漏洞赏金

CoinVoice最新获悉：5 月 29 日，跨链桥 Hop Protocol 在 Discord 中表示，由于提交地址表单的漏洞，去中心化应用平台 Authereum 的用户需在 6 月 2 日前重新提交空投领取地址的表单，如果错过，也可以在 Token 上线后的 6 个月内通过治理提案申领 Token。 此外，Hop Protocol 还表示将于下周公布空投申领日期。

CoinVoice最新获悉：5 月 28 日，Terra 研究论坛成员「FatMan」在社交媒体上发文表示，由 Terraform Labs 开发的合成资产协议 Mirror 合约长期存在漏洞。自 2021 年 10 月起，攻击者在 7 个月的时间内利用该漏洞多次进行攻击，最高单笔获利超 400 万美元（使用 1 万美元获利 430 万美元），均未被 Terraform Labs 或 Mirror 团队发现。截止漏洞修复时，攻击者利用该漏洞的总获利可能已超 3000 万美元。 FatMan 表示，该漏洞于 11 天前被 Mirror 论坛成员发现并提出质疑，此后该漏洞被修复，但 Mirror 团队并未对此事进行任何声明。[原文链接]

CoinVoice最新获悉：2022年5月26日，Hoo宣布将携手SwapAll 回馈用户，开启“救白虎，赢赏金”活动 ，参与用户越多，赏金奖池越高。用户完成救援任务，即可获得金币奖励，金币越多，瓜分赏金越多。分享活动页面至300人以上社群，还将有机会获得价值1000元的Hoo周边礼品一份。

SwapAll在所有AMM (Automated Market Maker) 类型的Dex基础上提供一层 Layer 2 解决方案，将无常损失优化至最低点，保障交易极速无拥堵，更有手机APP与Layer 2的双重使用选项，使其成为最具操作便利性的DeFi交易产品。

CoinVoice最新获悉：5 月 24 日，据官方消息，海外区块链安全团队 Lunaray 正式推出安全赏金服务，官方为服务过的项目免费提供赏金服务，持续保障项目的安全运营。白帽黑客将向 Lunaray 安全团队提供安全漏洞和安全警报，在审核请求后，将获得 Lunaray 丰厚的奖励。Lunaray 呼吁社区，共同为 Web3.0 的安全发展贡献力量，构建安全的 Web3.0 生态环境。 Lunaray 成立于 2018 年，是一家专注于区块链生态安全的网络安全公司。公司团队专注于区块链生态基础设施安全研究，以及 Web3.0 安全攻防技术研究，团队成员均有十余年网络安全攻防实战和安全研究经验。[原文链接]

CoinVoice最新获悉：5 月 23 日，英国金融行为监管局（FCA）表示，英国希望加强对货币市场基金的韧性，担心货币市场基金内部的潜在漏洞和对金融稳定的威胁仍然存在，将与与英国央行联合，并在财政部的支持下，发布一份关于货币市场基金改革的讨论文件。（金十）

CoinVoice最新获悉：5 月 21 日，据 Immunefi 官方消息，白帽黑客 satya0x 通过该平台为跨链桥 Wormhole 检举出一高危漏洞，并因此获得 1000 万美元奖励金，创下 Immunefi 平台获奖金额最高记录。该漏洞很快得到修复，没有用户资金受到影响。[原文链接]

CoinVoice最新获悉：5 月 19 日，以太坊智能合约编程语言 Solidity 发布 v0.8.14 版本。本次更新修复了两个重要漏洞。第一个漏洞与直接来自 calldata 的 ABI 编码嵌套数组有关。第二个漏洞是在某些继承结构中触发的，可能导致存储器指标被解释为 calldata 指标。此外，该版本还包括几个小漏洞修复和改进。[原文链接]

CoinVoice最新获悉：5 月 19 日，Discord 机器人应用 Mee6 在其社交网站表示，系统没有技术漏洞，Mee6 被用来发布虚假信息是因为一名员工的帐户遭到入侵。该问题现已解决，我们已采取措施确保它不再发生。 此前报道，5 月 18 日，包括 Axie、CyberConnect、Moonbirds、PROOF、Memeland、RTFKT 在内的多个项目官方 Discord 遭遇黑客攻击，其中许多攻击是通过 Mee6 机器人散发钓鱼网站信息。[原文链接]

CoinVoice最新获悉：5 月 19 日，美国商品期货交易委员会（CFTC）主席 Rostin Behnam 于本周三表示，美国商品期货交易委员会 (CFTC) 将增加资源并加大力度处理与加密货币相关的欺诈与操纵案件。在 Chainalysis Links 会议的视频评论中，Rostin Behnam 表示，CFTC 正面临着数量激增的此类案件，由于协议漏洞、网络钓鱼攻击、掠夺易受伤害的人以及其他欺诈和操纵计划而导致数千万美元数字资产损失的头条新闻已经变得非常普遍。去年，CFTC 提起了 23 起与加密货币相关案件的诉讼，占自 2015 年以来涉及数字资产的执法行动总数的近一半。[原文链接]

