漏洞赏金

CoinVoice最新获悉：4 月 9 日，Axie Infinity 及 Ronin 链开发公司 Sky Mavis 首席运营官 Alexsander Larsen 在接受 CoinDesk 采访时表示，Ronin 桥被攻击并不是因为智能合约存在漏洞，而与社会工程和人为错误有关，向信任公司的用户表示抱歉，并承担全部责任。（CoinDesk）[原文链接]

CoinVoice最新获悉：4 月 8 日，以太坊二层网络 Metis 上的收益聚合器 Starstream 今日凌晨受其 distributor treasury 合约漏洞影响，被盗超 5 亿枚 STARS，随后攻击者将 STARS 抵押至借贷协议 Agora DeFi 中并借出大量资产，共造成 Agora DeFi 损失约 820 万美元。 据慢雾分析，在 Starstream 的 StarstreamTreasury 合约中存在 withdrawTokens 函数，此函数只能由 owner 调用以取出合约中储备的资金。而在 4 月 7 日晚，StarstreamTreasury 合约的 owner 被转移至新的 DistributorTreasury 合约 (0x6f...25)，该合约存在 execute 函数，而任意用户都可以通过此函数进行外部调用，因此攻击者直接通过此函数调用 StarstreamTreasury 合约中的 withdrawTokens 函数取出合约中储备的 5.3 亿个 STARS。[原文链接]

CoinVoice最新获悉：4 月 7 日，质押协议 Lido Finance 宣布与 Shard Labs 和 Immunefi 合作，为 Polygon 上的 Lido 推出 200 万美元漏洞赏金计划，悬赏漏洞包括智能合约与网站应用两个方面，且该悬赏奖金没有 KYC 要求。[原文链接]

CoinVoice最新获悉：4 月 7 日，Cosmos 生态 L1 网络 Juno 官方披露了目前技术团队对于 Juno 主网修复的最新情况，称其已经测试了升级路径并证实其可行性，主网预计将于北京时间 4 月 8 日 5 时重新启动。 此前报道，Juno 在区块高度 2578108 处停止出块。Juno 核心开发团队表示该漏洞已被公开披露，网络正在修复中。[原文链接]

CoinVoice最新获悉：4 月 7 日，据 CoinDesk 报道，一位不愿透露姓名的 Juno 核心开发人员表示，Juno 网络的崩溃源于一个智能合约的恶意漏洞攻击，该合约伪装成一个简单的「hello world」程序，攻击者在三天时间里向智能合约发送了超过 400 笔交易进行反复试验，最终锁定了一个特定的交易组合导致网络崩溃。 此前报道，Juno 在区块高度 2578108 处停止出块。截至发稿时该网络仍处于离线状态，暂无用户资金受到影响。Juno 核心开发团队表示该漏洞已被公开披露，网络正在修复中。[原文链接]

CoinVoice最新获悉：4 月 5 日，区块链安全公司 OpenZeppelin 近日披露，曾在在 Convex Finance 中发现一个可能导致 150 亿美元 Rug Pull 损失的漏洞。OpenZeppelin 在文件中表示，2021 年末，作为针对 Coinbase 安全审计的一部分，OpenZeppelin 对 Convex Finance 的代码进行了安全审计。安全研究小组发现了一个漏洞，如果多签钱包三个匿名签名者中的两个人利用该漏洞，将会使 Convex multisig 直接控制 Convex 的锁仓资产，当时协议 TVL 约 150 亿美元。该漏洞通过 Immunifi 披露，且已被修复，未造成任何资金损失。[原文链接]

CoinVoice最新获悉：4 月 2 日，据派盾 PeckShield 发布的数据显示，Inverse Finance 因漏洞被利用遭遇攻击并因此损失 4,300 枚 ETH，约合 1496.4 万美元，目前攻击者已将其中 1,300 枚 ETH 转入 Tornado.Cash。 Inverse Finance 表示本次事件目前仍在处理调查中，请等待相关报告。[原文链接]

CoinVoice最新获悉：4 月 2 日，专注 NFT 的公链项目 Phantasma 发布公告称遭黑客攻击。黑客利用协议漏洞在 BNB Chain 上额外铸造了大量的 KCAL 与 SOUL Token，然后跨链至以太坊，目前 SOUL 已被出售。 团队现已关闭跨链功能，并提醒用户尽快将 Pancakeswap 以及 Uniswap 中的流动性撤出，团队将会快照攻击前的 Token 份额并部署新的 Token 合约并空投给用户。[原文链接]

