漏洞赏金

CoinVoice最新获悉：3 月 22 日，在对 Compound 协议进行全面审计期间，OpenZeppelin 审查发现 CToken 智能合约中的 TrueUSD（TUSD）漏洞，该漏洞之前由 ChainSecurity 发现并报告给 Compound Labs，且不仅限于 Compound，多达 30 个 DeFi 协议也受到了类似的影响。如果被利用，可能造成数百万美元损失。该补丁已于 2022 年 2 月 23 日成功部署，没有任何资金因此遭受损失。[原文链接]

CoinVoice最新获悉：3 月 21 日，据官方消息，跨链 DeFi 协议 Umee 完成由 Trail of Bits 进行的代码审计，审计对象主要包括 Umee 区块链、原生借贷模块以及 Peggo 协调器的安全性。本次审计发现了一些可能影响系统隐私性、完整性或可用性的漏洞，目前漏洞已修复。[原文链接]

CoinVoice最新获悉：3 月 21 日，DEX 聚合协议 Li.Finance 宣布其智能合约存在潜在漏洞，正遭黑客攻击，已停用所有交易功能。现该漏洞已修复。 此外，派盾在社交网站上发文表示 Li.Finance 的漏洞利用者钱包持有约 200 枚 ETH。[原文链接]

CoinVoice最新获悉：3 月 16 日，派盾（PeckShield）在社交媒体上发布相关交易记录表示，攻击 Hundred Finance 与 Agave 黑客已将约 4,479 ETH 转入以太坊隐私交易平台 Tornado Cash。 此前报道，Gnosis Chain 上的 Compound 分叉项目 Hundred Finance 在社交媒体上公布遭遇漏洞利用，Gnosis 团队正在进行调查，目前已经暂停所有链上的 Hundred 相关交易。此外，Gnosis Chain 上 Aave 分叉项目 Agave 也遭遇闪电贷攻击，黑客利用两个协议中的可重入漏洞窃取了超过 1100 万美元，并已开始通过 Tornado Cash 进行混币。

CoinVoice最新获悉：3 月 16 日，Gnosis Chain 上的 Compound 分叉项目 Hundred Finance 在社交媒体上公布遭遇漏洞利用，Gnosis 团队正在进行调查，目前已经暂停所有链上的 Hundred 相关交易。此外，Gnosis Chain 上 Aave 分叉项目 Agave 也遭遇闪电贷攻击，黑客利用两个协议中的可重入漏洞窃取了超过 1100 万美元，并已开始通过 Tornado Cash 进行混币。[原文链接]

CoinVoice最新获悉：3 月 16 日，zkSync 宣布在 Web3 漏洞赏金平台 Immunefi 上发布漏洞赏金计划，本次漏洞赏金计划专注于检查智能合约、ZK-SNARK 以及网络和应用程序，以防止出现用户资金受损的情况。该计划将根据漏洞等级支付赏金，最高可获得 2100,000 美元。[原文链接]

CoinVoice最新获悉：近日，派盾在社交媒体上提醒，2017 年盗窃 Parity 多签钱包的一个黑客地址目前出现异动，链上数据显示该地址中的 990 枚 ETH 已经被转移到 Tornado Cash。 此前报道，2017 年，一名黑客利用了 Parity 钱包的漏洞，转移了超过 15 万 ETH(在被黑客攻击时大约 3000 万美元)，此后追回 377,000 枚，随后黑客将获得的 ETH 发送至 7 个地址，此次异动的地址为其中之一。[原文链接]

CoinVoice最新获悉：3 月 13 日，据派盾官方消息，元宇宙项目 PARALUNI 遭遇攻击，黑客获利约 170 万美元。由于 depositByAddLiquidity() 函数中的可重入性错误（通过使用精心制作的 Token 合约引入），该漏洞以某种方式使黑客能够索取的收益加倍。 黑客发起攻击的资金由 TornadoCash 转入，赃款通过 PancakeSwap 进行交换后仍保留在黑客帐户中。[原文链接]

CoinVoice最新获悉：3 月 12 日，基于 Arbitrum 的 TreasureDAO NFT 交易市场已重新上线。 此前报道，3 月 3 日，TreasureDAO NFT 交易市场出现漏洞，后项目方紧急关闭交易市场。项目团队现已追回并归还被盗 154 枚 NFT 中的 150 枚，并已完成对项目代码的全面审查。[原文链接]

