500,000攻击手法:私钥泄露
事件描述:收益耕作协议 PolyYeld Finance 遭到攻击,项目合约被利用铸造了 4.9 万亿个 YELD 代币并在二级市场进行倾销。
损失金额:4,900,000,000,000 YELD攻击手法:兼容性问题
事件描述:去中心化跨链交易协议 THORChain (RUNE) 称,有黑客向以太坊地址空投 UniH 代币为诱饵,盗取用户钱包中的 RUNE 代币。黑客已向至少 7.6 万个以太坊地址空投带有恶意合约的 UniH 代币,一旦接收用户在去中心化交易平台如 Uniswap 出售了他们新收到的 UniH 代币(甚至只是批准出售),黑客将可以窃取他们钱包中拥有的任何 RUNE 代币。这是因为 RUNE 代币使用非标准代币合约,称为「tx.origin」。根据 Thorchain 的 RUNE 代币合约代码「谨防可能通过拦截 tx.origin 窃取代币的钓鱼合同」,它知道这种类型的攻击可能发生,在短短数小时内,黑客已窃取价值 7.6 万美元的代币。
损失金额:$ 76,000攻击手法:钓鱼攻击
事件描述:去中心化跨链交易协议 THORChain (RUNE) 称再次遭遇攻击,包括 XRUNE 在内的多种 ERC20 代币受到影响。这次攻击针对 ETH 路由,损失 800 万美元,攻击者「有意限制了攻击造成的影响,似乎为白帽所为」。
损失金额:$ 8,000,000攻击手法:逻辑漏洞