黑客野蛮 项目方失守 10月区块链生态损失总金额约9亿8104万美元

又到了每月安全盘点时刻！根据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，2022年10月，各类安全事件数量和涉及金额较9月大幅上升。10月发生较典型安全事件超『25』起，其中攻击类安全事件损失总金额约9亿8104万美元，为2022年以来区块链领域损失金额最高的一个月。

本月DeFi领域攻击事件频发，共发生11起单次损失金额超100万美元的事件，其中包括两起损失过亿的安全事件。本月BNBChain官方跨链桥攻击事件涉及金额巨大，钱包安全在本月也是值得关注的重点，共发生3起典型安全事件。

Tribe DAO提出1.57亿美元赎回计划，向代币持有人和Rari黑客受害者分发加密资产:金色财经报道，Tribe DAO提出了一项关闭其协议运作的提案。这是一个大约1.57亿美元的赎回计划，将DAO控制的剩余资产分配给TRIBE持有人，并对4月发生的Rari黑客攻击的受害者进行赔偿。任何批准都需要在未来由代币持有人进行的DAO投票中进行。赎回提案将用团队的8890万个未归属的TRIBE代币来补偿这次事件中的黑客受害者，这将向受害者发放约1600万美元。对于TRIBE持有人来说，DAO控制的资产总额约为1.41亿美元，将按比例分配。

4月30日，Rari Capital的资金池遭到攻击，价值约8000万美元。（The Block）[2022/8/20 12:37:18]

DeFi方面

共发生『16』起典型安全事件

派盾：去中心化借贷项目Qubit疑似遭到黑客攻击，损失或达8000万美元:1月28日消息，据派盾（PeckShield）官方消息，BSC 生态去中心化借贷项目 QBridge 旗下借贷产品 Qubit 疑似遭到黑客攻击，黑客铸造大量 xETH 抵押品并消耗约了资金池中 8000 万美元资产。[2022/1/28 9:18:40]

No.1?10月2日，跨链交易平台聚合器TransitSwap遭到黑客攻击，超2100万美元资产被盗。

No.210月4日，DeFi应用Sovryn遭到价格操纵攻击，损失金额约110万美元。

No.310月7日，跨链桥BSCTokenHub因跨链验证方式存在漏洞遭到攻击，损失达8.1亿美元，或是区块链领域涉及金额最大的一次攻击。

以太坊天价手续费转账或是黑客发起的GasPrice勒索攻击:对于“以太坊天价手续费转账”一事，PeckShield 分析认为，这可能是黑客向交易所发起的 GasPrice 勒索攻击，具体原因如下：1）某主体为交易所的地址被黑客以钓鱼等方式实施了攻击，其部分权限被黑客捕获，比如：服务器管理权限等；2）由于该交易所私钥存在多签验证等可能性，因此黑客尽管掌握了服务器账户权限，却无法完全控制私钥将巨额资产转给自己。3）但黑客却发现其已有权限可以向该地址授权的白名单转账，于是黑客才有可能在权限不齐的情况下，实现两次转账；4）不仅如此，黑客还发现其可以控制 GasPrice 权限，所以其拿不走这笔资产却可以想办法将其挥霍完；5）于是黑客发出两次异常转账，向该交易所发起了勒索。潜台词是如若交易所不通过其他方式给予黑客一定的赎金，黑客将会进一步把钱挥霍完（目前该地址还剩 2.1 万个 ETH）；6）由于该交易所的服务器权限被控制，使得其无法正常使用私钥权限，故而眼睁睁看着账户钱被动了，却没办法将剩余的钱转出及时止损。[2020/6/12]

