遭黑客攻击

ChainCatcher 消息，据 GoPlus 监测，帐户抽象解决方案 Holdstation 遭遇供应链攻击，攻击者窃取开发者会话令牌，绕过双重认证，在应用更新中注入恶意代码，导致用户资金被盗。此次攻击共造成 462,000 USDT 损失，攻击者地址为 0xcbfA60B39cfAeaE475f649fB6705bD477219bF8d。Holdstation 团队已暂停服务，承诺 100% 赔偿受影响用户，并正与安全团队合作调查事件，同时在链上发布消息，希望通过漏洞赏金计划促使攻击者归还资金。

ChainCatcher 消息，据 GoPlus 中文社区披露，预测市场平台 Polymarket 因订单系统中链下与链上交易结果同步机制的设计缺陷遭到黑客攻击。 攻击者通过 nonce 操纵，使链上匹配交易在落地前被取消或失效，但链下记录仍有效，导致 API 误报，影响 Negrisk 等交易机器人的交易行为，导致用户损失。攻击过程分析如下： 1. 攻击者在 Polymarket off-chain orderbook 上提交/撮合与做市 bot 的大额反向交易。 2. 攻击者构造带伪造/重复 nonce 的交易或利用链上 nonce 竞争，使链上交易必然 revert。 3. Polymarket API 在链上确认前即返回 “成交成功” 给 bot，导致 bot 认为仓位已对冲，但实际链上状态尚未改变。 4. 攻击者随后以真实链上交易吃掉 bot 暴露的方向，从而“无风险”获利。 5. 因为 revert 发生在链层，Polymarket 费用不会爆炸，攻击成本可控且能持续执行。 GoPlus 建议用户暂停自动化交易工具，验证链上交易状态，加强钱包安全，并密切关注 Polymarket 官方公告。

ChainCatcher 消息，据 SolanaFloor 在 X 平台发文披露，Step Finance 多个财库和手续费钱包遭到入侵，链上数据显示，攻击事件发生期间，约有 261,854 枚 SOL 代币被取消质押并转移，价值约合 3000 万美元。另据 Step Finance 官方发文称，目前正在调查本次攻击事件，更多信息将在稍后公布。

ChainCatcher 消息，据加密分析师 Specter（@SpecterAnalyst）监测，L 1 协议 Saga 疑似遭受黑客攻击，损失约 700 万美元。攻击者已将其中约 600 万美元兑换并跨链转移至以太坊网络。

ChainCatcher 消息，据 Cointelegraph 报道，Web3 安全平台 Immunefi 首席执行官 Mitchell Amador 表示，近 80% 遭受重大黑客攻击的加密项目从未完全恢复。其主要原因并非最初的资金损失，而是在应对过程中运营和信任的崩溃。多数协议在发现漏洞利用的瞬间即陷入瘫痪状态，由于没有预定义的应急计划，导致额外损失。数据显示，2025 年与加密相关的黑客攻击造成总损失达 34 亿美元，为 2022 年以来最高水平，其中包括 Bybit 的 14 亿美元黑客攻击在内的三起事件占截至 12 月初所有损失的 69%。

ChainCatcher 消息，专注拉美市场的稳定币银行初创公司 Kontigo 表示，其在周末发现并迅速封堵了一起安全漏洞，并已完成对 1,005 名受影响用户的全额赔付，共计 34.09 万美元稳定币。公司联合创始人兼 CEO Jesus A. Castillo 表示，其个人账户同样遭到入侵，并称这是一次针对公司管理层和用户的直接攻击。Castillo 在 X 平台发文称，公司已掌握攻击者身份，相关人员“不会逃避后果”。此次安全事件发生在 Kontigo 快速扩张阶段。就在数周前的 12 月 22 日，该公司刚宣布完成由 FoundersX Ventures 领投的 2000 万美元种子轮融资，资金将用于产品开发及新兴市场扩张。Kontigo 成立不足一年，获得 Y Combinator 支持。公司称过去 12 个月内实现 3000 万美元年化收入、处理支付规模超 10 亿美元，活跃用户数突破 100 万，团队规模仅 7 人。不过，Kontigo 此前亦因“去银行化”问题受到关注。媒体报道称，其通过中介使用的银行账户曾因合规风险被冻结，但 Castillo 否认相关指控，称问题源于中介机构，而非银行本身。

