漏洞赏金

CoinVoice最新获悉：4 月 17 日，DeFi 保险协议 InsurAce 已完成对 Stablecoin 收益平台 Elephant Money 攻击事件的漏洞调查并启动用户索赔程序。此次攻击导致 Elephant Money 金库损失约 1100 万美元的资金，核心原因是 Elephant Money 智能合约造币功能存在缺陷，因此本次黑客攻击被视为可索赔事件。 具体符合索赔条件为在 UTC 时间 2022 年 4 月 12 日 16:49:33 前持有一个主动的「Smart Contract Vulnerability」保单的用户，且在 2022 年 4 月 12 日 16:49:33 前在 Elephant 铸造了 TRUNK 并在 2022 年 4 月 12 日 16:49:33 前一直持有的用户。[原文链接]

CoinVoice最新获悉：4 月 14 日，网络安全软件公司 Check Point 的研究部门宣布发现了 NFT 市场 Rarible 中的一个漏洞，该漏洞使攻击者能够在一次交易中窃取用户的 NFT 和加密货币钱包。Check Point 表示，团队在 4 月 5 日发现漏洞后立即通知了 Rarible，Rarible 已承认并修复了该漏洞。[原文链接]

CoinVoice最新获悉：4 月 13 日，Axie Infinity 母公司 Sky Mavis 推出最高达 100 万美元漏洞悬赏计划，以奖励安全漏洞披露者。Sky Mavis 承诺用 Axie Infinity 的原生 Token AXS 向白帽黑客支付赏金，解锁期限为 6 个月。100 万美元的最高赏金将授予能够识别「异常严重的问题或具有极端影响的问题」的人。 Sky Mavis 还为识别「关键」智能合约和区块链漏洞提供 10 万美元的赏金，并为其认为「高」、「中」和「低」的风险提供 50,000 美元、5,000 美元和 1,000 美元的赏金。[原文链接]

CoinVoice最新获悉：4 月 11 日，DeFi 协议 Bancor 宣布启动针对 Bancor V3 代码库的漏洞赏金计划，奖励将根据所披露错误的严重程度进行分配，最高可达 100 万美元。团队表示，尽管 V3 代码库 已由 OpenZeppelin、Peckshield 和 Certora 等安全公司进行了多轮审计，但为确保尽可能高的安全性，团队仍邀请开发人员和白帽黑客审查代码。 此外，V3 主网发布时间预计为 5 月中旬。此前报道，Bancor V3 将推出 Omnipool、Infinity Pools和无常损失保护等新功能。[原文链接]

CoinVoice最新获悉：4 月 9 日，Axie Infinity 及 Ronin 链开发公司 Sky Mavis 首席运营官 Alexsander Larsen 在接受 CoinDesk 采访时表示，Ronin 桥被攻击并不是因为智能合约存在漏洞，而与社会工程和人为错误有关，向信任公司的用户表示抱歉，并承担全部责任。（CoinDesk）[原文链接]

CoinVoice最新获悉：4 月 8 日，以太坊二层网络 Metis 上的收益聚合器 Starstream 今日凌晨受其 distributor treasury 合约漏洞影响，被盗超 5 亿枚 STARS，随后攻击者将 STARS 抵押至借贷协议 Agora DeFi 中并借出大量资产，共造成 Agora DeFi 损失约 820 万美元。 据慢雾分析，在 Starstream 的 StarstreamTreasury 合约中存在 withdrawTokens 函数，此函数只能由 owner 调用以取出合约中储备的资金。而在 4 月 7 日晚，StarstreamTreasury 合约的 owner 被转移至新的 DistributorTreasury 合约 (0x6f...25)，该合约存在 execute 函数，而任意用户都可以通过此函数进行外部调用，因此攻击者直接通过此函数调用 StarstreamTreasury 合约中的 withdrawTokens 函数取出合约中储备的 5.3 亿个 STARS。[原文链接]

CoinVoice最新获悉：4 月 7 日，质押协议 Lido Finance 宣布与 Shard Labs 和 Immunefi 合作，为 Polygon 上的 Lido 推出 200 万美元漏洞赏金计划，悬赏漏洞包括智能合约与网站应用两个方面，且该悬赏奖金没有 KYC 要求。[原文链接]

CoinVoice最新获悉：4 月 7 日，Cosmos 生态 L1 网络 Juno 官方披露了目前技术团队对于 Juno 主网修复的最新情况，称其已经测试了升级路径并证实其可行性，主网预计将于北京时间 4 月 8 日 5 时重新启动。 此前报道，Juno 在区块高度 2578108 处停止出块。Juno 核心开发团队表示该漏洞已被公开披露，网络正在修复中。[原文链接]