CoinVoice最新获悉：3 月 11 日，据官方消息，基于 Arbitrum 的 TreasureDAO NFT 交易市场将在 24 小时内重新开放。 此前报道，3 月 3 日，TreasureDAO NFT 交易市场被曝发现漏洞，目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。受此影响，TreasureDAO 生态 Token MAGIC 价格出现波动，24 小时跌幅 12.09%。 3 月 4 日，TreasureDAO 团队在其 Discord 发布公告称，在漏洞事件中被盗的 153 枚 NFT 中已有 132 枚归还至多签钱包或原持有人钱包。针对代码安全，团队将建立同行评审小组并与安全公司建立长期合作关系。同时，未来几天还将公布一个代码漏洞赏金计划，以保证代码安全。TreasureDAO 生态的项目将在确保安全的前提下尽快重新开放。[原文链接]

CoinVoice最新获悉：3 月 10 日，以太坊二层扩容方案 Optimism 宣布下一代故障证明架构 Cannon 即将上线，并针对其发布高达 25 万美元的漏洞赏金计划。该架构将成为第一个可以运行 EVM 等效 L2 的公共故障证明实现。同时实现理论上的最低 calldata gas 成本。[原文链接]

CoinVoice最新获悉：3 月 9 日，Evmos 在社交媒体发文表示，Evmos 核心团队对本次网络升级失败负责。因为 Evmos 核心团队推出升级的速度过快，导致有重大漏洞未能识别出来。故验证节点不应为本次事件负责。官方将继续收集相关数据，商议决定 Evmos 链是从区块 58700 继续，还是重置为 0，目前团队还在进行工程设计，以平滑重启 Evmos。 此前报道，Evmos 于 3 月 7 日宣布升级失败后表示，Evmos 主网至少在接下来的几天内都不会上线，正对时间进行分析。[原文链接]

CoinVoice最新获悉：波卡委员会宣布已批准 Acala 的第 167 号提案，将设立 10 万枚 DOT 用于 ORML 模块的漏洞悬赏。据了解，ORML 是波卡的实时运行模块库，被广泛应用于波卡和 Kusama 的平行链。[原文链接]

CoinVoice最新获悉：3 月 7 日，波卡理事会已批准 Open Runtime Module Library（ORML）安全漏洞赏金计划，总赏金池达 10 万枚 DOT。该计划为波卡 Treasury 支持的第一个链上漏洞赏金计划，也是波卡上获得批准的第四个赏金计划。 该计划将由波卡理事会监督的 3/5 多签地址进行管理。签名者包括 Parity 核心开发者 Wei Tang、波卡开发者 Shawn Tabrizi、Acala 核心开发者 Shaun Wang、Manta Network 联合创始人 Shumo Chu 以及 Acala CTO Bryan Chen。[原文链接]

CoinVoice最新获悉：3 月 6 日，据官方消息，DeFi 量化对冲基金 Force DAO 宣布解散并清盘，同时表示，「ForceDAO 在被黑客利用漏洞攻击后从未真正恢复过，因此正式结束 ForceDAO 的运营。官方建议任何仍在投资资金库的用户，请提取任何剩余资金。」 此前报道，2021 年 4 月，Force DAO 项目遭到黑客攻击，其 FORCE Token 被大量增发。后参与攻击的黑客表示归还资金，并表示自己是白帽子。据慢雾安全团队分析发现，此漏洞发生的主要原因在于 FORCE Token 的 transferFrom 函数使用了`假充值`写法，但外部合约在对其进行调用时并未严格的判断其返回值，导致惨剧发生。[原文链接]

CoinVoice最新获悉：3 月 4 日，TreasureDAO 团队在其 Discord 发布公告称，在漏洞事件中被盗的 153 枚 NFT 中已有 132 枚归还至多签钱包或原持有人钱包。针对代码安全，团队将建立同行评审小组并与安全公司建立长期合作关系。同时，未来几天还将公布一个代码漏洞赏金计划，以保证代码安全。 TreasureDAO 生态的项目将在确保安全的前提下尽快重新开放。

CoinVoice最新获悉：3 月 3 日，在 TreasureDAO 代码漏洞导致其市场 100 多个 NFT 被盗数小时后，开发人员证实黑客已开始归还被盗的 Smol Brains 和其他 NFT。据悉，被盗 NFT 的总价值超过 140 万美元。 此前报道，派盾在社交媒体上针对 TreasureDAO 的代码漏洞进行了分析，由于交易功能中的 buyItem() 函数里存在区分 ERC721 和 ERC1155 的错误，该错误将 ERC721 的价格计算为 ERC1155 的价格，且函数不能有效检验购买数量，导致了此次攻击成为可能。据派盾提供的交易地址显示，本次攻击导致了上百枚 NFT 被盗。[原文链接]

