劫持

ChainCatcher 消息，DeFi 借贷协议 HypurrFi 发布安全警告，称其网站域名已被攻陷，正在调查潜在的域名劫持事件。项目方明确表示：“不要使用 hypurr.fi 域名”，并提醒用户在进一步通知前避免与平台交互。团队同时强调，目前用户资金暂无风险，官方社交媒体仍处于控制之中。HypurrFi 运行在 HyperEVM 上，总锁仓价值约 3000 万美元。分析指出，域名劫持是加密行业常见攻击方式之一，攻击者通常通过控制前端页面植入恶意代码或钱包盗取程序，即使底层智能合约本身是安全的，用户仍可能面临资产风险。

ChainCatcher 消息，据链上侦探 ZachXBT 发文警示，Trust Wallet 的 Discord 链接（discord[.]gg/trustwallet）已遭黑客劫持，目前该链接指向一个钓鱼服务器。 ZachXBT 提醒用户切勿通过官网、Telegram、博客等官方渠道中的 Discord 链接加入，以免遭受资产损失。

ChainCatcher 消息，DeFi 项目 Steakhouse Financial 昨日披露其遭遇针对 OVH Cloud 的电话社交工程攻击，攻击者更改主站和 app 子域名的 DNS A 记录指向恶意 IP，并试图启动 5 天的域名转移。目前相关更改已撤销，DNS 记录已清空，正在与 OVH 合作解决。所有金库和合约未受影响，储户资金安全，无其他服务账户被入侵。在问题解决前请勿与官网和邮件交互，详细事后报告将尽快发布。今日凌晨，Steakhouse Financial 表示，在官网域名 DNS 记录清空期间，金库仍可通过 Morpho 直接访问，存款、提款等所有功能正常，前端恢复后将另行确认。

ChainCatcher 消息，黑客通过仿冒 Google Play 商店的钓鱼页面，在巴西发起 Android 恶意软件攻击活动。目前所有已知受害者均位于巴西。攻击者搭建了与 Google Play 高度相似的钓鱼网站，诱导用户下载名为“INSS Reembolso”的伪造应用。该应用安装后，将分阶段释放隐藏恶意代码，并直接加载至内存运行，设备上不留可见文件，具有较强的隐蔽性。恶意软件的核心功能之一为加密货币挖矿，内置针对 ARM 设备编译的 XMRig 挖矿程序，可在后台静默连接攻击者控制的挖矿服务器。该程序会监控电池电量、温度及设备使用状态，动态调整挖矿行为以规避检测，并通过循环播放静音音频文件绕过 Android 系统的后台进程管理机制。部分变种还内置银行木马，可在 Binance 和 Trust Wallet 的 USDT 转账界面叠加伪造页面，静默替换收款地址。此外，恶意软件支持录音、截屏、键盘记录及远程锁机等多项远程控制指令。

ChainCatcher 消息，据 DL News 报道，法国法兰西岛大区警方逮捕两名青少年（15 岁及 17 岁）及一名 35 岁男子，三人涉嫌于 3 月 10 日在法兰西岛大区先后实施两起针对加密货币持有者的武装劫持案。 据报道，第一起案件发生于巴黎南部郊区埃松省，嫌疑人佩戴面具、携带小型爆炸装置试图闯入一名加密货币持有者住宅，未遂。约 30 分钟后，另一起案件发生于塞纳-马恩省，嫌疑人成功闯入一名女性加密货币持有者住所，劫持其家人并盗走珠宝，是否同时窃取加密资产尚未披露。 警方随后追踪嫌疑人车辆，出动约 100 名武装特警及两架警用直升机展开追捕，历时约 6 小时将车辆拦截，并在车内发现失窃珠宝。检察官已对三人提起诉讼，罪名包括敲诈勒索、有组织犯罪、武装抢劫、毁坏财物及绑架。目前 17 岁嫌疑人及 35 岁男子已被羁押候审，15 岁嫌疑人处于司法监管之下，检察官已就此提出上诉。

ChainCatcher 消息，Letsbonk.Fun 创始人 Tom 发出紧急警告，称该项目域名目前已遭黑客劫持。黑客通过控制一个团队成员账户，在域名层面强制植入了资产盗取程序（Drainer）。Tom 提示所有用户，在另行通知前，切勿访问或使用 bonkfun 相关域名，以防资产损失。

ChainCatcher 消息，据 Cointelegraph 报道，一对法国夫妇在巴黎西部勒切斯内-罗克库尔特家中遭三名假冒警察的歹徒持刀闯入，被迫转移约 90 万欧元（约 100 万美元）比特币后，两人遭捆绑受伤，歹徒随后驾白色货车逃离。目前案件已由凡尔赛检察院移交打击匪帮部门调查，暂无逮捕消息。 此案为近年来加密货币领域“扳手攻击”（以暴力或威胁迫使持有者交出数字资产）的最新案例。据网络安全平台 CertiK 数据，2025 年此类攻击全球增长 75% 至 72 起，法国以 19 起居全球首位。今年以来，法国已多次发生针对加密从业者的绑架及入室抢劫事件。