CoinVoice最新获悉：5 月 18 日，据派盾监测，美国演员 SethGreen 遭遇钓鱼攻击致 4 个 NFT 被盗，漏洞利用者地址（0xC8a090785350BBb043402aE1B324A744c9805f8c）已经售出了其中的 3 个（包括 1 个 BAYC、1 个 MAYC 和 1 个 Doodle），获利 145.5 枚 ETH（约 30.2 万美元）。[原文链接]

CoinVoice最新获悉：5 月 8 日，派盾官方在社交媒体发文表示，DeFi 项目 Pickle Finance 被盗资金中的 1800 枚 ETH 在过去 10 小时内通过 Tornado Cash 完成混币。 此前报道，去年 11 月，DeFi 项目 Pickle Finance 存在的漏洞被攻击者利用，损失近 2000 万美元存款。据分析，攻击者利用了涉及 Pickle Finance 的 DAI pJar 策略（该策略利用 Compound 协议通过 DAI 存款来获得收益）。[原文链接]

CoinVoice最新获悉：5 月 6 日，The Sandbox 发布第 2 季 Alpha 安全更新，为保证游戏公平，消除作弊行为，The Sandbox 已禁止所有机器人和程序化的行为，同时禁止创建多个账户以增加获胜的机会。据了解，The Sandbox 已封禁试图利用机器人和 API 漏洞等方式作弊的账户，这些用户没有资格参加第 2 季 Alpha 的通行证抽奖活动，但是被错误封禁的用户可提出报告，The Sandbox 将进行调查。[原文链接]

CoinVoice最新获悉：5 月 5 日，Cronos 生态 DEX MM.Finance 遭到前端攻击，黑客利用 DNS 漏洞从用户那里窃取超过 200 万美元的 CRO Token。被盗资金已转入 Tornado Cash。MM.Finance 已经通过链上数据整理了在攻击中损失资金的地址，并表示将向用户赔偿损失。[原文链接]

CoinVoice最新获悉：5 月 5 日，欧科云链链上天眼安全审计团队盘点并解析了 4 月发生的近 30 起典型安全事件（损失约 2.8 亿美元）。对于多起利用权限控制漏洞、闪电贷操纵价格的安全事件，链上天眼进行了技术解读。 由于 4 月社媒诈骗和钓鱼安全事件高发，链上天眼提醒用户：需注意多方验证信息准确性。此外，利用闪电贷获得大量资金影响预言机价格，已成为当下黑客常见的攻击手法，项目方应重点检查预言机机制，保证价格不能受即时交易干扰。[原文链接]

CoinVoice最新获悉：5 月 2 日，Near 生态 EVM 链 Aurora CEO Alex Shevchenko 在其社交网站上就 Near 彩虹桥因为异常活动暂停使用相关问题给出了解释。他表示 NEAR 彩虹桥完全是自动应对了这次攻击事件，用户甚至没有察觉到任何事情发生，而且双向交易也没有受到任何影响；彩虹桥的桥接「看门狗」（bridge watchdog）发现攻击者提交的区块不在 NEAR 区块链中，于是就创建了一个挑战交易（challenge transaction）并将其发送到以太坊，由于挑战成功，攻击者损失了 2.5 ETH，这笔钱最终支付给了 MEV 机器人。 后续 NEAR 将为中继器增加更多倍的质押要求，因此之后如果再发起类似攻击，攻击者可能需要耗费更多成本，攻击者损失的资金将用于漏洞赏金、以及支付额外的审计费用。[原文链接]

CoinVoice最新获悉：5 月 1 日，Rari Capital 在社交媒体上宣布，目前已经发现 Fuse Arbitrum 上的一个漏洞，且漏洞调查过程中已经暂停借贷功能，团队还将继续调查。此前报道，Rari Capital 在 Fuse 上的资金池遭到攻击，黑客获利近 8000 万美元。[原文链接]

CoinVoice最新获悉：4 月 30 日，Rari Capital 在 Fuse 上的资金池遭遇黑客攻击，被盗资金约 28,380 ETH，约合 8034 万美元。算法 Stablecoin 协议 Fei Protocol 表示，若攻击者归还被盗资金，则愿意为其提供 1000 万美元赏金。[原文链接]

CoinVoice最新获悉：4 月 30 日，据派盾官方消息，去中心化交易平台 Saddle Finance 被漏洞利用，协议损失超过 1000 万美元。[原文链接]

