共有 2166 条记录
事件描述:Polymarket 发现第三方供应商被入侵,向其前端注入恶意脚本,导致部分用户 PUSD 资金被盗。平台已控制事件、移除受影响依赖,并承诺全额退还受影响用户。
损失金额:$ 3,000,000攻击手法:供应链攻击
事件描述:据安全机构 Blockaid 检测,Yield Yak 前端遭受攻击,其子域名 vote.yieldyak.com 被植入 Eleven Drainer 恶意代码,访问存在资产被盗风险。此前 Gitcoin 也遭遇类似前端攻击手法。
损失金额:-攻击手法:前端攻击
事件描述:区块链安全公司 Blockaid 检测到 Gitcoin 子域名 files.gitcoin.co 遭受前端攻击。该受损站点被发现嵌入名为 “Eleven drainer” 的恶意代码,旨在窃取用户加密钱包资产。Blockaid 建议用户目前不要与该站点交互,问题正在调查和修复中。这是一起前端妥协事件,而非链上智能合约漏洞利用。
损失金额:-攻击手法:前端攻击
事件描述:2026 年 6 月 21-22 日,以太坊 L2 项目 Taiko 的跨链桥(ERC20 Vault)遭遇攻击。黑客利用链状态验证机制漏洞,通过伪造 SGX 证明注册恶意证明者,绕过验证提交虚假桥接消息,从金库中提取约 170 万美元资产(含 USDC、ETH 及 TAIKO)。Taiko 官方迅速确认验证机制受损,暂停桥接与区块生产,初期呼吁用户撤资,后确认事件已控制并与交易所合作冻结资产。目前正在修复并准备完整事后报告。
损失金额:$ 1,700,000攻击手法:私钥泄漏
事件描述:JaredFromSubway.eth 运营的 MEV 机器人被黑,损失约 750 万美元 资产。攻击者通过构造虚假代币包装器和流动性池,诱导机器人自动化 MEV 执行系统向攻击者控制的合约授予代币授权。随后,攻击者利用未被撤销的授权,通过 transferFrom 转出机器人持有的 WETH、USDC 和 USDT 等资产。此次并非传统钓鱼攻击,也非受害合约本身存在智能合约漏洞,而是利用了机器人自动识别套利机会并生成授权的机制缺陷。Jared 公开悬赏 100 万美元全额归还,并承诺完全保密。
损失金额:$ 7,500,000攻击手法:业务逻辑缺陷
事件描述:BNB Chain 上 PancakeSwap V2 的 OLPC/LABUBU 流动性池遭遇攻击,损失约 110 万美元。攻击者利用 OLPC 代币合约 _update 函数的逻辑漏洞。此前约 46 天,OLPC 项目方 owner 将 decimalsValue 参数恶意修改为极大值(7326680472586200649),并随后放弃权限。攻击者通过小额 OLPC 转移触发池中大量 OLPC 和 LABUBU 代币被 burn(至 dead 地址),导致 pair 储备不同步,从而提取大量 LABUBU 并通过中间池换出约 111.5 万 USDT。资金随后跨链至 Ethereum 并存入 Tornado Cash 洗钱。
损失金额:$ 1,100,000攻击手法:合约漏洞
事件描述:Namada 区块链的 Multi-Asset Shielded Pool(MASP,多资产屏蔽池)约 60 万美元资产(包括 ATOM、USDC、OSMO、TIA、NYM 等 IBC 资产)通过 IBC 传输逻辑漏洞被抽干。由于索引器数据陈旧,仍显示资金可用,而实际链上(live RPC)余额为零,损失初期未被察觉。攻击者通过跨链方式转移了屏蔽的 IBC 资产。Namada 官方已确认漏洞并展开调查。
损失金额:$ 600,000攻击手法:协议漏洞
事件描述:2026 年 6 月 19 日 UTC 时间约 7:15,Starknet 上的 mySwap CL(集中流动性)协议遭遇漏洞攻击,导致流动性池中约 30 万美元(部分分析为 30.5 万美元)被抽走。mySwap 接口已关闭新流动性注入超过 6 个月,受损资金主要为分散在 10 万多个仓位中的残留 LP 头寸。攻击者通过桥接转移被盗资金,并使用 Railgun 混淆交易流向。此次攻击几乎耗尽了协议内所有剩余流动性。
损失金额:$ 300,000攻击手法:合约漏洞
事件描述:JB DeFi 协议遭遇闪电贷 + 价格操纵攻击,导致约 5 万美元被抽走。攻击者利用闪电贷操纵价格,针对协议逻辑漏洞进行经济型攻击。
损失金额:$ 50,000攻击手法:闪电贷价格操纵
事件描述:2026 年 6 月 17 日,攻击者利用 Aztec 已弃用的 Private Rollup Bridge(2021 年上线、2022 年关闭)的不可变 escape-hatch 函数漏洞。该函数缺乏适当的所有权检查,攻击者通过操纵或伪造 rollup 证明,在没有对应存款的情况下提取资产,造成约 216 万美元损失(1,158 ETH、150,000 DAI 和 0.47 renBTC)。Aztec Labs 确认受影响合约与当前 Aztec 网络及 AZTEC 代币无关,且他们对旧的不可变合约无控制权。
损失金额:$ 2,160,000攻击手法:合约漏洞
