漏洞赏金

CoinVoice最新获悉：3 月 27 日，MetaMask 在其社交网站发文称 Chrome 发布了一个高严重性的安全更新，Chrome 暂时没有向 MetaMask 披露其性质，但建议用户立即更新 Chrome 浏览器。 3 月 25 日，Chrome 在其官网页面发布版本为 99.0.4844.84 的紧急更新，该更新旨在解决编号为 CVE-2022-1096 的安全漏洞。 此前报道，包括神鱼在内的多位加密 KOL 提示用户紧急更新 Chrome 浏览器至最新版，以避免 Metamask 钱包遭受漏洞攻击，造成财产损失。[原文链接]

CoinVoice最新获悉：3 月 27 日，因谷歌 Chrome 爆出「zero day」漏洞，包括神鱼在内的多位加密 KOL 提示用户紧急更新 Chrome 浏览器至最新版，以避免 Metamask 钱包遭受漏洞攻击，造成财产损失。[原文链接]

CoinVoice最新获悉：3 月 25 日，Cosmos EVM 网络 Evmos 在个人社交媒体平台表示，将在本周升级测试网并修复发布问题，并在接下来的 1-2 周内进行彻底测试。 如果一切测试顺利，主网将在 1-2 周后启动。但该项目团队尚未确定从当前区块高度继续还是重置所有数据，正在对此进行数据分析以做出明智的决定。 此前报道，3 月 9 日，Evmos 在社交媒体发文表示，Evmos 核心团队对本次网络升级失败负责。因为 Evmos 核心团队推出升级的速度过快，导致有重大漏洞未能识别出来。故验证节点不应为本次事件负责。官方将继续收集相关数据，商议决定 Evmos 链是从区块 58700 继续，还是重置为 0，目前团队还在进行工程设计，以平滑重启 Evmos。[原文链接]

CoinVoice最新获悉：3 月 24 日，Fantom 生态 Stablecoin 收益优化器 OneRing 发布补偿计划，在遭遇闪电贷攻击后，OneRing 从 TVL 中收回 2,216,146 美元，占漏洞利用前 TVL 的 51.80%，这部分资金将立即偿还。此外，200 万枚 RING 将作为被盗资金的赔偿（150 万枚原为团队 Token，50 万枚来自储备金和生态系统钱包），分 12 个月线性归属。 此前报道，OneRing 遭到闪电贷攻击，黑客窃取逾 205 万美元。[原文链接]

CoinVoice最新获悉：3 月 22 日，在对 Compound 协议进行全面审计期间，OpenZeppelin 审查发现 CToken 智能合约中的 TrueUSD（TUSD）漏洞，该漏洞之前由 ChainSecurity 发现并报告给 Compound Labs，且不仅限于 Compound，多达 30 个 DeFi 协议也受到了类似的影响。如果被利用，可能造成数百万美元损失。该补丁已于 2022 年 2 月 23 日成功部署，没有任何资金因此遭受损失。[原文链接]

CoinVoice最新获悉：3 月 21 日，据官方消息，跨链 DeFi 协议 Umee 完成由 Trail of Bits 进行的代码审计，审计对象主要包括 Umee 区块链、原生借贷模块以及 Peggo 协调器的安全性。本次审计发现了一些可能影响系统隐私性、完整性或可用性的漏洞，目前漏洞已修复。[原文链接]

CoinVoice最新获悉：3 月 21 日，DEX 聚合协议 Li.Finance 宣布其智能合约存在潜在漏洞，正遭黑客攻击，已停用所有交易功能。现该漏洞已修复。 此外，派盾在社交网站上发文表示 Li.Finance 的漏洞利用者钱包持有约 200 枚 ETH。[原文链接]

CoinVoice最新获悉：3 月 16 日，派盾（PeckShield）在社交媒体上发布相关交易记录表示，攻击 Hundred Finance 与 Agave 黑客已将约 4,479 ETH 转入以太坊隐私交易平台 Tornado Cash。 此前报道，Gnosis Chain 上的 Compound 分叉项目 Hundred Finance 在社交媒体上公布遭遇漏洞利用，Gnosis 团队正在进行调查，目前已经暂停所有链上的 Hundred 相关交易。此外，Gnosis Chain 上 Aave 分叉项目 Agave 也遭遇闪电贷攻击，黑客利用两个协议中的可重入漏洞窃取了超过 1100 万美元，并已开始通过 Tornado Cash 进行混币。