CoinVoice最新获悉：3 月 3 日，派盾在社交媒体上针对 TreasureDAO 的代码漏洞进行了分析，由于交易功能中的 buyItem() 函数里存在区分 ERC721 和 ERC1155 的错误，该错误将 ERC721 的价格计算为 ERC1155 的价格，且函数不能有效检验购买数量，导致了此次攻击成为可能。据派盾提供的交易地址显示，本次攻击导致了上百枚 NFT 被盗。[原文链接]

CoinVoice最新获悉：3 月 3 日，TreasureDAO 团队在其 Discord 发布公告称，Treasure NFT 交易市场现已冻结交易，团队现在正全面审查代码，并着手修复漏洞，待确定漏洞完全修复后，会重新部署交易市场上线。 针对受到损失的用户，团队正在研究补偿多种方案，将由社区投票决定最终方案。 此前报道，Treasure NFT 交易市场发现漏洞，攻击者可以以 0 MAGIC 价格购买上架的 NFT。

CoinVoice最新获悉：3 月 3 日，基于 Arbitrum 的 TreasureDAO NFT 交易市场被曝发现漏洞，目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。受此影响，TreasureDAO 生态 Token MAGIC 价格出现波动，24 小时跌幅 12.09%。

CoinVoice最新获悉：3 月 2 日，派盾在社交媒体上公布了一份漏洞攻击相关数据报告，数据显示，2021 年 2 月全网 Defi 漏洞利用被盗资金达 3.39 亿美元。其中，针对跨链桥的攻击有 2 起，共造成 3.24 亿美元的损失，针对 Token 的攻击有 4 起，共造成 1014 万美元的损失，总计 3.34 亿美元的损失由逻辑漏洞导致。 [原文链接]

CoinVoice最新获悉：2 月 23 日，DeFi 收益协议 Flurry Finance 官方发文称，Flurry Finance 出现漏洞，目前已知黑客仅利用了部署在 FinanceRabbit 策略上的资金，其他策略的资金仍然安全。目前已暂停了包括 BNB Chain（原 BSC）和 Polygon 上的所有 rhoTokens 智能合约、rebase 功能与 Flurry。[原文链接]

CoinVoice最新获悉：2 月 22 日，据 Forbes 报道，《Unchained》主理人 Laura Shin 在最新播客中表示，据其发现的相关证据显示，以太坊 2016 年 The DAO 事件中黑客的身份疑似为 TenX 联合创始人兼首席执行官、奥地利程序员 Toby Hoenisch。Laura Shin 表示，根据其对嫌疑人的数据追踪以及区块链分析公司 Chainalysis 的链上分析，她锁定了 TenX 位于新加坡的节点地址。 此前消息，2016 年 4 月 30 日，The DAO 项目在以太坊中进行 Token 众筹，截止 5 月 28 日，该项目已筹集 1150 万枚 ETH（以当时 ETH 的价格计算已超 1.5 亿美元），是当时最大金额的众筹。6 月 17 日，黑客利用漏洞向一个匿名的地址转移走了项目众筹来的 360 万枚 ETH，占众筹总数的三分之一，该事件也是导致以太坊硬分叉的直接原因。[原文链接]

CoinVoice最新获悉：2 月 22 日，一位「无聊猿」BAYC 所有者对 NFT 市场 OpenSea 提起诉讼，原因是黑客通过 OpenSea「非活跃上架」（inactive listing）漏洞利用以 0.01 ETH 购买了他的 BAYC。据悉，这位居住在德克萨斯州的 BAYC 所有者称，黑客以 0.01 ETH 购买了 Ape 之后迅速以 99 ETH 转售，因此他要求赔偿的金额超过 100 万美元，或者要求 OpenSea 归还他的 BAYC #3475。此外，该用户还表示 OpenSea 知道平台存在漏洞，而且他根本没有挂出该 NFT 出售。[原文链接]

CoinVoice最新获悉：2 月 21 日，据官方消息，OpenSea 仍在持续调查此前网络钓鱼攻击的具体细节。虽然还没有确定确切的来源，但已发布一些 EOD 更新：已将受影响的个人名单缩小到 17 人，而不是之前提到的 32 人。最初的计数包括与攻击者有过「交互」的任何人，而不是网络钓鱼攻击的受害者。这次攻击似乎不活跃，超过 15 小时没有恶意合约活动。 此前报道，2 月 20 日，OpenSea 联合创始人兼首席执行官 Devin Finzer 针对「OpenSea 漏洞」事件发布回应表示，本次攻击一种网络钓鱼攻击，工作团队相信攻击本身与 OpenSea 网站无关。到目前为止，共有 32 位用户签署了来自攻击者的恶意交易，导致他们的一些 NFT 被盗。目前该攻击似乎并未处于活动状态，2 小时内没有看到来自攻击者帐户的任何恶意活动，且部分 NFT 已退还。[原文链接]