CoinVoice最新获悉：4 月 2 日，跨链互操作性协议开发商 LayerZero Labs 宣布推出安全漏洞赏金计划，奖金最高为 1500 万美元，团队将在接下来的几周内与漏洞赏金平台 Immunefi 和其他团体合作，敲定计划细节并最终推出。该团队表示，目前已将所有 EOA 迁移到 Stargate 和 LayerZero 的多重签名，将与社区合作，以投票方式选出多签密钥持有者。 [原文链接]

CoinVoice最新获悉：4 月 1 日，Axie Infinity 侧链 Ronin 宣布已经替换了在最近 6 亿美元的漏洞利用中受损的验证节点。开发团队正在推动未来几周内向 Ronin 添加新的验证节点的计划，加强安全性。 此前报道，Ronin 验证节点遭入侵，九个中的五个节点被黑客控制，导致 17.36 万枚 ETH 和 2550 万 USDC 被盗。[原文链接]

CoinVoice最新获悉：3 月 31 日，Castle Finance 开发者 Charlie You 在社交媒体上宣布发现 Solana 生态 DeFi 借贷协议 Jet Protocol 重大漏洞，该漏洞可以使得攻击者从任意账户中提取代币。Charlie You 称该漏洞于今年 1 月被发现，但漏洞自 2021 年 12 月 15 日的代码更新后就存在，Charlie You 表示该漏洞最多可能造成 2000 万美元的资金损失。在发现漏洞后，Jet Protocol 团队已将其修复。[原文链接]

CoinVoice最新获悉：3 月 30 日，PeckShield 在社交网站发文称检测到 BMIZapper 存在漏洞，提醒用户及时撤销全部授权。[原文链接]

CoinVoice最新获悉：3 月 29 日，去中心化期权协议 Auctus 在其社交网站表示其一个合约存在安全漏洞，提醒用户实施自查是否与该合约有过交互，并尽快撤销授权。[原文链接]

CoinVoice最新获悉：3 月 29 日，日前 TVL 已超过 35 亿美金新兴跨链桥项目 Stargate 的底层协议 LayerZero 更新了默认的交易验证合约，经 Cobo 区块链安全团队分析，此次更新修复了之前版本中存在的严重漏洞，该漏洞可能导致依托 LayerZero 构建的跨链项目的所有资产受到影响。 Cobo 区块链安全团队提醒投资者注意新项目的风险，同时呼吁项目方在对合约代码进行深度审计的同时，也尽快将目前 EOA 控制的特权转移给多签或者时间锁合约，减少攻击风险敞口。据悉，Cobo 区块链安全研究团队成员来自知名安全实验室，有多年网络安全与漏洞挖掘经验。[原文链接]

CoinVoice最新获悉：3 月 29 日，元宇宙平台 Cryptovoxels 官方 Discord 遭遇攻击。据悉，匿名攻击者使用 Discord 机器人中的漏洞，设法在 Cryptovoxels 官方 Discord 频道中将社区用户引导至网络钓鱼网站。目前 Cryptovoxels 官方仍在确定有多少帐户受到此次攻击影响。[原文链接]

CoinVoice最新获悉：3 月 29 日，区块链互操作性协议 LayerZero 联创兼 CTO@ryanzarick 在社交媒体上透露，他们在研究 Optimism 团队警告的一次无风险攻击的过程中发现，旗下跨链桥 Stargate Finance 的验证库存在潜在风险。团队已在上周部署了新的验证库，目前新的验证库已完成更新和验证。[原文链接]

CoinVoice最新获悉：3 月 28 日，Solana 算法 Stablecoin 项目 Cashio 攻击者今晚通过链上交易留言表示，将向持有 CASH、saber CASH/USDC LP 和 saber CASH/UST LP 价值在 10 万美元以下账户退款，并称「我的目的只是从那些不需要的人那里拿钱，而不是从那些需要的人那里拿钱。」 该名攻击者表示，需要受害者提供以太坊地址、持有 LP 的 Solana 钱包地址、需要退还的金额，并解释资金来源以及为什么需要这笔资金，并统一记录在文件中。黑客表示将选择谁会获得退款，退款将以手动的方式进行。 此前报道，3 月 23 日，Solana 上 Stablecoin 协议 Cashio 出现无限铸造故障（infinite mint glitch），据 DeFi Llama 数据显示，其总锁仓量已从 2,887 万美元骤降至 56.9 万美元。随后团队表示此次黑客攻击事件没有足够资金偿还用户损失，如果黑客退还资金，Cashio 愿意提供 100 万 USDC 作为赏金。[原文链接]

