共有 2172 条记录
事件描述:Polymarket 遭受第三方供应商供应链攻击,攻击者向平台前端注入恶意脚本,导致部分用户钱包被盗取约 310 万美元 PUSD。资金从 Polygon 转移至 Ethereum。Polymarket 已移除受影响依赖,并承诺全额退款受影响用户。
损失金额:$ 3,100,000攻击手法:供应链攻击
事件描述:Lixir Finance 的 vault tokens(lv_*,Uniswap V3 LP 仓位包装器)因 EIP-2612 permit 签名验证漏洞被攻击。攻击者复用一个伪造的 dummy 签名绕过检查,为其合约获得多个持有者的批准,随后通过 withdrawFrom/withdrawETHFrom 提取底层资产,造成约 $12,300 损失。
损失金额:$ 12,300攻击手法:合约漏洞
事件描述:据安全机构 Blockaid 检测,Yield Yak 前端遭受攻击,其子域名 vote.yieldyak.com 被植入 Eleven Drainer 恶意代码,访问存在资产被盗风险。此前 Gitcoin 也遭遇类似前端攻击手法。
损失金额:-攻击手法:前端攻击
事件描述:SecondFi(前 Yoroi)Cardano 钱包因其专有网页钱包生成软件存在漏洞,导致私钥/地址级别暴露。攻击者针对 374 个受影响钱包发起三次攻击,盗取约 1600 万 ADA($2.4 M)。项目方紧急救援保护了约 1.29 亿 ADA,用户需等待官方恢复流程,受影响钱包永久高风险,建议使用硬件钱包迁移。
损失金额:$ 2,400,000攻击手法:可预测私钥漏洞
事件描述:Royal.io(或关联的 Royal1155LD)Polygon 链上遗留版税合约因奖励计算逻辑漏洞(pro-rata royalty accounting flaw)被攻击。攻击者利用闪电贷和 100 次零值 ERC1155 转账操纵 beforeLdaTransfer 函数,膨胀奖励余额并提取约 $263K USDC。
损失金额:$ 263,000攻击手法:合约漏洞
事件描述:区块链安全公司 Blockaid 检测到 Gitcoin 子域名 files.gitcoin.co 遭受前端攻击。该受损站点被发现嵌入名为 “Eleven drainer” 的恶意代码,旨在窃取用户加密钱包资产。Blockaid 建议用户目前不要与该站点交互,问题正在调查和修复中。这是一起前端妥协事件,而非链上智能合约漏洞利用。
损失金额:-攻击手法:前端攻击
事件描述:2026 年 6 月 21-22 日,以太坊 L2 项目 Taiko 的跨链桥(ERC20 Vault)遭遇攻击。黑客利用链状态验证机制漏洞,通过伪造 SGX 证明注册恶意证明者,绕过验证提交虚假桥接消息,从金库中提取约 170 万美元资产(含 USDC、ETH 及 TAIKO)。Taiko 官方迅速确认验证机制受损,暂停桥接与区块生产,初期呼吁用户撤资,后确认事件已控制并与交易所合作冻结资产。目前正在修复并准备完整事后报告。
损失金额:$ 1,700,000攻击手法:私钥泄漏
事件描述:Quicksilver Zone(Cosmos Liquid Staking 协议)因 Unchecked Proof Minting 漏洞被攻击。攻击者伪造证明 mint 出大量无 backing 的 qATOM 和 qOSMO,链随后暂停。实际流出损失有限(约 $3,500),团队正与Cosmos Hub、Osmosis 合作修复并 burn 伪造资产。
损失金额:$ 3,500攻击手法:合约漏洞
事件描述:JaredFromSubway.eth 运营的 MEV 机器人被黑,损失约 750 万美元 资产。攻击者通过构造虚假代币包装器和流动性池,诱导机器人自动化 MEV 执行系统向攻击者控制的合约授予代币授权。随后,攻击者利用未被撤销的授权,通过 transferFrom 转出机器人持有的 WETH、USDC 和 USDT 等资产。此次并非传统钓鱼攻击,也非受害合约本身存在智能合约漏洞,而是利用了机器人自动识别套利机会并生成授权的机制缺陷。Jared 公开悬赏 100 万美元全额归还,并承诺完全保密。
损失金额:$ 7,500,000攻击手法:业务逻辑缺陷
事件描述:BNB Chain 上 PancakeSwap V2 的 OLPC/LABUBU 流动性池遭遇攻击,损失约 110 万美元。攻击者利用 OLPC 代币合约 _update 函数的逻辑漏洞。此前约 46 天,OLPC 项目方 owner 将 decimalsValue 参数恶意修改为极大值(7326680472586200649),并随后放弃权限。攻击者通过小额 OLPC 转移触发池中大量 OLPC 和 LABUBU 代币被 burn(至 dead 地址),导致 pair 储备不同步,从而提取大量 LABUBU 并通过中间池换出约 111.5 万 USDT。资金随后跨链至 Ethereum 并存入 Tornado Cash 洗钱。
损失金额:$ 1,100,000攻击手法:合约漏洞