ChainCatcher 消息，网络安全机构 Moonlock Lab 报告称，加密黑客近期升级 “ClickFix” 攻击手法，开始冒充风险投资机构，通过社交平台接触目标用户，并诱导其执行恶意代码，以窃取加密资产。攻击者伪装成 SolidBit、MegaBit、Lumax Capital 等虚假风投机构，通过 LinkedIn 发送合作邀约，并引导受害者进入伪造的 Zoom 或 Google Meet 会议链接。页面中嵌入假的 Cloudflare “我不是机器人” 验证按钮，点击后会将恶意命令复制至剪贴板，并诱导用户在终端粘贴执行，从而完成攻击。研究人员指出，该方式通过 “让受害者自行执行命令” 规避传统安全防护机制。与此同时，黑客还劫持浏览器扩展程序实施攻击。网络安全公司 Annex Security 创始人 John Tuckner 披露，Chrome 插件 QuickLens 在 2 月 1 日更换所有权后，于两周后发布含恶意脚本的新版本，触发 ClickFix 攻击并窃取用户数据。该插件约有 7,000 名用户，目前已从商店下架。报告称，被劫持的扩展程序会扫描加密钱包数据和助记词，并抓取 Gmail 邮箱内容、YouTube 频道数据及网页登录或支付信息。.

ChainCatcher 消息，据 Cointelegraph 报道，黑客正利用 “ClickFix” 攻击手法窃取加密货币，最新两起攻击涉及冒充风险投资公司和劫持浏览器扩展程序。网络安全公司 Moonlock Lab 报告称，诈骗者冒充 SolidBit、MegaBit 和 Lumax Capital 等虚假 VC，通过 LinkedIn 联系用户提供合作机会，然后引导其点击虚假的 Zoom 和 Google Meet 链接。点击链接后，用户会被引导至带有伪造 Cloudflare “我不是机器人”验证框的页面，点击该框会将恶意命令复制到剪贴板，并提示用户打开终端粘贴所谓的验证码，从而执行攻击。Moonlock Lab 指出，这种手法让受害者成为执行机制，绕过了安全行业的防御措施。与此同时，黑客还通过劫持 Chrome 扩展程序 QuickLens 传播恶意软件。该扩展允许用户在浏览器中直接运行 Google Lens 搜索，在被转让所有权后，新版本包含恶意脚本，可发起 ClickFix 攻击并窃取信息。该扩展约有 7000 名用户，被劫持后会搜索加密钱包数据和助记词以窃取资金，还会抓取 Gmail 收件箱内容、YouTube 频道数据以及输入网页表单的登录凭证或支付信息。该扩展已被从 Chrome 网上应用店移除。ClickFix 技术自去年在黑客中流行，迫使受害者手动执行恶意负载，已影响全球数千企业及多个行业。

ChainCatcher 消息，RWA 代币化平台 OpenEden 在 X 平台发文宣布已全面恢复对官网域名及其子域名的 DNS 控制，平台运营现已恢复正常。OpenEden 表示，其官网在 DNS 层面遭遇未授权记录修改，导致域名被劫持，经与安全合作伙伴及基础设施服务商联合调查确认，本次事件未影响任何智能合约，内部系统未被入侵，核心应用保持完整，储备资产亦未受到影响，所有储备资产可通过 Chainlink 的储备证明（Proof of Reserve）独立验证，并将加强域名与基础设施安全防护措施。

ChainCatcher 消息，ClawdBot（现更名为 Moltbot）创始人 Peter Steinberger 在社交媒体发文表示，其 GitHub 账户劫持问题已经解决，此问题仅影响个人账户而非组织账户。他特别提醒用户警惕约 20 个冒充的 X 诈骗账号。

ChainCatcher 消息，据慢雾科技首席信息安全官 23pds 披露，Linux 平台的 Snap Store 应用商店出现新型安全漏洞，黑客通过劫持过期域名接管应用发布者账号，将恶意代码植入加密钱包应用。 攻击者监控并注册 Snap Store 中关联域名已过期的开发者账号，利用这些域名邮箱触发密码重置，从而接管建立长期信誉的发布者身份。被篡改的应用伪装成 Exodus、Ledger Live 或 Trust Wallet 等知名加密钱包，界面与正版几乎无差别。 目前已确认 storewise[.]tech 和 vagueentertainment[.]com 两个发布者域名被劫持。这些恶意应用会诱导用户输入"钱包恢复助记词"，一旦用户提交，敏感信息将被传至攻击者服务器，导致数字资产被盗。

