漏洞赏金

CoinVoice最新获悉：5 月 23 日，英国金融行为监管局（FCA）表示，英国希望加强对货币市场基金的韧性，担心货币市场基金内部的潜在漏洞和对金融稳定的威胁仍然存在，将与与英国央行联合，并在财政部的支持下，发布一份关于货币市场基金改革的讨论文件。（金十）

CoinVoice最新获悉：5 月 21 日，据 Immunefi 官方消息，白帽黑客 satya0x 通过该平台为跨链桥 Wormhole 检举出一高危漏洞，并因此获得 1000 万美元奖励金，创下 Immunefi 平台获奖金额最高记录。该漏洞很快得到修复，没有用户资金受到影响。[原文链接]

CoinVoice最新获悉：5 月 19 日，以太坊智能合约编程语言 Solidity 发布 v0.8.14 版本。本次更新修复了两个重要漏洞。第一个漏洞与直接来自 calldata 的 ABI 编码嵌套数组有关。第二个漏洞是在某些继承结构中触发的，可能导致存储器指标被解释为 calldata 指标。此外，该版本还包括几个小漏洞修复和改进。[原文链接]

CoinVoice最新获悉：5 月 19 日，Discord 机器人应用 Mee6 在其社交网站表示，系统没有技术漏洞，Mee6 被用来发布虚假信息是因为一名员工的帐户遭到入侵。该问题现已解决，我们已采取措施确保它不再发生。 此前报道，5 月 18 日，包括 Axie、CyberConnect、Moonbirds、PROOF、Memeland、RTFKT 在内的多个项目官方 Discord 遭遇黑客攻击，其中许多攻击是通过 Mee6 机器人散发钓鱼网站信息。[原文链接]

CoinVoice最新获悉：5 月 19 日，美国商品期货交易委员会（CFTC）主席 Rostin Behnam 于本周三表示，美国商品期货交易委员会 (CFTC) 将增加资源并加大力度处理与加密货币相关的欺诈与操纵案件。在 Chainalysis Links 会议的视频评论中，Rostin Behnam 表示，CFTC 正面临着数量激增的此类案件，由于协议漏洞、网络钓鱼攻击、掠夺易受伤害的人以及其他欺诈和操纵计划而导致数千万美元数字资产损失的头条新闻已经变得非常普遍。去年，CFTC 提起了 23 起与加密货币相关案件的诉讼，占自 2015 年以来涉及数字资产的执法行动总数的近一半。[原文链接]

CoinVoice最新获悉：5 月 18 日，据派盾监测，美国演员 SethGreen 遭遇钓鱼攻击致 4 个 NFT 被盗，漏洞利用者地址（0xC8a090785350BBb043402aE1B324A744c9805f8c）已经售出了其中的 3 个（包括 1 个 BAYC、1 个 MAYC 和 1 个 Doodle），获利 145.5 枚 ETH（约 30.2 万美元）。[原文链接]

CoinVoice最新获悉：5 月 8 日，派盾官方在社交媒体发文表示，DeFi 项目 Pickle Finance 被盗资金中的 1800 枚 ETH 在过去 10 小时内通过 Tornado Cash 完成混币。 此前报道，去年 11 月，DeFi 项目 Pickle Finance 存在的漏洞被攻击者利用，损失近 2000 万美元存款。据分析，攻击者利用了涉及 Pickle Finance 的 DAI pJar 策略（该策略利用 Compound 协议通过 DAI 存款来获得收益）。[原文链接]

CoinVoice最新获悉：5 月 6 日，The Sandbox 发布第 2 季 Alpha 安全更新，为保证游戏公平，消除作弊行为，The Sandbox 已禁止所有机器人和程序化的行为，同时禁止创建多个账户以增加获胜的机会。据了解，The Sandbox 已封禁试图利用机器人和 API 漏洞等方式作弊的账户，这些用户没有资格参加第 2 季 Alpha 的通行证抽奖活动，但是被错误封禁的用户可提出报告，The Sandbox 将进行调查。[原文链接]

CoinVoice最新获悉：5 月 5 日，Cronos 生态 DEX MM.Finance 遭到前端攻击，黑客利用 DNS 漏洞从用户那里窃取超过 200 万美元的 CRO Token。被盗资金已转入 Tornado Cash。MM.Finance 已经通过链上数据整理了在攻击中损失资金的地址，并表示将向用户赔偿损失。[原文链接]

CoinVoice最新获悉：5 月 5 日，欧科云链链上天眼安全审计团队盘点并解析了 4 月发生的近 30 起典型安全事件（损失约 2.8 亿美元）。对于多起利用权限控制漏洞、闪电贷操纵价格的安全事件，链上天眼进行了技术解读。 由于 4 月社媒诈骗和钓鱼安全事件高发，链上天眼提醒用户：需注意多方验证信息准确性。此外，利用闪电贷获得大量资金影响预言机价格，已成为当下黑客常见的攻击手法，项目方应重点检查预言机机制，保证价格不能受即时交易干扰。[原文链接]