事件描述:2026 年 6 月 17 日,BSC 链上宣称“无团队、无管理员密钥”的去中心化 DeFi 挖矿协议 Little Boy Plus 遭利用。攻击者利用 LBPHashrate 合约 _update() 函数的逻辑漏洞,通过零值 transferFrom 调用绕过 OpenZeppelin 授权检查,未经授权触发 _harvest 并通过 mintReward 向 PancakeSwap 的 LBP/USDT 交易对直接铸造 LBP 代币。这导致交易对余额增加但储备未同步更新,攻击者随后通过 PancakePair.swap() 抽走约 377,642 USDT(价值约 36.7万–37.8万美元)。资金后被转入 Tornado Cash。
损失金额:$ 367,000攻击手法:合约漏洞
事件描述:Thetanuts Finance 的一个已弃用旧金库因赎回数学及铸造/索赔函数中的整数计算缺陷被利用,攻击者通过闪电贷在将代币供应降至接近零后提取约 210 万美元。大部分资金被白帽追回,根据项目方总经济损失约 10.5 万美元。当前产品和活跃合约未受影响。
损失金额:$ 105,000攻击手法:合约漏洞
事件描述:攻击者利用已弃用 Aztec Connect Router 合约中不完整的证明验证漏洞,在以太坊上窃取约 210 万美元资产。该协议已弃用三年,团队对不可升级合约无控制权。当前 Aztec 网络及 AZTEC 代币未受影响。
损失金额:$ 2,100,000攻击手法:合约漏洞
事件描述:Solana 生态去中心化交易所 Raydium 披露,其已于 2021 年停用的 AMM V3 程序存在漏洞,导致攻击者从五个不活跃的流动性池(包括 Sollet USDT-RAY、Sollet ETH-RAY、SRM-RAY、USDC-RAY、RAY-SOL)中盗走约 134 万美元资产。漏洞源于 LP 代币铸造地址验证不足,攻击者通过创建虚假 LP 代币绕过比例检查提取资金。当前活跃用户、SDK 和 dApp 均未受影响,Raydium 将从金库全额补偿损失,并正在对主网程序进行安全审查。
损失金额:$ 1,340,000攻击手法:合约漏洞
事件描述:攻击者利用 Secret Network 上修改后的 CW20-ICS20 合约(Axelar IBC 桥接专用)的漏洞。通过创建假 Cosmos 链并发送伪造的 IBC 存款数据包(合约中关键的来源通道验证检查被注释掉),攻击者铸造了约 467 万美元的无背书 saTokens(Secret 包装的 Axelar 桥接资产)。随后通过合法桥接通道赎回,在约 18 分钟内耗尽 Axelar 托管账户中的真实资产。资金经 Osmosis 桥接到以太坊,大部分通过交易所套现。事件于 6 月 17 日被发现,6 月 19 日公开披露。Axelar 暂停了 Secret 桥接路由,其核心协议和其他链未受影响。目前无资金追回。
损失金额:$ 4,670,000攻击手法:合约漏洞
事件描述:Humanity Protocol 发生安全事件,基金会成员私钥被泄露,导致多个相关钱包(用户与项目合约交互的钱包)中 $H 代币被大量抽走并换成 ETH,总损失超 3000 万美元,$H 代币价格暴跌约 90%。项目方要求用户暂勿与桥或流动性池交互。
损失金额:$ 31,000,000攻击手法:私钥泄漏
事件描述:Asterix Labs(Flooring Protocol 的 NFT 流动性平台分叉项目)遭遇攻击,$ASTX 代币合约被利用。攻击者利用与前一天 Flooring Protocol 相同的智能合约漏洞(DN404/BT404 代币标准共享代码库中的 accounting/ownership 逻辑问题),从合约中抽取了约 4 万美元资产。项目方已在 X 上确认事件,正在调查原因,并计划发布完整事后报告。
损失金额:$ 40,000攻击手法:合约漏洞
事件描述:Sui 链上 Haedal Protocol 的 Vault 金库池因 2025 年底升级遗留的跨版本逻辑漏洞被攻击。攻击者通过旧版存款路径铸造超额 LP 份额,再经新版赎回路径提取超额底层资产,造成约 91.5 万美元直接损失。 Haedal 已暂停相关合约,将全额补偿用户损失,并正准备修复升级版本。
损失金额:$ 915,179攻击手法:合约漏洞
事件描述:NovaBox 平台的奖励池在以太坊上遭到黑客攻击。攻击者通过 Aave V3 闪电贷借入 427.5 WETH,利用平台在用户存取款时“先发放股息后更新余额”的奖励分配机制缺陷,先存入少量 NOVA 代币触发股息计算,再存入大量 ETH 使实际份额大幅增加,但系统仍按旧小额份额计算股息、按新大额份额支付,从而制造约 145.82 ETH 的“幻影股息”,一笔交易将池中资金几乎耗尽。安全公司 F12 确认,此次事件非智能合约代码漏洞,而是奖励机制的逻辑缺陷。
损失金额:$ 93,600攻击手法:闪电贷攻击
事件描述:Syscoin Bridge 遭受攻击。攻击者利用桥接流程中的验证问题,导致在 UTXO 侧产生约 50 亿 SYS 的未授权输出。资金随后被转移并拆分。项目方已暂停桥接、追踪污点资金并联系交易所进行冻结/监控,同时准备修复方案。
损失金额:$ 10,000,000攻击手法:桥验证漏洞