ChainCatcher 消息，据慢雾余弦披露，部分用户可能未收到 Monad 空投，建议检查此前在空投领取页面 claim.monad.xyz 绑定的钱包地址是否为预期地址。 余弦表示，如果绑定地址并非用户预期，可能遭遇了与用户 Onefly（@Onefly）类似的问题——钱包地址被黑客绑定为黑客地址，导致官方将空投发放给了黑客。据余弦透露，此前有白帽黑客曾向其同步过一个相关漏洞，该漏洞存在前置条件：如果有人劫持了用户在 Monad 空投领取页面的会话，可以在无需进一步确认的情况下更改领取钱包地址。

ChainCatcher 消息，据 Aerodrome 披露，该协议此前遭遇的域名劫持攻击中，攻击在不到 4 小时内被完全缓解，用户损失约 70 万美元。据悉，在首个恶意交易被发现后 2 分钟内，MetaMask 和 Coinbase Wallet 等主要钱包就开始显示警告。损失仅限于在恶意网站活跃期间连接并签署交易的用户。目前，团队正与安全顾问和企业注册商合作，预计域名将在下周迁移并重新开放。此外，Aero 和 Velo 基金会正制定计划，为受影响用户提供与损失成比例的补助金。

ChainCatcher 消息，Base 生态 DEX Aerodrome 官方于 X 平台发文表示，团队正在调查一起潜在的 DNS 劫持事件。请不要使用网站主域名，正在调查处理中。

ChainCatcher 消息，DeFi 协议 Balancer 目前正遭受攻击，当前在多个链上的损失已超 1.166 亿美元，针对 Balancer 的攻击仍在进行中。 据链上 AI 分析工具 CoinBob 整理，Balancer 历年安全事件如下： 2020 年 6 月闪电贷攻击：攻击者利用通缩型代币（STA/STONK）与 Balancer 智能合约的兼容性问题，通过反复调用 swapExactAmountIn 清空流动性池，最终获利 52.36 万美元。 2023 年 8 月 V2 池漏洞：Balancer V2 池因代码漏洞遭多次闪电贷攻击，总损失达 210 万美元。团队紧急暂停受影响池并建议用户撤资，但部分未及时撤出的资金仍被利用。 2023 年 9 月前端劫持攻击：黑客通过 BGP/DNS 劫持控制 Balancer 前端，诱导用户授权恶意合约，造成 23.8 万美元损失。链上侦探 ZachXBT 追踪到资金流向地址 0x645710Af050E26bB96e295bdfB75B4a878088d7E。 2023 年 Euler 事件波及：因 Euler Finance 漏洞导致 Balancer 的 bbeUSD 池损失 1190 万美元，占该池 TVL 的 65%。团队采取保护措施限制流动性提取。 2024 年 Velocore 攻击关联：Velocore 漏洞利用涉及 Balancer-style CPMM 池，造成 680 万美元损失。Balancer 技术架构因跨协议集成被间接牵连。

ChainCatcher 消息，加密货币开发者 Zak Cole 披露，一种新型钓鱼攻击正在针对加密社区成员的 X（原 Twitter）账户。该攻击通过伪装成 Google Calendar 应用的授权请求，诱导用户授予完整账户控制权限。攻击者利用 X 平台的应用授权机制，可完全绕过密码和双重认证。MetaMask 安全研究员已确认该攻击在野外活跃。建议用户访问 X 的已连接应用页面，检查并撤销可疑的 “Calendar” 应用授权以确保账户安全。

ChainCatcher 消息，据 Scam Sniffer 披露，Kiloex 项目的 Discord 邀请链接 discord.gg/kiloex 已过期并被诈骗分子恶意劫持。目前 Coingecko 和 CoinMarketCap 上的项目资料仍链接至被劫持的邀请地址，Kiloex 历史推文中也包含该恶意链接。据报告，已有用户因此遭受资产损失。 攻击者通过钓鱼签名盗取用户资产，并利用虚假的“Collab Land”机器人实施诈骗。除 Kiloex 外，Verisense Network 等多个项目的 Discord 邀请链接也遭到类似攻击。诈骗分子系统性地占用已过期的自定义邀请链接，将项目文档、网站和历史推文中的旧链接转化为攻击工具。

ChainCatcher 消息，据 Decrypt 报道，美国内布拉斯加州男子 Charles O. Parks III（网名“CP3O”）因策划价值 350 万美元的非法“加密劫持”计划被判处一年零一天监禁。他通过窃取云计算资源非法挖矿，获利近 100 万美元，并用于购买奢侈品。 Parks 已缴纳 50 万美元罚金及一辆梅赛德斯奔驰，赔偿金额待定。据悉，他曾伪装为教育平台骗取云服务商计算资源，用于挖掘以太坊、莱特币和门罗币，并通过交易所和银行洗钱。