CoinVoice最新获悉：3 月 16 日，Gnosis Chain 上的 Compound 分叉项目 Hundred Finance 在社交媒体上公布遭遇漏洞利用，Gnosis 团队正在进行调查，目前已经暂停所有链上的 Hundred 相关交易。此外，Gnosis Chain 上 Aave 分叉项目 Agave 也遭遇闪电贷攻击，黑客利用两个协议中的可重入漏洞窃取了超过 1100 万美元，并已开始通过 Tornado Cash 进行混币。[原文链接]

CoinVoice最新获悉：3 月 16 日，zkSync 宣布在 Web3 漏洞赏金平台 Immunefi 上发布漏洞赏金计划，本次漏洞赏金计划专注于检查智能合约、ZK-SNARK 以及网络和应用程序，以防止出现用户资金受损的情况。该计划将根据漏洞等级支付赏金，最高可获得 2100,000 美元。[原文链接]

CoinVoice最新获悉：近日，派盾在社交媒体上提醒，2017 年盗窃 Parity 多签钱包的一个黑客地址目前出现异动，链上数据显示该地址中的 990 枚 ETH 已经被转移到 Tornado Cash。 此前报道，2017 年，一名黑客利用了 Parity 钱包的漏洞，转移了超过 15 万 ETH(在被黑客攻击时大约 3000 万美元)，此后追回 377,000 枚，随后黑客将获得的 ETH 发送至 7 个地址，此次异动的地址为其中之一。[原文链接]

CoinVoice最新获悉：3 月 13 日，据派盾官方消息，元宇宙项目 PARALUNI 遭遇攻击，黑客获利约 170 万美元。由于 depositByAddLiquidity() 函数中的可重入性错误（通过使用精心制作的 Token 合约引入），该漏洞以某种方式使黑客能够索取的收益加倍。 黑客发起攻击的资金由 TornadoCash 转入，赃款通过 PancakeSwap 进行交换后仍保留在黑客帐户中。[原文链接]

CoinVoice最新获悉：3 月 12 日，基于 Arbitrum 的 TreasureDAO NFT 交易市场已重新上线。 此前报道，3 月 3 日，TreasureDAO NFT 交易市场出现漏洞，后项目方紧急关闭交易市场。项目团队现已追回并归还被盗 154 枚 NFT 中的 150 枚，并已完成对项目代码的全面审查。[原文链接]

CoinVoice最新获悉：3 月 11 日，据官方消息，基于 Arbitrum 的 TreasureDAO NFT 交易市场将在 24 小时内重新开放。 此前报道，3 月 3 日，TreasureDAO NFT 交易市场被曝发现漏洞，目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。受此影响，TreasureDAO 生态 Token MAGIC 价格出现波动，24 小时跌幅 12.09%。 3 月 4 日，TreasureDAO 团队在其 Discord 发布公告称，在漏洞事件中被盗的 153 枚 NFT 中已有 132 枚归还至多签钱包或原持有人钱包。针对代码安全，团队将建立同行评审小组并与安全公司建立长期合作关系。同时，未来几天还将公布一个代码漏洞赏金计划，以保证代码安全。TreasureDAO 生态的项目将在确保安全的前提下尽快重新开放。[原文链接]

CoinVoice最新获悉：3 月 10 日，以太坊二层扩容方案 Optimism 宣布下一代故障证明架构 Cannon 即将上线，并针对其发布高达 25 万美元的漏洞赏金计划。该架构将成为第一个可以运行 EVM 等效 L2 的公共故障证明实现。同时实现理论上的最低 calldata gas 成本。[原文链接]

CoinVoice最新获悉：3 月 9 日，Evmos 在社交媒体发文表示，Evmos 核心团队对本次网络升级失败负责。因为 Evmos 核心团队推出升级的速度过快，导致有重大漏洞未能识别出来。故验证节点不应为本次事件负责。官方将继续收集相关数据，商议决定 Evmos 链是从区块 58700 继续，还是重置为 0，目前团队还在进行工程设计，以平滑重启 Evmos。 此前报道，Evmos 于 3 月 7 日宣布升级失败后表示，Evmos 主网至少在接下来的几天内都不会上线，正对时间进行分析。[原文链接]

CoinVoice最新获悉：波卡委员会宣布已批准 Acala 的第 167 号提案，将设立 10 万枚 DOT 用于 ORML 模块的漏洞悬赏。据了解，ORML 是波卡的实时运行模块库，被广泛应用于波卡和 Kusama 的平行链。[原文链接]

