bZx 第一次攻击事件(ETH)
原因总结
DeFi 贷款协议 bZx 因合约漏洞损失金额或达 35 万美元。操控预言机
bZx 第一次攻击事件(ETH)
原因总结
bZx 再次受到攻击,估计损失了价值 $645,000 的 ETH。操控预言机
Balancer攻击事件(ETH)
原因总结
据 DeBank 推特表示,黑客再次利用 dYdX 的闪电贷攻击了 Balancer 部分流动性矿池中的 COMP 交易对,将池子中未领取的 COMP 奖励抽走,获利 10.8 ETH,约合 2408 美金
Eminence攻击事件(ETH)
原因总结
根据 bluekirbyfi 推特消息,yearn.finance 创始人 Andre Cronje 刚推出的游戏项目 Eminence(EMN)遭遇闪电贷攻击,黑客将 800 万美元的资金返还给了 yearn 部署者合约。官方目前正在调查具体情况,并将重新分配受攻击的 800 万美元
Harvest Finance攻击事件(ETH)
原因总结
链上数据显示,Harvest Finance 资金池中有大量资金被转移,通过多个合约交易成功套现约 2400 万美元(具体为 3380 万美元),其中大部分通过 renBTC 套现提款。此次黑客使用的初始 ETH 来源为以太坊匿名转账平台 Tornado.cash。此次操作的 Hash 为:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。 从以太坊浏览器上可以看到,该黑客向 Harvest Finance 合约(地址: 0xc6028a9fa486f52efd2b95b949ac630d287ce0af)转账 20 枚 WETH,最后又将这 20 枚 ETH 转回了自己的地址。Harvest Finance 更新推特称,像其他套利经济攻击,这一次起源于一笔巨额闪电贷,并多次操纵一个货币乐高(Curve y Pool)的价格,以耗尽另一个货币乐高(fUSDT、fUSDC)的资金。攻击者随后将资金转换为 renBTC 并套现。像其他闪电贷攻击,攻击者没有给出响应时间,连续 7 分钟端到端地进行攻击。攻击者以 USDT 和 USDC 的形式向 Deployer 退回 2478549.94 美元。12月7日,Harvest Finance官方宣布上线GRAIN、USDC和USDT索赔门户网站。官方表示,根据此前黑客退还250万美元资金,这将用户损失减少到13.5%。官方正在通过USDC、USDT和GRAIN代币进行混合赔偿的方式,帮助此前受攻击事件影响的用户进行索赔。用户将根据其存款按比例获得GRAIN代币,以及按比例分配黑客退回的250万美元
Value DeFi攻击事件(ETH)
原因总结
Value DeFi 协议周六遭到了闪电贷攻击。据悉,攻击者从 Aave 协议借了 80000 ETH,执行了一次闪电贷攻击,在 DAI 和 USDC 之间进行套利。攻击者在利用 740 万美元 DAI 后,向 Value DeFi 退还了 200 万美元,保留了 540 万美元。此外,攻击者还给 Value DeFi 团队留下了一条带有嘲讽意味的信息:“你真的懂闪电贷吗?”而 Value DeFi 周五在推特上声称它有防止闪电贷攻击的功能。经查询,该推文目前已不存在。 随后,Value DeFi 团队发推证实其 MultiStables vault 遭到了“一次复杂的攻击,净损失达 600 万美元。”目前正在进行事后分析,并正在探索减轻对用户影响的方法。CoinGecko 行情显示,其 VALUE 代币现已跌破 2 美元,暂报 1.98 美元,24 小时跌幅 28.5%
Cheese Bank攻击事件(ETH)
原因总结
基于以太坊的去中心化自治数字银行平台 Cheese Bank 因黑客攻击遭受了 330 万美元的损失。黑客通过利用基于自动做市商(AMM)的预言机在 dYdX、Uniswap 等平台上进行了一系列恶意借贷操作,共导致价值超 330 万美元的损失,其中包括 200 万美元的 USDC。
原因总结
去中心化共享经济协议 Origin Protocol (OGN)联合创始人 Matthew Liu 撰文披露美元稳定币 Origin Dollar (OUSD)闪电贷攻击事件细节。截止目前,攻击已造成约 700 万美元损失,其中包括 Origin 及创始人和员工存入的超 100 万美元资金。目前,Origin 正在确定漏洞原因以及是否能够收回资金。Origin 提醒称,「目前已禁用了 vault 存款,请不要在 Uniswap 或 Sushiswap 上购买 OUSD。」
Warp Finance攻击事件(ETH)
原因总结
DeFi 门户网站 DefiPrime 今日早间在推特表示,北京时间 12 月 18 日 06:34,流动性 LP 代币抵押借贷 DeFi 协议 Warp Finance 遭遇闪电贷攻击,约 800 万美元被盗。此外,Warp Finance 官方也在推特表示,正在调查最近一小时内被借出的违规稳定币贷款,并建议不要再存入稳定币,直到官方查明违规情况为止。之后 Warp Finance 针对遭到的闪电贷攻击发布声明。据称,闪电贷攻击者最多可盗走价值 770 万美元的稳定币,不过 Warp Finance 团队已拟定计划来追回仍在抵押金库中的价值约 550 万美元的稳定币,这 550 万美元将按比例分给遭受损失的用户