CoinVoice最新获悉：4 月 7 日，据 CoinDesk 报道，一位不愿透露姓名的 Juno 核心开发人员表示，Juno 网络的崩溃源于一个智能合约的恶意漏洞攻击，该合约伪装成一个简单的「hello world」程序，攻击者在三天时间里向智能合约发送了超过 400 笔交易进行反复试验，最终锁定了一个特定的交易组合导致网络崩溃。 此前报道，Juno 在区块高度 2578108 处停止出块。截至发稿时该网络仍处于离线状态，暂无用户资金受到影响。Juno 核心开发团队表示该漏洞已被公开披露，网络正在修复中。[原文链接]

CoinVoice最新获悉：4 月 5 日，区块链安全公司 OpenZeppelin 近日披露，曾在在 Convex Finance 中发现一个可能导致 150 亿美元 Rug Pull 损失的漏洞。OpenZeppelin 在文件中表示，2021 年末，作为针对 Coinbase 安全审计的一部分，OpenZeppelin 对 Convex Finance 的代码进行了安全审计。安全研究小组发现了一个漏洞，如果多签钱包三个匿名签名者中的两个人利用该漏洞，将会使 Convex multisig 直接控制 Convex 的锁仓资产，当时协议 TVL 约 150 亿美元。该漏洞通过 Immunifi 披露，且已被修复，未造成任何资金损失。[原文链接]

CoinVoice最新获悉：4 月 2 日，据派盾 PeckShield 发布的数据显示，Inverse Finance 因漏洞被利用遭遇攻击并因此损失 4,300 枚 ETH，约合 1496.4 万美元，目前攻击者已将其中 1,300 枚 ETH 转入 Tornado.Cash。 Inverse Finance 表示本次事件目前仍在处理调查中，请等待相关报告。[原文链接]

CoinVoice最新获悉：4 月 2 日，专注 NFT 的公链项目 Phantasma 发布公告称遭黑客攻击。黑客利用协议漏洞在 BNB Chain 上额外铸造了大量的 KCAL 与 SOUL Token，然后跨链至以太坊，目前 SOUL 已被出售。 团队现已关闭跨链功能，并提醒用户尽快将 Pancakeswap 以及 Uniswap 中的流动性撤出，团队将会快照攻击前的 Token 份额并部署新的 Token 合约并空投给用户。[原文链接]

CoinVoice最新获悉：4 月 2 日，跨链互操作性协议开发商 LayerZero Labs 宣布推出安全漏洞赏金计划，奖金最高为 1500 万美元，团队将在接下来的几周内与漏洞赏金平台 Immunefi 和其他团体合作，敲定计划细节并最终推出。该团队表示，目前已将所有 EOA 迁移到 Stargate 和 LayerZero 的多重签名，将与社区合作，以投票方式选出多签密钥持有者。 [原文链接]

CoinVoice最新获悉：4 月 1 日，Axie Infinity 侧链 Ronin 宣布已经替换了在最近 6 亿美元的漏洞利用中受损的验证节点。开发团队正在推动未来几周内向 Ronin 添加新的验证节点的计划，加强安全性。 此前报道，Ronin 验证节点遭入侵，九个中的五个节点被黑客控制，导致 17.36 万枚 ETH 和 2550 万 USDC 被盗。[原文链接]

CoinVoice最新获悉：3 月 31 日，Castle Finance 开发者 Charlie You 在社交媒体上宣布发现 Solana 生态 DeFi 借贷协议 Jet Protocol 重大漏洞，该漏洞可以使得攻击者从任意账户中提取代币。Charlie You 称该漏洞于今年 1 月被发现，但漏洞自 2021 年 12 月 15 日的代码更新后就存在，Charlie You 表示该漏洞最多可能造成 2000 万美元的资金损失。在发现漏洞后，Jet Protocol 团队已将其修复。[原文链接]

CoinVoice最新获悉：3 月 30 日，PeckShield 在社交网站发文称检测到 BMIZapper 存在漏洞，提醒用户及时撤销全部授权。[原文链接]

CoinVoice最新获悉：3 月 29 日，去中心化期权协议 Auctus 在其社交网站表示其一个合约存在安全漏洞，提醒用户实施自查是否与该合约有过交互，并尽快撤销授权。[原文链接]

