共有 1978 条记录
事件描述:据 PeckShieldAlert 报告,稳定币项目 USPD 遭遇重大安全漏洞,造成约 100 万美元损失。USPD 官方随后证实协议遭到利用,攻击者未经授权铸造代币并抽干流动性,并紧急提醒用户立即撤销对 USPD 合约的所有代币授权。根据官方确认,本次事件属于“CPIMP”攻击。攻击者在协议部署阶段通过 Multicall3 抢先初始化代理并夺取管理员权限,随后伪装为审计通过的实现合约。该恶意逻辑被隐藏数月后被触发,攻击者升级代理、铸造约 98M USPD,并转移约 232 枚 stETH。USPD 官方已公布攻击地址(Infector:0x7C97…9d83、Drainer:0x0833…215A),并表示正在与执法机构和白帽合作追踪,同时承诺若攻击者归还资金,可获得 10% 赏金。
损失金额:$ 1,000,000攻击手法:“CPIMP” 攻击
事件描述:据网络安全公司 Blockaid 表示, Meme 币 PEPE 的官方网站遭到攻击者入侵,攻击者修改了网站前端代码,导致访问网站的用户被重定向到恶意页面。
损失金额:-攻击手法:供应链攻击
事件描述:链上私募基金 Goldfinch 在 ETH 上的旧合约(0x0689)存在漏洞,用户 deltatiger.eth 因未及时撤销授权被攻击,损失约 33 万美金。黑客已将 118 枚ETH(约合 32.9 万美元)转入隐私交易工具 TornadoCash。
损失金额:$ 330,000攻击手法:合约漏洞
事件描述:据 PeckShieldAlert 在 X 平台披露,Yearn Finance 遭遇攻击,黑客通过无限铸造 yETH 耗尽资金池,造成约 900 万美元损失。其中约 1000 枚 ETH(约合 300 万美元)被转入 Tornado Cash,攻击者地址仍持有价值约 600 万美元的加密资产。12 月 1 日,据派盾监测,Yearn 通过销毁黑客持有的 pxETH,已追回 240 万美元资金,同等金额的 pxETH 已重新铸造并返还至 Redacted Cartel 多签钱包。
损失金额:$ 9,000,000攻击手法:合约漏洞
事件描述:Upbit 首席执行官吴京锡发表公告,就发生的网络入侵事件向用户致歉,并表示此次事件源于 Upbit 安全管理疏漏。Upbit 承诺用户资产不会受到任何损失,目前已依据相关法规向主管机构报告事故,并调查事故原因与规模。Upbit 于 27 日上午在 Solana 系列钱包中发现异常提币后,立即对相关网络与钱包系统进行全面检查,并在分析链上多笔 Upbit 钱包交易记录时发现可能导致推测私钥的安全漏洞,随后已完成修复。Upbit 表示将与主管机构保持密切合作,并在允许范围内持续向用户透明公告进展。为保护用户资产,Upbit 已暂停数字资产充值与提现,并对外流数字资产展开追踪及冻结措施。经统计,本次受影响资产约为 445 亿韩元(约合 3030 万美元),其中用户资产约 386 亿韩元(约合 2633 万美元),已冻结约 23 亿韩元(约合 157 万美元);Upbit 自有资产受影响约 59 亿韩元(约合 402 万美元)。
损失金额:$ 30,300,000攻击手法:-
事件描述:BasisOS 在 X 平台发文披露:“由于发生安全漏洞,Agentic FoF 遭到入侵,约 53.1 万美元资金泄露。所有金库目前均已暂停,Agentic FoF 的提款功能也已暂停,等待内部调查结果。”
损失金额:$ 531,000攻击手法:-