原因总结
Yearn v1 yDAI vault 遭到攻击,攻击者窃取 280 万美元。Yearn finance 核心开发者 Banteg 随后表示:攻击者获得 280 万美元, vault 损失了 1100 万美元。在调查期间将禁止存款存入 v1 DAI、TUSD、USDC、USDT vault
BT.Finance攻击事件(ETH)
原因总结
DeFi 收益聚合器 BT.Finance 发推称,「遭到了黑客攻击,受攻击的策略包括 ETH、USDC 和 USDT,其他策略不受影响,BT.Finance 提款费用保护使这次攻击的损失减少了近 140,000 美元。」BT.Finance 表示希望黑客能够将资金归还,并将使用使用 BT 代币感谢其 Bug 测试。ICO Analytics 对此表示,受影响资金约为 150 万美元。
Alpha Finance、Cream Finance攻击事件(ETH)
原因总结
攻击者使用闪电贷到 Alpha Finance 中进行杠杆借贷,并使用 Alpha Finance 本身的 Cream IronBank 额度来归还闪电贷,在这个过程中攻击者通过在 Cream 添加流动性获得了大量的 cySUSD,使攻击者得以用这些 cySUSD 在 Cream Finance 中进行进一步的借贷。由于 Alpha Finance 的问题,导致了两个协议同时遭受了损失。
原因总结
DeFi 收益聚合器 Yeld.finance 的 DAI 池遭到闪电贷攻击,损失 16 万 DAI,涉及 10 余名用户。Tether、TrueUSD 和 USDC 均未受到影响。据介绍,Yeld 的问题与前期 Yearn.Finance 的 DAI 池漏洞问题一致。官方同时表示,受影响的使用者将得到代币偿还,代币来自 DAI 池的收入奖励,以弥补他们的部分损失。后 Yeld.finance 官方表示,被闪电贷攻击造成的 16 万 DAI 已经被归还,此次活动疑似是白帽所为,官方将进一步更新细节。
原因总结
DeFi 收益聚合器 Yeld.finance 的 DAI 池遭到闪电贷攻击,损失 16 万 DAI,涉及 10 余名用户。Tether、TrueUSD 和 USDC 均未受到影响。据介绍,Yeld 的问题与前期 Yearn.Finance 的 DAI 池漏洞问题一致。官方同时表示,受影响的使用者将得到代币偿还,代币来自 DAI 池的收入奖励,以弥补他们的部分损失。后 Yeld.finance 官方表示,被闪电贷攻击造成的 16 万 DAI 已经被归还,此次活动疑似是白帽所为,官方将进一步更新细节。
PancakeBunny攻击事件(BSC)
原因总结
由于采用V1版 LP 代币价格计算问题导致套利以及Bunny铸币问题,损失约 4500 万美元
Bogged Finance攻击事件(ETH)
原因总结
DeFi 协议 Bogged Finance 官方表示,黑客对 BOG 代币合约质押功能漏洞进行了闪电贷攻击,从流动性池中抽出了 300 万美元资金,黑客利用 Pancake Pair Swap 代码,在合约验证完成前即提取了质押收益。官方团队表示,目前流动性池中剩余的 800 万美元是安全的,黑客利用的漏洞已经被「封锁」,目前已无法被重复利用,Bogged Finance 所提供的工具仍可安全使用,团队正在修复前端显示问题。
AutoShark攻击事件(BSC)
原因总结
机枪池项目 AutoShark 遭到闪电贷攻击,由于 fork 的 PancakeBunny 导致存在相同风险而被套利,损失 75 万美元,币价闪崩
Merlin 攻击事件(BSC)
原因总结
Merlin 项目遭到攻击,同样也是 fork 的 PancakeBunny 导致存在相同风险而被套利,损失 680 万美元
BurgerSwap 攻击事件(BSC)
原因总结
BurgerSwap 项目由于交易K值未更新发起重入攻击,损失 720 万美元
JulSwap 攻击事件(BSC)
原因总结
JulSwap项目遭到攻击,fork 的 BurgerSwap 导致存在相同风险而被套利,损失不详,币价跌幅达95%
Belt Finance攻击事件(BSC)
原因总结
据官方消息,币安智能链(BSC)上的 Belt Finance 遭遇闪电贷攻击,损失 620 万美元。 攻击者利用闪电贷,通过 8 笔交易从 Belt Finance 协议中获得超过 620 万美元资金,并已将大部分资金转换成 anyETH 并提取到以太坊
PancakeHunny攻击事件(BSC)
原因总结
据官方消息,BSC 上的 PancakeHunny 遭遇黑客攻击,黑客获利 43 ETH(合计 10 余万美元)。PancakeHunny 分叉自 PancakeBunny,此次遭受的攻击也和 PancakeBunny 类似,黑客获得大量 HUNNY 代币并抛向市场,导致 HUNNY 代币价格暴跌
