10月,相较于9月各类安全事件造成的损失大幅度下降,各类安全事件造成的损失金额约4815.8万美元,较9月下降约86%。其中攻击事件约2832.8万美元,钓鱼诈骗约1126万美元,Rug Pull约857万美元。
本月发生较大安全事件为:Fantom基金会钱包被盗约700万美元;菲律宾加密交易所 Coins.ph被盗约600万美元;密码管理工具LastPass被盗约440万美元。本月还发生多起超过百万美元的Rug Pull事件,其中包括此前诈骗项目Fintoch团队开发的另一Web3游戏项目FinSoul以及FSL项目Rug Pull等。
以下为典型安全事件信息
-
10月3日,BSC链上BigWhale.io项目因私钥泄露被盗约150万美元。
-
10月6日,Web3社区平台Galxe遭到DNS劫持攻击,约27万美元被盗。
-
10月7日,Avalanche 生态社交协议 Stars Arena遭到重入漏洞攻击,损失约290万美元。据悉,该笔被盗资金储存在EOA地址(0xa2E)中,该地址也曾参与10月5日发生的Stars Arena漏洞攻击。
-
10月11日,BH 代币(BlackHole Token)遭到攻击,损失约120万美元。据悉,该笔资金已全部兑换成BNB,并存入 Tornado Casho。
-
10月12日,Platypus Finance遭遇今年以来的第三次黑客攻击,损失约220万美元。此前该项目于今年2月和7月遭遇了两次攻击,损失分别为850万美元和5万美元。
-
10月13日,借贷项目Wise Lending遭到价格操纵攻击,损失约26万美元。
-
10月13日,Arbitrum链上Beluga Protocol项目遭受攻击,损失约17万美元。
-
10月17日,Fantom基金会钱包被盗约700万美元。Fantom官方表示攻击源自于“Google Chrome上的零日漏洞”。
-
10月17日,总部位于菲律宾的加密货币交易所 Coins.ph遭到黑客攻击,超过 1200 万枚 XRP 代币(约合 600 万美元)被盗。
-
10月18日,稳定币项目HopeLend遭到攻击,损失约82万美元。被盗资金已被抢跑者归还。
-
10月19日,Solana链上Synthetify Protocol 遭到治理攻击,损失约23万美元。
-
10月25日,密码管理工具LastPass遭到黑客攻击,损失金额达440万美元。
-
10月25日,Telegram Bot项目Maestro遭到攻击,被盗约51万美元。
-
10月28日,以太坊流动性再质押项目 Astrid 遭到黑客攻击,损失约22.8万美元。黑客随后归还被盗资金的 80%。
-
10月31日,Telegram Bot 项目 Unibot 遭受黑客攻击,损失至少达64万美元。
-
10月2日消息,假冒EigenLayer项目实施了退出骗局,部署者通过一系列转账操作已获利约合30万美元。
-
10月9日,BSC 链上 Lucky star Currency(LSC)代币发生Rug Pull,部署者获利约 111 万美元。
-
10月10日,游戏项目 FinSoul 发生Rug Pull,骗走资金160万美元。该项目团队和之前的诈骗项目Fintoch(分投趣)为同一团队。Fintoch项目曾在5月发生3160万美元的Rug Pull。
-
10月10日,FSL项目发生Rug Pull,导致该项目遭受近98%的价值损失。据悉,该项目部署者将9700万FSL兑换为约168万枚BSC-USD,再换成约8000枚BNB,并存入Tornado Casho。
-
10月16日,BNB Chain链上IVY代币发生Rug Pull,损失约158万美元。
-
10月24日,Safereum代币发生Rug Pull,损失约130万美元。
-
10月26日,假 Linea 代币发生Rug Pull,涉及金额约130万美元。
以下为其他方面安全事件
注:时间不分先后
-
10月3日,美国纽约州检察官办公室宣布对AirBit案中幸存的五名被告中的三人做出量刑, Scott Hughes是一名律师,涉嫌洗钱AirBit Club欺诈收益约1800 万美元,被判处18个月监禁。
-
10月7日消息,过去一年期间,朝鲜黑客组织Lazarus Group通过跨链桥进行了超过9亿美元(约1.2万亿韩元)的加密货币洗钱,占过去一年通过跨链桥洗钱的总金额(70亿美元)的约七分之一。
-
10月26日消息,澳大利亚警察突查“长江换汇”(Changjiang Currency Exchange)在澳洲多地门店,7人被捕,其中4人为中国公民。警方称,长江换汇在过去3年里帮助犯罪分子洗钱近2.3亿澳元,涉及加密货币洗钱。
-
重庆市江北区公安分局网安支队在工作中发现,有人利用“猫池”非法获取软件APP验证码进行账户注册,涉嫌侵犯公民个人信息,犯罪嫌疑人通过虚拟货币与买家交易结算,共计获利15万元左右。目前,涉案4名犯罪嫌疑人因涉嫌非法获取计算机信息系统数据罪被江北警方采取刑事强制措施,该案件仍在进一步侦办中。
-
新加坡当局在一起洗钱调查案中查封了价值超过28亿新元(20亿美元)的资产,这些资产包括152处房产、62辆汽车、数千瓶酒、加密货币、金条和珠宝。
-
香港警方表示,目前在香港发现有犯罪分子假冒币安发送钓鱼短讯,一旦用户点击短讯后便可盗用其币安帐户并转走帐户内资产,在过去两周已接获11宗有关币安帐户内的虚拟资产被转走的报案,涉案金额达到350万港元。
-
近日 高平警方成功打掉一个 利用支付宝公户 “低买高卖”虚拟货币USDT 参与洗钱的涉诈犯罪团伙,涉案金额达1000余万元。
2023年10月,相较于9月各类安全事件数量及造成的损失大幅度下降。各类安全事件造成的损失金额约4815.8万美元,其中攻击事件约2832.8万美元,钓鱼诈骗约1126万美元,Rug Pull约857万美元,本月Rug Pull事件有所增加。
鉴于各类安全事件频发,零时科技安全团队提出以下安全建议:
-
项目方建立严格私钥管理流程,采用多签机制,禁止在联网环境中使用私钥。
-
在项目上线之前,找专业的第三方安全企业进行全面的安全审计,而且可以找多家进行交叉审计。
-
项目方可以发布漏洞赏金计划,发送社区白帽子帮助找问题,先于黑客找到漏洞。
-
加强对项目的安全监测和预警,尽量做到在黑客发动攻击之前发布预警从而保护项目安全。
-
智能合约开发者应该重视合约中的代码逻辑必须严谨,避免历史漏洞重现,加强代码安全性。
-
用户仔细进行项目背景调查,不要轻信未开源的项目合约,查看相关审计报告,避免资产损失。
-
用户要提高反诈意识,若不幸被骗,留存好证据,尽快向警方立案。
往期内容回顾
原文始发于微信公众号(零时科技):零时科技 || 10月各类安全事件造成的损失约4815.8万美元,Rug Pull事件有所增加