CoinVoice最新获悉：5 月 2 日，Near 生态 EVM 链 Aurora CEO Alex Shevchenko 在其社交网站上就 Near 彩虹桥因为异常活动暂停使用相关问题给出了解释。他表示 NEAR 彩虹桥完全是自动应对了这次攻击事件，用户甚至没有察觉到任何事情发生，而且双向交易也没有受到任何影响；彩虹桥的桥接「看门狗」（bridge watchdog）发现攻击者提交的区块不在 NEAR 区块链中，于是就创建了一个挑战交易（challenge transaction）并将其发送到以太坊，由于挑战成功，攻击者损失了 2.5 ETH，这笔钱最终支付给了 MEV 机器人。 后续 NEAR 将为中继器增加更多倍的质押要求，因此之后如果再发起类似攻击，攻击者可能需要耗费更多成本，攻击者损失的资金将用于漏洞赏金、以及支付额外的审计费用。[原文链接]

CoinVoice最新获悉：5 月 1 日，Rari Capital 在社交媒体上宣布，目前已经发现 Fuse Arbitrum 上的一个漏洞，且漏洞调查过程中已经暂停借贷功能，团队还将继续调查。此前报道，Rari Capital 在 Fuse 上的资金池遭到攻击，黑客获利近 8000 万美元。[原文链接]

CoinVoice最新获悉：4 月 30 日，Rari Capital 在 Fuse 上的资金池遭遇黑客攻击，被盗资金约 28,380 ETH，约合 8034 万美元。算法 Stablecoin 协议 Fei Protocol 表示，若攻击者归还被盗资金，则愿意为其提供 1000 万美元赏金。[原文链接]

CoinVoice最新获悉：4 月 30 日，据派盾官方消息，去中心化交易平台 Saddle Finance 被漏洞利用，协议损失超过 1000 万美元。[原文链接]

CoinVoice最新获悉：4 月 30 日，据派盾官方消息，Parity 多签钱包 2017 年被盗资金中有 9300 枚以太坊（约 2627 万美元）于约 2 小时前被转入 Tornado Cash。 此前报道，2017 年，一名黑客利用了 Parity 钱包的漏洞，转移了超过 15 万 ETH(在被黑客攻击时大约 3000 万美元)[原文链接]

CoinVoice最新获悉：4 月 30 日，以太坊核心开发者 Tim Beiko 在社交媒体分享 The Merge 会议的内容。本次会议显示，之前进行的两次影子分叉进行相对顺利，没有出现重大问题，但在测试网正式分叉前还将继续通过影子分叉来寻找可能的漏洞。 MEV 方面，mev-boost 未来会有一个额外的约束，区块的构建者需要尊重验证者选择的 Gas 限制。最后，Tim Beiko 表达了其对难度炸弹的看法，由于难度炸弹对矿工以及用户体验的影响较大，所以其认为针对难度炸弹的设置和启用应该谨慎，客户端团队成员甚至支持移除难度炸弹。[原文链接]

CoinVoice最新获悉：4 月 25 日，NFT 抵押借贷协议 BendDAO 将在 Snapshot 上进行新一轮治理提案的投票，本轮提案包括分配 150 万美元的 BEND 作为漏洞赏金、分配 3 亿枚 BEND 用作 UniswapV2 上的流动性激励，并分为三年线性释放，以及制定「蓝筹」NFT 评判标准，包括地板价、市值、总量、持有者数量等。三项提案的投票均将于北京时间今日 20:00 开始。[原文链接]

CoinVoice最新获悉：4 月 23 日，NFT 项目方 Akutar 的 11,539.5 ETH（约合 3,400 万美元）被永久锁定在拍卖合约。据欧科云链链上天眼显示： Aku 采用的是类似荷兰降价拍卖的形式，拍卖结束后会按照结束价格给用户退还超过最低价格的部分，因此这涉及 refund 以及 total bids 统计两个方面，而项目方在这两个方面均存在实现逻辑问题。 第一个漏洞，processRefunds() 会被恶意合约阻断，实现 DoS 攻击，也确有用户使用恶意合约阻断了 processRefunds(）执行，但该名用户表示只是让项目方确认问题存在，随即设置恶意合约变量，使得 processRefunds(）顺利执行完，因此该漏洞虽被利用，但已成功解决。 第二个漏洞，也就是真正导致项目方无法提款的关键所在，processRefunds(）是按照 msg.sender 的数量记录在了 refundProgress 变量，拍卖结束项目方调用 claimProjectFunds() 取出合约内的 ETH 时，要求满足 refundProgress >= totalBids，而 totalBids 记录的是 NFT 的数量，合约最终状态 refundProgress 数值为 3669，totalBids 数值为 5495，从而导致项目方无法提取合约内的 11539.5 ETH。 需要指出的是，在执行 processRefunds(）之前，参与拍卖的用户可以在三天后通过 emergencyWithdraw() 将个人投入的 ETH 取回，但由于 processRefunds(）的执行，导致用户的拍卖状态由未处理变为 refund，从而不能再进行 emergencyWithdraw()。