ChainCatcher 消息，据 CertiK 监测，一个与去中心化交易所 TMX 相关的未经验证合约在 Arbitrum 网络上遭到攻击，损失约 140 万美元。 黑客通过重复执行铸造和质押 TMX LP 与 USDT、将 USDT 兑换为 USDG、解除质押并出售更多 USDG 的操作，多次重复此策略以耗尽合约中的 USDT、wrapped SOL  和 WETH 资产。

ChainCatcher 消息，据市场消息，土耳其加密交易所 BtcTurk 又遭 4800 万美元黑客攻击。 去年 8 月 14 日，BtcTurk 交易所被黑客攻击，损失约 4900 万美元。

ChainCatcher 消息，据 PeckShieldAlert 监测，Story Protocol 上的 Unleash Protocol 遭遇未授权资金流失，损失约 390 万美元。攻击者随后将窃取的资金跨链转移至以太坊网络，并将 1337.1 枚 ETH 存入 Tornado Cash 协议。

ChainCatcher 消息，据 The Block 报道，加密预测市场平台 Polymarket 于 12 月 24 日确认，多名用户账户因第三方认证提供商的安全漏洞而遭到黑客攻击。受影响用户在社交媒体上报告，即使启用了双重认证，资金仍被清空。该问题似乎与 Magic Labs 提供的电子邮件登录服务有关，这是许多首次使用加密货币的用户常用的注册方式。 Polymarket 表示已解决此安全问题，目前无持续风险，但未透露受影响用户数量及损失金额。

ChainCatcher 消息，据 PeckShield 监测，Yearn Finance V1 (@yearnfi) 遭受黑客攻击，总计损失约 30 万美元。 攻击者已将窃取的资金兑换成 103 枚 ETH，目前这些资产存放在地址 0x0F21...4066。

ChainCatcher 消息，阿根廷加密货币平台 Lemon Cash 于 12 月 4 日确认，因其外部分析服务提供商 Mixpanel 于 11 月 9 日遭受黑客攻击，导致部分用户的姓名和电子邮件地址被泄露。Lemon Cash 强调，平台自身系统未受攻击，用户的私钥、助记词、资金以及账户余额等敏感信息均未受影响。公司已向受影响用户发送邮件，提醒警惕可能的钓鱼攻击。值得注意的是，OpenAI 也是 Mixpanel 的客户，在此事件后已终止与该服务商的合作关系。

ChainCatcher 消息，据官方公告，Web3Labs 官方推特号于今日凌晨遭到不明身份黑客攻击。目前，该账号发布的所有信息均为不实信息，Web3Labs 提醒用户切勿相信、点击、转发或与任何相关内容进行互动。Web3Labs 团队正联系推特平台官方团队，以期尽快恢复账号控制权。

ChainCatcher 消息，据链上数据显示，PORT3 代币遭遇黑客攻击，攻击者非法铸造 10 亿枚代币并正于市场集中抛售。

ChainCatcher 消息，据金十报道，周一以太坊一度下跌 9%，跌破 3,600 美元的关键支撑位，较 8 月 22 日创下的 4,885 美元高点下跌约 25%。以太坊暴跌前，基于以太坊的去中心化金融协议 Balancer 在一次黑客攻击中损失了可能超过 1 亿美元。这一漏洞是过去几周一系列看跌事件中的最新一起，导致数字资产投资者感到不安。与数字资产相关的股票也面临压力，Coinbase 下跌近 4%，Strategy 下跌超过 1%。

ChainCatcher 消息，Garden Finance 在多条区块链上疑似遭到黑客攻击，损失金额超过 550 万美元。 项目团队已通过链上消息向疑似攻击者提出 10% 的白帽奖励，但目前尚未就此事件发表公开声明。所有可冻结的资产已被迅速兑换。攻击者地址为 0x98BCc6c34A489CEfdD9DfA8d792CFEFb02Ea2D12。讽刺的是，就在几天前，安全研究员 ZachBXT 曾在社交媒体 X 上指出，Garden Finance 一直忽视受害者退还费用的请求，而据估计，Garden Finance 总活动中超过 25% 与被盗资金有关，包括 Bybit 攻击事件和 Swissborg 等平台的被盗资金。