事件描述:去中心化 AI 数据网络 Port3 Network 在 X 平台披露,其代币 PORT3 遭遇黑客利用跨链桥漏洞进行恶意增发。根据链上分析师余烬监测,黑客通过 BridgeIn 跨链桥 的合约漏洞铸造了 10 亿枚 PORT3。随后,黑客将其中 1.6275 亿枚在链上抛售,换得 199.5 枚 BNB(约 16.6 万美元),使 PORT3 价格瞬间下跌 76%。Port3 Network 随后发布事件报告,解释攻击的根本原因来自其采用的 NEXA Network 跨链代币解决方案 CATERC20。该方案存在一个边界条件验证漏洞:在代币所有权放弃后,相关函数会返回值 0,而该数值恰好满足所有权检查条件,导致权限验证失效。这使得攻击者无需授权即可调用敏感操作,包括代币增发。值得注意的是,CATERC20 的审计报告中并未提及这一风险,而 Port3 代币此前为实现去中心化已放弃所有权,因此处于受攻击状态。事件发生后,Port3 团队紧急移除链上剩余流动性,多家中心化交易所也随即暂停 PORT3 的充值。由于无法继续抛售,黑客在约 40 分钟前将剩余 8.3725 亿枚未售出 PORT3 全部销毁。
损失金额:$ 166,000攻击手法:合约漏洞
事件描述:基于 Base 的 DEX Aerodrome 发推表示,Velodrome 和 Aerodrome 中心化域名于 11 月 21 日遭 NameSilo 内部安全漏洞劫持,重定向至恶意内容。经 Blockaid、Groom Lake、Security Alliance 和 FTI Consulting 等安全伙伴快速响应,2 分钟内 MetaMask 和 Coinbase Wallet 显示警告,4 小时内完全缓解,损失约 70 万美元。
损失金额:$ 700,000攻击手法:域名劫持
事件描述:GoPlus 发布安全警报:领取 @dexmaxai 的 DMT 代币空投用户,请尽快取消授权或转移资产到安全钱包。今日多起被盗用户反馈,他们在领取 DMT 空投时会被骗取其他代币授权,已造成上千用户被盗,跨链转移资产超 13 万美元,目前 @dexmaxai 官推官网已下线 RUG。经调查,攻击者在用户领取空投时,会诱导用户再次签名从而骗取用户授权,随后转移授权资产;攻击者盗取资金后通过跨链桥将资产跨到 ETH,大部分被盗资金已流入 HitBTC,少部分仍在链上。
损失金额:$ 130,000攻击手法:钓鱼攻击
事件描述:据链上安全分析师 ZachXBT 透露,BSC 链上的支付项目 GANA Payment 数小时前遭攻击,损失约 310 万美元。攻击者已将 1140 枚 BNB(约 104 万美元)存入 BSC 上的 Tornado Cash,并通过跨链桥将资金转移至以太坊,其中 346.8 枚 ETH(约 105 万美元)亦存入以太坊上的 Tornado Cash。目前,另有 346 枚ETH(约 104.6 万美元)仍静置在以太坊地址 0x7a 开头地址。
损失金额:$ 3,100,000攻击手法:-
事件描述:据 WLFI 公告称,在平台正式上线前,一部分用户钱包因钓鱼攻击或助记词泄露遭到入侵。WLFI 强调事件非平台或合约漏洞所致,攻击源于第三方安全问题。团队已开发新合约逻辑,允许在完成 KYC 验证后将资产重新分配至安全新钱包。未提交申请或未通过验证的钱包将继续被冻结,用户仍可通过客服中心开启恢复流程。据 Emmett Gallic 称,World Liberty Fi 将一个疑似被攻破的钱包中共计 1.6667 亿枚 WLFI(价值约 2214 万美元)代币销毁,并将等量代币重新分配至新的安全地址。
损失金额:-攻击手法:钓鱼攻击和私钥泄漏
事件描述:SlowMist 创始人余弦提醒使用 NOFX AI 开源自动交易系统的用户需注意安全风险。虽然 NOFX AI 开源工作表现良心,但已发生真实盗币事件,部分用户的钱包私钥及 CEX/DEX API Key 因此泄露。余弦确认,该漏洞同样波及 Aster 用户的钱包私钥安全。余弦表示,已联合相关安全团队尽力通知受影响用户以降低风险,并建议用户提高警惕,及时采取安全措施。
损失金额:-攻击手法:私钥泄漏
事件描述:Sui 官方在 X 平台发布提醒称,Sui 生态流动性质押协议 Aftermath 的 X 账户已被盗用,在官方恢复之前请勿与该账户进行任何操作。