CoinVoice最新获悉：3 月 7 日，波卡理事会已批准 Open Runtime Module Library（ORML）安全漏洞赏金计划，总赏金池达 10 万枚 DOT。该计划为波卡 Treasury 支持的第一个链上漏洞赏金计划，也是波卡上获得批准的第四个赏金计划。 该计划将由波卡理事会监督的 3/5 多签地址进行管理。签名者包括 Parity 核心开发者 Wei Tang、波卡开发者 Shawn Tabrizi、Acala 核心开发者 Shaun Wang、Manta Network 联合创始人 Shumo Chu 以及 Acala CTO Bryan Chen。[原文链接]

CoinVoice最新获悉：3 月 6 日，据官方消息，DeFi 量化对冲基金 Force DAO 宣布解散并清盘，同时表示，「ForceDAO 在被黑客利用漏洞攻击后从未真正恢复过，因此正式结束 ForceDAO 的运营。官方建议任何仍在投资资金库的用户，请提取任何剩余资金。」 此前报道，2021 年 4 月，Force DAO 项目遭到黑客攻击，其 FORCE Token 被大量增发。后参与攻击的黑客表示归还资金，并表示自己是白帽子。据慢雾安全团队分析发现，此漏洞发生的主要原因在于 FORCE Token 的 transferFrom 函数使用了`假充值`写法，但外部合约在对其进行调用时并未严格的判断其返回值，导致惨剧发生。[原文链接]

CoinVoice最新获悉：3 月 4 日，TreasureDAO 团队在其 Discord 发布公告称，在漏洞事件中被盗的 153 枚 NFT 中已有 132 枚归还至多签钱包或原持有人钱包。针对代码安全，团队将建立同行评审小组并与安全公司建立长期合作关系。同时，未来几天还将公布一个代码漏洞赏金计划，以保证代码安全。 TreasureDAO 生态的项目将在确保安全的前提下尽快重新开放。

CoinVoice最新获悉：3 月 3 日，在 TreasureDAO 代码漏洞导致其市场 100 多个 NFT 被盗数小时后，开发人员证实黑客已开始归还被盗的 Smol Brains 和其他 NFT。据悉，被盗 NFT 的总价值超过 140 万美元。 此前报道，派盾在社交媒体上针对 TreasureDAO 的代码漏洞进行了分析，由于交易功能中的 buyItem() 函数里存在区分 ERC721 和 ERC1155 的错误，该错误将 ERC721 的价格计算为 ERC1155 的价格，且函数不能有效检验购买数量，导致了此次攻击成为可能。据派盾提供的交易地址显示，本次攻击导致了上百枚 NFT 被盗。[原文链接]

CoinVoice最新获悉：3 月 3 日，派盾在社交媒体上针对 TreasureDAO 的代码漏洞进行了分析，由于交易功能中的 buyItem() 函数里存在区分 ERC721 和 ERC1155 的错误，该错误将 ERC721 的价格计算为 ERC1155 的价格，且函数不能有效检验购买数量，导致了此次攻击成为可能。据派盾提供的交易地址显示，本次攻击导致了上百枚 NFT 被盗。[原文链接]

CoinVoice最新获悉：3 月 3 日，TreasureDAO 团队在其 Discord 发布公告称，Treasure NFT 交易市场现已冻结交易，团队现在正全面审查代码，并着手修复漏洞，待确定漏洞完全修复后，会重新部署交易市场上线。 针对受到损失的用户，团队正在研究补偿多种方案，将由社区投票决定最终方案。 此前报道，Treasure NFT 交易市场发现漏洞，攻击者可以以 0 MAGIC 价格购买上架的 NFT。

CoinVoice最新获悉：3 月 3 日，基于 Arbitrum 的 TreasureDAO NFT 交易市场被曝发现漏洞，目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。受此影响，TreasureDAO 生态 Token MAGIC 价格出现波动，24 小时跌幅 12.09%。

CoinVoice最新获悉：3 月 2 日，派盾在社交媒体上公布了一份漏洞攻击相关数据报告，数据显示，2021 年 2 月全网 Defi 漏洞利用被盗资金达 3.39 亿美元。其中，针对跨链桥的攻击有 2 起，共造成 3.24 亿美元的损失，针对 Token 的攻击有 4 起，共造成 1014 万美元的损失，总计 3.34 亿美元的损失由逻辑漏洞导致。 [原文链接]