CoinVoice最新获悉：3 月 29 日，日前 TVL 已超过 35 亿美金新兴跨链桥项目 Stargate 的底层协议 LayerZero 更新了默认的交易验证合约，经 Cobo 区块链安全团队分析，此次更新修复了之前版本中存在的严重漏洞，该漏洞可能导致依托 LayerZero 构建的跨链项目的所有资产受到影响。 Cobo 区块链安全团队提醒投资者注意新项目的风险，同时呼吁项目方在对合约代码进行深度审计的同时，也尽快将目前 EOA 控制的特权转移给多签或者时间锁合约，减少攻击风险敞口。据悉，Cobo 区块链安全研究团队成员来自知名安全实验室，有多年网络安全与漏洞挖掘经验。[原文链接]

CoinVoice最新获悉：3 月 29 日，元宇宙平台 Cryptovoxels 官方 Discord 遭遇攻击。据悉，匿名攻击者使用 Discord 机器人中的漏洞，设法在 Cryptovoxels 官方 Discord 频道中将社区用户引导至网络钓鱼网站。目前 Cryptovoxels 官方仍在确定有多少帐户受到此次攻击影响。[原文链接]

CoinVoice最新获悉：3 月 29 日，区块链互操作性协议 LayerZero 联创兼 CTO@ryanzarick 在社交媒体上透露，他们在研究 Optimism 团队警告的一次无风险攻击的过程中发现，旗下跨链桥 Stargate Finance 的验证库存在潜在风险。团队已在上周部署了新的验证库，目前新的验证库已完成更新和验证。[原文链接]

CoinVoice最新获悉：3 月 28 日，Solana 算法 Stablecoin 项目 Cashio 攻击者今晚通过链上交易留言表示，将向持有 CASH、saber CASH/USDC LP 和 saber CASH/UST LP 价值在 10 万美元以下账户退款，并称「我的目的只是从那些不需要的人那里拿钱，而不是从那些需要的人那里拿钱。」 该名攻击者表示，需要受害者提供以太坊地址、持有 LP 的 Solana 钱包地址、需要退还的金额，并解释资金来源以及为什么需要这笔资金，并统一记录在文件中。黑客表示将选择谁会获得退款，退款将以手动的方式进行。 此前报道，3 月 23 日，Solana 上 Stablecoin 协议 Cashio 出现无限铸造故障（infinite mint glitch），据 DeFi Llama 数据显示，其总锁仓量已从 2,887 万美元骤降至 56.9 万美元。随后团队表示此次黑客攻击事件没有足够资金偿还用户损失，如果黑客退还资金，Cashio 愿意提供 100 万 USDC 作为赏金。[原文链接]

CoinVoice最新获悉：3 月 28 日，DeFi 隐私协议 Panther Protocol 宣布目前成功修复 Polygon 质押相关漏洞，同时为重新开始分配权益奖励，已从以太坊的协议奖励池中提取了 200 万美元额外的 ZKP 并桥接到 Polygon，这些 Token 可以立即支付质押奖励，而无需等待最终收回过早归属的资金。用户现在可以在 Polygon 网络上质押 Token，以对协议决策进行投票并获得奖励。[原文链接]

CoinVoice最新获悉：3 月 28 日，Solana 生态 Stablecoin 协议 Cashio 针对此前的被攻击事件发布事后报告，称将注意审查 Saber 上存在的任何现有开源协议，以确保用户资金相对安全。此次黑客攻击事件没有足够资金偿还用户损失，如果黑客退还资金，Cashio 愿意提供 100 万 USDC 作为赏金。 此前报道，3 月 23 日，Solana 上 Stablecoin 协议 Cashio 出现无限铸造故障（infinite mint glitch），据 DeFi Llama 数据显示，其总锁仓量已从 2,887 万美元骤降至 56.9 万美元。项目团队在其社交平台紧急发文呼吁用户停止铸造 CASH，并从协议中提出资金，团队正在对此事件进行调查。 [原文链接]

CoinVoice最新获悉：3 月 27 日，据 DeFi 可组合性杠杆协议 Gearbox Protocol 官方消息，目前已修复白帽黑客在 Immunefi 上提出的漏洞。此前发现的漏洞与 Uniswap V3 的适配器相关，目前已部署新的适配器，协议已恢复正常使用，此期间没有资金遭受损失。此外，Gearbox 已经向白帽黑客支付超过 15 万美元的漏洞赏金。此前报道，去中心化杠杆协议 Gearbox 出现安全漏洞，已暂停协议运行。 [原文链接]

CoinVoice最新获悉：3 月 27 日，派盾在社交网站上披露，金融 NFT 项目 Revest Finance 被攻击，黑客通过合约中的逻辑漏洞，可以在不支付任何费用的情况下向 Vault 铸造任何数量的 FNFT。据查黑客攻击的初始资金从 Tornado Cash 提取，目前正通过 SushiSwap 套现收益。[原文链接]