损失金额:-攻击手法:账号被黑
事件描述:据 Arkham 监测,一名攻击者疑似在 Hyperliquid 上蓄意攻击 HLP (Hyperliquidity Provider)。该攻击者使用 19 个钱包和 300 万美元本金,以 5 倍杠杆建立了一个价值 2000-3000 万美元的 POPCAT 多头头寸,并设置了巨额买单墙。随后,该攻击者突然撤掉买单墙,导致 POPCAT 价格闪崩,其 300 万美元抵押品瞬间被清算归零。由于缺乏流动性,HLP 被迫接管了该头寸,最终导致了 495 万美元的坏账损失。分析师 @mlmabc 指出,这种在几秒钟内损失 300 万美元的行为并非愚蠢或疏忽,而是一次针对 HLP 和 Hyperliquid 的“蓄意攻击”。
损失金额:$ 4,950,000攻击手法:价格操纵
事件描述:据加密交易员 @25usdc 的帖子,有黑客正在利用 Polymarket 评论区进行诈骗活动,损失已超过 50 万美元。黑客通过以混淆非明文的方式发布指向其诈骗网站的链接,用户在通过邮箱登陆该网站的过程中被植入脚本,导致数据泄露,资金丢失。
损失金额:$ 500,000攻击手法:钓鱼攻击
事件描述:据 CertiK 监测,Moonwell 借贷合约遭到多笔攻击交易。攻击者利用错误预言机返回的 wrst 价格(约 580 万美元),通过仅闪电贷约 0.02 wrstETH 并存入,反复借出超过 20 枚 wstETH,从中获利 295 ETH(约100万美元)。
损失金额:$ 1,000,000攻击手法:预言机攻击
事件描述:DeFi 协议 Balancer V2 遭遇漏洞攻击,影响了可组合稳定池(Composable Stable Pools)。事件的根本原因在于 Stable Pool “exact-out” 交换路径中的四舍五入方向错误,该缺陷在汇率提供者引入的精度误差与极低流动性的条件下被放大,使攻击者得以操控不变式并扭曲 BPT 的价格计算,从而以远低于真实成本的方式大量提取池内资产。此次攻击在以太坊、Arbitrum、Base、Optimism 和 Polygon 上共造成 1.211 亿美元的损失。截止 11 月 19 日,由于各方协调应对,在发现问题后部署了多项安全措施, 约 4570 万美元的用户资金得以保护或追回。
损失金额:$ 121,100,000攻击手法:逻辑漏洞
事件描述:Berachain 发布公告称,因 BEX/Balancer v2 漏洞导致丢失的约 1280 万美元资金已全部返还至 Berachain 基金会 Deployer 地址,区块链现已恢复正常运行。
损失金额:$ 12,800,000攻击手法:合约漏洞
事件描述:据 CertiK Alert 监测,Garden 攻击者已将 501 枚 BNB 和 1910 枚 ETH(总计约 665 万美元)转移至Tornado Cash。0x98BC 开头地址仍持有约 91 万美元资产。据悉,Garden Finance 因求解器遭入侵,于10月31日被攻击损失约 1080 万美元。
损失金额:$ 10,800,000攻击手法:-
事件描述:402Bridge 发布推文提醒用户:目前已发生代币被盗事件,技术团队正在对整个事件过程进行调查,建议所有用户立即撤销已有授权并尽快将资产转移出钱包。据了解,x402 跨链协议 402Bridge 疑似被盗,合约所有权被原创建者转移至地址 0x2b8F...,超 200 位用户因授权过多数量导致剩余 USDC 被转走,0x2b8F9 开头地址共转移用户 17693 枚 USDC,随后将 USDC 换成 ETH 后经过多次跨链交易跨至 Arbitrum。随后 402Bridge 进一步确认,由于本次私钥泄露,团队的十几个测试钱包和主钱包亦遭到攻击。
损失金额:$ 17,693攻击手法:私钥泄漏