CoinVoice最新获悉：4 月 30 日，据派盾官方消息，Parity 多签钱包 2017 年被盗资金中有 9300 枚以太坊（约 2627 万美元）于约 2 小时前被转入 Tornado Cash。 此前报道，2017 年，一名黑客利用了 Parity 钱包的漏洞，转移了超过 15 万 ETH(在被黑客攻击时大约 3000 万美元)[原文链接]

CoinVoice最新获悉：4 月 30 日，以太坊核心开发者 Tim Beiko 在社交媒体分享 The Merge 会议的内容。本次会议显示，之前进行的两次影子分叉进行相对顺利，没有出现重大问题，但在测试网正式分叉前还将继续通过影子分叉来寻找可能的漏洞。 MEV 方面，mev-boost 未来会有一个额外的约束，区块的构建者需要尊重验证者选择的 Gas 限制。最后，Tim Beiko 表达了其对难度炸弹的看法，由于难度炸弹对矿工以及用户体验的影响较大，所以其认为针对难度炸弹的设置和启用应该谨慎，客户端团队成员甚至支持移除难度炸弹。[原文链接]

CoinVoice最新获悉：4 月 25 日，NFT 抵押借贷协议 BendDAO 将在 Snapshot 上进行新一轮治理提案的投票，本轮提案包括分配 150 万美元的 BEND 作为漏洞赏金、分配 3 亿枚 BEND 用作 UniswapV2 上的流动性激励，并分为三年线性释放，以及制定「蓝筹」NFT 评判标准，包括地板价、市值、总量、持有者数量等。三项提案的投票均将于北京时间今日 20:00 开始。[原文链接]

CoinVoice最新获悉：4 月 23 日，NFT 项目方 Akutar 的 11,539.5 ETH（约合 3,400 万美元）被永久锁定在拍卖合约。据欧科云链链上天眼显示： Aku 采用的是类似荷兰降价拍卖的形式，拍卖结束后会按照结束价格给用户退还超过最低价格的部分，因此这涉及 refund 以及 total bids 统计两个方面，而项目方在这两个方面均存在实现逻辑问题。 第一个漏洞，processRefunds() 会被恶意合约阻断，实现 DoS 攻击，也确有用户使用恶意合约阻断了 processRefunds(）执行，但该名用户表示只是让项目方确认问题存在，随即设置恶意合约变量，使得 processRefunds(）顺利执行完，因此该漏洞虽被利用，但已成功解决。 第二个漏洞，也就是真正导致项目方无法提款的关键所在，processRefunds(）是按照 msg.sender 的数量记录在了 refundProgress 变量，拍卖结束项目方调用 claimProjectFunds() 取出合约内的 ETH 时，要求满足 refundProgress >= totalBids，而 totalBids 记录的是 NFT 的数量，合约最终状态 refundProgress 数值为 3669，totalBids 数值为 5495，从而导致项目方无法提取合约内的 11539.5 ETH。 需要指出的是，在执行 processRefunds(）之前，参与拍卖的用户可以在三天后通过 emergencyWithdraw() 将个人投入的 ETH 取回，但由于 processRefunds(）的执行，导致用户的拍卖状态由未处理变为 refund，从而不能再进行 emergencyWithdraw()。

CoinVoice最新获悉：4 月 23 日，NFT 项目方 Akutar 因其合约漏洞问题导致 11,539 ETH（价值约 3400 万美元）被永久锁定。对此 Akutar 表示，本次合约漏洞主要因项目方失误，并非被人为恶意利用，目前被锁定的 ETH 已无法退还。团队正在紧急协商应对措施，将尽快铸造 NFT 给用户。 针对本次事件，Nifty Gateway 团队成员 tommyk.eth、NFT 领域 KOL Scalynelson 等人在社交媒体上发文表示，已将其个人得到的 ETH 退款归还给项目方，帮助项目方加速铸造 NFT 给用户。[原文链接]

CoinVoice最新获悉：4 月 22 日，NFT 抵押借贷协议 BendDAO 在 Web3 漏洞赏金平台 Immunefi 上推出漏洞赏金计划，用于奖励智能合约、dApp 和网站潜在漏洞改进。 据悉，该漏洞赏金计划旨在进一步加强协议安全性和用户资金安全，赏金最高可达 100 万美元。目前 BendDAO 锁仓价值目前已超过 1.7 万 ETH，支持 6 种蓝筹 NFT 项目抵押 NFT 借 ETH 流动性。[原文链接]

CoinVoice最新获悉：4 月 21 日，NBA The Association NFT 发行方 NBAxNFT 在其社交网站发文表示，智能合约确实存在问题，导致白名单供应提前售罄。目前正在识别白名单中无法铸造 NFT 的钱包。」 此前据社群反应，The Association NFT 项目合约存在漏洞，存在非白名单用可铸造多枚 NFT 的情况。[原文链接]