No.410月9日，XaveFinance项目遭受黑客攻击，导致RNBW增发了1000倍。

动态 | 报告：黑客正在利用假冒的WordPress插件侵入用户电脑挖矿:最近，加密劫持软件问题越发严重， 人们关注的主要问题是，加密劫持软件正在变得越来越复杂，很难进行跟踪。根据安全公司Sucuri的一份新报告，黑客们正在使用假冒的WordPress插件侵入用户的电脑来挖矿。 报告显示，黑客们正在山寨合法软件的插件，以创建一个后门进入用户的网站，在未经授权的情况下进行访问，并安装一个Linux二进制代码，用于挖掘加密货币。其中一个假冒的插件是“wpframework”，这个插件的开发在2011年就停止了。然而，分析人士发现，最近几个月该插件至少进行了400次安装。[2019/10/18]

No.510月11日，TempleDAO项目因合约函数缺少权限校验遭受黑客攻击，涉及金额约236万美元。

No.610月11日，QANplatform跨链桥被攻击疑似因项目方私钥泄露，损失金额约200万美元。

No.710月12日，Journeyofawakening(ATK)项目遭受闪电贷攻击，攻击者获利12万美元。

No.810月12日，Solana生态去中心化交易平台Mango遭到价格操纵攻击，涉及金额达1.16亿美元。

No.910月13日，FTX交易所遭到gas窃取攻击，黑客获利约10万美元。

No.1010月17日，MTDAO项目方的未开源合约遭受闪电贷攻击，损失近50万美元。

No.1110月19日，Celo上的MoolaMarket协议遭受价格操纵攻击，黑客获利约840万美元。攻击者将约93.1%的所得资金返还给了MoolaMarket项目方，自己留下了总计65万个CELO作为赏金。

No.1210月24日，CurvePoolOracle被黑客攻击，损失约138ETH。

No.1310月25日，ULME代币项目被黑客攻击，造成约5万美元损失。

No.1410月25日，Melody_SGS链下模块被黑客攻击，造成约63万美元损失。

No.1510月27日，TeamFinance在由Uniswapv2迁移至v3的过程中遭到黑客攻击，损失约1300万美元。

No.1610月28日，FriesDAO因Profanity漏洞遭遇攻击，损失逾230万美元。

钱包安全方面

共发生『3』起典型安全事件

No.110月11日，DeBank插件钱包Rabby表示其RabbySwap智能合约存在漏洞，攻击者窃取约19万美元。

No.210月18日，钱包BitKeepSwap遭黑客攻击，共有1名黑客和5名模仿黑客，损失约163万美元。

No.310月27日，多链钱包UvToken遭遇攻击，黑客获利约150万美元。

跑路/加密局方面

共发生『5』起典型安全事件

No.110月5日，Web3社交平台SexDAO疑似已Rug，原白皮书已删除，目前官网及推特账号均已无法访问。

No.210月9日，Jumpnfinance项目发生Rugpull，涉及金额约115万美元。

No.3BNBChain上RKC代币合约留有组合类后门，攻击者已转出17.6个BNB。

No.410月24日，加密投资平台Freeway已停止平台所有取款。所有团队成员的名字已从网站删除，疑似发生Rugpull，所涉金额达1亿美元。

No.5巴西突袭涉嫌受害者7.66亿美元的加密团伙，受害者被承诺每月的投资回报率高达20%。

其他方面

共发生『1』起典型安全事件

No.1?据日本国家警察厅提供的信息，日本多家加密交易所遭到朝鲜黑客组织LazarusGroup发起的网络攻击。

鉴于当前区块链安全领域的新形势，『Beosin』在此总结：

从总体上看，2022年10月各类区块链安全事件数量和涉及金额较9月份大幅上升。10月攻击类安全事件损失总金额约9亿8104万美元，约为9月损失金额的5.97倍。

和上月相比，本月被攻击的项目类型更加多样化，建议各种类型的项目方都应做好安全防护工作。本月钱包安全事件和私钥泄露事件有所增加，建议项目方和用户都应注重签名服务的安全性，保护好私钥，规范操作，谨慎使用第三方工具或组件，不要点击来路不明的链接。本月依旧有60%的攻击事件来自合约漏洞利用，建议项目上线前寻求专业的公司进行安全审计。

标签：DAOTRIBTRITRIBEopendao币最新价格TribeOneMetrix CoinCryptosTribe

USDC热门资讯