EvoDefi攻击事件(BSC)
原因总结
BSC 链上项目收益农场 EvoDefi 遭到攻击,其代币 GEN 价格从 2.1 美元/枚跌至 0.9 美元/枚,短时下跌57%。损失价值约 100 万美元的 455,576.85 个 GEN。由于 MasterChef 合约中的函数的更新逻辑存在设计缺陷,未更新奖励需要扣除的部分,从而导致被攻击者套利
Impossible Finance攻击事件(BSC)
原因总结
BSC 链上 DeFi 协议 Impossible Finance 遭到闪电贷攻击,攻击者获利 1,510.75 WBNB(合计 49.7 万美元)。6 月 25日,攻击者退还约 25.2 万美元
Eleven Finance 攻击事件(BSC)
原因总结
合约逻辑漏洞,提币函数未销毁用户在合约的代币余额,损失450万美元
Aperocket 攻击事件(BSC)
原因总结
Aperocket项目遭受攻击,fork的PancakeBunny 代码 ,BSC链损失26万美金
Aperocket 攻击事件(Ploygon)
原因总结
Aperocket项目遭受攻击,fork的PancakeBunny 代码 ,Ploygon链损失100万美金。defi项目之间的搭配而导致出现的问题,因为合作项目方sushi的LP奖励池MiniChefV2的机制不同。策略解析参考PancakeBunny再次攻击事件
PancakeBunny再次攻击事件(Ploygon)
原因总结
PancakeBunny再次遭受闪电贷攻击,仅Ploygon网络,攻击者获利1281ETH。defi项目之间的搭配而导致出现的问题,因为合作项目方sushi的LP奖励池MiniChefV2的机制不同
Array Finance 攻击事件(ETH)
原因总结
攻击者利用Array Finance的计价机制依赖于aBPT的totalSupply这点攻击,攻击者获利272.94ETH,价值约51.5万美金
Wault Finance攻击事件(BSC)
原因总结
BSC 链上 Wault Finance 遭攻击,攻击者获利 93 万美元。由于经济模型上的设计缺陷导致的攻击者可以对 WaultSwapPair (BSC_USDT-WEX) 的池子进行套利攻击
Popsicle Finance攻击事件(ETH)
原因总结
本次漏洞的核心在于由于奖励更新记录缺陷导致同个 PLP 凭证能在同个时间节点给多个持有者都带来收益。损失接近 2100 万美元。
XSURGE攻击事件(BSC)
原因总结
BSC 上 DeFi 协议 XSURGE 遭到闪电贷攻击,被盗金额价值 500 万美金。利用重入攻击漏洞。
DOT.Finance攻击事件(BSC)
原因总结
DOT.Finance项目遭受攻击,fork的PancakeBunny 代码 ,攻击者获利 900.89 BNB(合计约 $429,724)。属于pancakeBunny同源攻击,可参考PancakeBunny 攻击策略
xToken攻击事件(BSC)
原因总结
xToken闪电贷攻击事件导致损失450万美元,攻击策略待整理
Cream Finance攻击事件(BSC)
原因总结
抵押借贷平台CreamFinance遭遇闪电贷攻击,损失2500万美元。攻击原因为defi项目间的兼容性问题,并且Cream合约未做重入贷款限制。
Zabu Finance攻击事件(Avalanche)
原因总结
此次攻击是由于 Zabu Finance 的抵押模型与 SPORE 代币不兼容导致的,此类问题导致的攻击已经发生的多起。Avalanche 链上 Zabu Finance 官方表示,攻击者从 Zabu Farm Contract 提取 45 亿个 ZABU 代币,使供应达到 50 亿,并将全部倾销给 ZABU 的 Pangolin LPs 和 Trader Joe LPs,窃取了约 60 万美元。
Vee Finance攻击事件(Avalanche)
原因总结
预言机小数位精度处理问题。Vee.Finance 团队注意到多次异常转账,经过进一步监控,共有 8804.7 ETH 和 213.93 BTC被盗(总价值超 3500 万美元)。攻击者地址为:0xeeeE458C3a5eaAfcFd68681D405FB55Ef80595BA。 经调查,疑似攻击者系通过上述地址发起攻击,并已获取该地址的被盗资产。
Cream Finance再次攻击事件(ETH)
原因总结
yUSD的预言机逻辑问题,cream损失1亿多美金
Ploutoz Finance攻击事件(BSC)
原因总结
Ploutozfinance 被利用并为黑客带来了约 365,000 美元的收益。 由于 ploutozfinance 中 $DOP 的价格预言机操纵,黑客攻击成为可能。
Grim Finance攻击事件(FTM)
原因总结
Fantom链上复合收益平台GrimFinance遭遇闪电贷攻击,目前损失已超3000万美元。攻击者使用GrimFinance的名为forDeposit()的函数进行攻击,输入恶意Token合约进行重入攻击。