CoinVoice最新获悉：3 月 28 日，DeFi 隐私协议 Panther Protocol 宣布目前成功修复 Polygon 质押相关漏洞，同时为重新开始分配权益奖励，已从以太坊的协议奖励池中提取了 200 万美元额外的 ZKP 并桥接到 Polygon，这些 Token 可以立即支付质押奖励，而无需等待最终收回过早归属的资金。用户现在可以在 Polygon 网络上质押 Token，以对协议决策进行投票并获得奖励。[原文链接]

CoinVoice最新获悉：3 月 28 日，Solana 生态 Stablecoin 协议 Cashio 针对此前的被攻击事件发布事后报告，称将注意审查 Saber 上存在的任何现有开源协议，以确保用户资金相对安全。此次黑客攻击事件没有足够资金偿还用户损失，如果黑客退还资金，Cashio 愿意提供 100 万 USDC 作为赏金。 此前报道，3 月 23 日，Solana 上 Stablecoin 协议 Cashio 出现无限铸造故障（infinite mint glitch），据 DeFi Llama 数据显示，其总锁仓量已从 2,887 万美元骤降至 56.9 万美元。项目团队在其社交平台紧急发文呼吁用户停止铸造 CASH，并从协议中提出资金，团队正在对此事件进行调查。 [原文链接]

CoinVoice最新获悉：3 月 27 日，据 DeFi 可组合性杠杆协议 Gearbox Protocol 官方消息，目前已修复白帽黑客在 Immunefi 上提出的漏洞。此前发现的漏洞与 Uniswap V3 的适配器相关，目前已部署新的适配器，协议已恢复正常使用，此期间没有资金遭受损失。此外，Gearbox 已经向白帽黑客支付超过 15 万美元的漏洞赏金。此前报道，去中心化杠杆协议 Gearbox 出现安全漏洞，已暂停协议运行。 [原文链接]

CoinVoice最新获悉：3 月 27 日，派盾在社交网站上披露，金融 NFT 项目 Revest Finance 被攻击，黑客通过合约中的逻辑漏洞，可以在不支付任何费用的情况下向 Vault 铸造任何数量的 FNFT。据查黑客攻击的初始资金从 Tornado Cash 提取，目前正通过 SushiSwap 套现收益。[原文链接]

CoinVoice最新获悉：3 月 27 日，MetaMask 在其社交网站发文称 Chrome 发布了一个高严重性的安全更新，Chrome 暂时没有向 MetaMask 披露其性质，但建议用户立即更新 Chrome 浏览器。 3 月 25 日，Chrome 在其官网页面发布版本为 99.0.4844.84 的紧急更新，该更新旨在解决编号为 CVE-2022-1096 的安全漏洞。 此前报道，包括神鱼在内的多位加密 KOL 提示用户紧急更新 Chrome 浏览器至最新版，以避免 Metamask 钱包遭受漏洞攻击，造成财产损失。[原文链接]

CoinVoice最新获悉：3 月 27 日，因谷歌 Chrome 爆出「zero day」漏洞，包括神鱼在内的多位加密 KOL 提示用户紧急更新 Chrome 浏览器至最新版，以避免 Metamask 钱包遭受漏洞攻击，造成财产损失。[原文链接]

CoinVoice最新获悉：3 月 25 日，Cosmos EVM 网络 Evmos 在个人社交媒体平台表示，将在本周升级测试网并修复发布问题，并在接下来的 1-2 周内进行彻底测试。 如果一切测试顺利，主网将在 1-2 周后启动。但该项目团队尚未确定从当前区块高度继续还是重置所有数据，正在对此进行数据分析以做出明智的决定。 此前报道，3 月 9 日，Evmos 在社交媒体发文表示，Evmos 核心团队对本次网络升级失败负责。因为 Evmos 核心团队推出升级的速度过快，导致有重大漏洞未能识别出来。故验证节点不应为本次事件负责。官方将继续收集相关数据，商议决定 Evmos 链是从区块 58700 继续，还是重置为 0，目前团队还在进行工程设计，以平滑重启 Evmos。[原文链接]

CoinVoice最新获悉：3 月 24 日，Fantom 生态 Stablecoin 收益优化器 OneRing 发布补偿计划，在遭遇闪电贷攻击后，OneRing 从 TVL 中收回 2,216,146 美元，占漏洞利用前 TVL 的 51.80%，这部分资金将立即偿还。此外，200 万枚 RING 将作为被盗资金的赔偿（150 万枚原为团队 Token，50 万枚来自储备金和生态系统钱包），分 12 个月线性归属。 此前报道，OneRing 遭到闪电贷攻击，黑客窃取逾 205 万美元。[原文链接]