CoinVoice最新获悉：4 月 23 日，NFT 项目方 Akutar 因其合约漏洞问题导致 11,539 ETH（价值约 3400 万美元）被永久锁定。对此 Akutar 表示，本次合约漏洞主要因项目方失误，并非被人为恶意利用，目前被锁定的 ETH 已无法退还。团队正在紧急协商应对措施，将尽快铸造 NFT 给用户。 针对本次事件，Nifty Gateway 团队成员 tommyk.eth、NFT 领域 KOL Scalynelson 等人在社交媒体上发文表示，已将其个人得到的 ETH 退款归还给项目方，帮助项目方加速铸造 NFT 给用户。[原文链接]

CoinVoice最新获悉：4 月 22 日，NFT 抵押借贷协议 BendDAO 在 Web3 漏洞赏金平台 Immunefi 上推出漏洞赏金计划，用于奖励智能合约、dApp 和网站潜在漏洞改进。 据悉，该漏洞赏金计划旨在进一步加强协议安全性和用户资金安全，赏金最高可达 100 万美元。目前 BendDAO 锁仓价值目前已超过 1.7 万 ETH，支持 6 种蓝筹 NFT 项目抵押 NFT 借 ETH 流动性。[原文链接]

CoinVoice最新获悉：4 月 21 日，NBA The Association NFT 发行方 NBAxNFT 在其社交网站发文表示，智能合约确实存在问题，导致白名单供应提前售罄。目前正在识别白名单中无法铸造 NFT 的钱包。」 此前据社群反应，The Association NFT 项目合约存在漏洞，存在非白名单用可铸造多枚 NFT 的情况。[原文链接]

CoinVoice最新获悉：4 月 17 日，DeFi 保险协议 InsurAce 已完成对 Stablecoin 收益平台 Elephant Money 攻击事件的漏洞调查并启动用户索赔程序。此次攻击导致 Elephant Money 金库损失约 1100 万美元的资金，核心原因是 Elephant Money 智能合约造币功能存在缺陷，因此本次黑客攻击被视为可索赔事件。 具体符合索赔条件为在 UTC 时间 2022 年 4 月 12 日 16:49:33 前持有一个主动的「Smart Contract Vulnerability」保单的用户，且在 2022 年 4 月 12 日 16:49:33 前在 Elephant 铸造了 TRUNK 并在 2022 年 4 月 12 日 16:49:33 前一直持有的用户。[原文链接]

CoinVoice最新获悉：4 月 14 日，网络安全软件公司 Check Point 的研究部门宣布发现了 NFT 市场 Rarible 中的一个漏洞，该漏洞使攻击者能够在一次交易中窃取用户的 NFT 和加密货币钱包。Check Point 表示，团队在 4 月 5 日发现漏洞后立即通知了 Rarible，Rarible 已承认并修复了该漏洞。[原文链接]

CoinVoice最新获悉：4 月 13 日，Axie Infinity 母公司 Sky Mavis 推出最高达 100 万美元漏洞悬赏计划，以奖励安全漏洞披露者。Sky Mavis 承诺用 Axie Infinity 的原生 Token AXS 向白帽黑客支付赏金，解锁期限为 6 个月。100 万美元的最高赏金将授予能够识别「异常严重的问题或具有极端影响的问题」的人。 Sky Mavis 还为识别「关键」智能合约和区块链漏洞提供 10 万美元的赏金，并为其认为「高」、「中」和「低」的风险提供 50,000 美元、5,000 美元和 1,000 美元的赏金。[原文链接]

CoinVoice最新获悉：4 月 11 日，DeFi 协议 Bancor 宣布启动针对 Bancor V3 代码库的漏洞赏金计划，奖励将根据所披露错误的严重程度进行分配，最高可达 100 万美元。团队表示，尽管 V3 代码库 已由 OpenZeppelin、Peckshield 和 Certora 等安全公司进行了多轮审计，但为确保尽可能高的安全性，团队仍邀请开发人员和白帽黑客审查代码。 此外，V3 主网发布时间预计为 5 月中旬。此前报道，Bancor V3 将推出 Omnipool、Infinity Pools和无常损失保护等新功能。[原文链接]