事件描述:Namada 区块链的 Multi-Asset Shielded Pool(MASP,多资产屏蔽池)约 60 万美元资产(包括 ATOM、USDC、OSMO、TIA、NYM 等 IBC 资产)通过 IBC 传输逻辑漏洞被抽干。由于索引器数据陈旧,仍显示资金可用,而实际链上(live RPC)余额为零,损失初期未被察觉。攻击者通过跨链方式转移了屏蔽的 IBC 资产。Namada 官方已确认漏洞并展开调查。
损失金额:$ 600,000攻击手法:协议漏洞
事件描述:2026 年 6 月 19 日 UTC 时间约 7:15,Starknet 上的 mySwap CL(集中流动性)协议遭遇漏洞攻击,导致流动性池中约 30 万美元(部分分析为 30.5 万美元)被抽走。mySwap 接口已关闭新流动性注入超过 6 个月,受损资金主要为分散在 10 万多个仓位中的残留 LP 头寸。攻击者通过桥接转移被盗资金,并使用 Railgun 混淆交易流向。此次攻击几乎耗尽了协议内所有剩余流动性。
损失金额:$ 300,000攻击手法:合约漏洞
事件描述:JB DeFi 协议遭遇闪电贷 + 价格操纵攻击,导致约 5 万美元被抽走。攻击者利用闪电贷操纵价格,针对协议逻辑漏洞进行经济型攻击。
损失金额:$ 50,000攻击手法:闪电贷价格操纵
事件描述:2026 年 6 月 17 日,攻击者利用 Aztec 已弃用的 Private Rollup Bridge(2021 年上线、2022 年关闭)的不可变 escape-hatch 函数漏洞。该函数缺乏适当的所有权检查,攻击者通过操纵或伪造 rollup 证明,在没有对应存款的情况下提取资产,造成约 216 万美元损失(1,158 ETH、150,000 DAI 和 0.47 renBTC)。Aztec Labs 确认受影响合约与当前 Aztec 网络及 AZTEC 代币无关,且他们对旧的不可变合约无控制权。
损失金额:$ 2,160,000攻击手法:合约漏洞
事件描述:2026 年 6 月 17 日,BSC 链上宣称“无团队、无管理员密钥”的去中心化 DeFi 挖矿协议 Little Boy Plus 遭利用。攻击者利用 LBPHashrate 合约 _update() 函数的逻辑漏洞,通过零值 transferFrom 调用绕过 OpenZeppelin 授权检查,未经授权触发 _harvest 并通过 mintReward 向 PancakeSwap 的 LBP/USDT 交易对直接铸造 LBP 代币。这导致交易对余额增加但储备未同步更新,攻击者随后通过 PancakePair.swap() 抽走约 377,642 USDT(价值约 36.7万–37.8万美元)。资金后被转入 Tornado Cash。
损失金额:$ 367,000攻击手法:合约漏洞
事件描述:DIP 代币合约(Etherisc 生态)因 _transfer() 函数在 PancakeSwap 路由分支缺失 return 语句,导致双重转账漏洞。攻击者通过 skim(router) 和 sync() 操纵流动性池,提取约 $111K USDC。
损失金额:$ 111,000攻击手法:合约漏洞
事件描述:Thetanuts Finance 的一个已弃用旧金库因赎回数学及铸造/索赔函数中的整数计算缺陷被利用,攻击者通过闪电贷在将代币供应降至接近零后提取约 210 万美元。大部分资金被白帽追回,根据项目方总经济损失约 10.5 万美元。当前产品和活跃合约未受影响。
损失金额:$ 105,000攻击手法:合约漏洞
事件描述:攻击者利用已弃用 Aztec Connect Router 合约中不完整的证明验证漏洞,在以太坊上窃取约 210 万美元资产。该协议已弃用三年,团队对不可升级合约无控制权。当前 Aztec 网络及 AZTEC 代币未受影响。
损失金额:$ 2,100,000攻击手法:合约漏洞
事件描述:Solana 生态去中心化交易所 Raydium 披露,其已于 2021 年停用的 AMM V3 程序存在漏洞,导致攻击者从五个不活跃的流动性池(包括 Sollet USDT-RAY、Sollet ETH-RAY、SRM-RAY、USDC-RAY、RAY-SOL)中盗走约 134 万美元资产。漏洞源于 LP 代币铸造地址验证不足,攻击者通过创建虚假 LP 代币绕过比例检查提取资金。当前活跃用户、SDK 和 dApp 均未受影响,Raydium 将从金库全额补偿损失,并正在对主网程序进行安全审查。
损失金额:$ 1,340,000攻击手法:合约漏洞
事件描述:攻击者利用 Secret Network 上修改后的 CW20-ICS20 合约(Axelar IBC 桥接专用)的漏洞。通过创建假 Cosmos 链并发送伪造的 IBC 存款数据包(合约中关键的来源通道验证检查被注释掉),攻击者铸造了约 467 万美元的无背书 saTokens(Secret 包装的 Axelar 桥接资产)。随后通过合法桥接通道赎回,在约 18 分钟内耗尽 Axelar 托管账户中的真实资产。资金经 Osmosis 桥接到以太坊,大部分通过交易所套现。事件于 6 月 17 日被发现,6 月 19 日公开披露。Axelar 暂停了 Secret 桥接路由,其核心协议和其他链未受影响。目前无资金追回。
损失金额:$ 4,670,000攻击手法:合约漏洞