链上卫士：2022 年 10 月安全事件盘点

一、十月安全热点概览

本月，区块链世界里共发生约100起典型安全事件，攻击手段五花八门，涵盖了钱包、MEV机器人、跨链桥、项目奖励机制等多个领域。其中，Profanity工具引发的私钥危机仍在发酵，多个项目因校验缺陷被黑客攻破，损失惨重。此外，社媒诈骗和Rug Pull事件持续飙升，给用户和项目方带来不小困扰。

1.1 重大安全事故梳理

1. THB项目在10月1日遭遇重入漏洞攻击，NFT被盗；

2. 跨链DEX聚合器Transit Swap于10月2日遭受攻击，用户资金被盗约2000万美元；

3. BNB Chain上的BSC Token Hub因验证漏洞导致黑客进行无限铸币；

4. MEV机器人因闪电贷回调漏洞损失约15万美元；

5. Earning.Farm 的EFLeverVault合约遭闪电贷双杀，损失总计748 ETH；

6. LiveArtX平台的钱包被黑，盗取197枚NFT；

7. Team Finance智能合约迁移过程出现严重漏洞，导致约1450万美元资产流失；

8. FriesDAO在10月29日因钱包权限问题遭受攻击，损失高达230万美元；

……（其余案例略）

1.2 RugPull项目大曝光

BTU代币、GSLS代币、FDO代币、RRB代币等众多新兴项目在本月纷纷上演价格雪崩，疑似项目方恶意拉高抛售或直接撤离流动性池，造成投资者重大损失。例如Sex DAO项目不仅价格暴跌，还删除了所有社交媒体账号，疑似实施RugPull策略。

1.3 社交媒体诈骗与钓鱼网站频发预警

本月社交诈骗类安全事件层出不穷，BadDogsCompany、kinkverse、beeple等数十个项目的Discord服务器均告失守，提醒用户切勿轻信任何未经核实的交易链接。同时，知名加密平台Gate和zkSync的假冒账号通过发布虚假空投信息诱骗用户点击钓鱼链接，造成不少用户资产受损。

1.4 其他安全动态

Zcash区块链遭遇大规模屏蔽交易输出攻击，Solana用户收到伪装Phantom安全更新的NFT空投实为恶意软件传播，TokenPocket官网遭受异常流量攻击需紧急维护，Aptos Labs团队发现并修复了Petra上关于助记词显示不准确的安全Bug，Spookie Finance前端疑似被攻击以窃取用户资产。

二、十月安全小编建议

十月的安全事件横跨各个领域，凸显出区块链行业在快速发展中面临的安全挑战之严峻。项目方务必在上线前进行严谨的安全审计，严防各类漏洞。同时，面对日益猖獗的社媒诈骗和钓鱼网站，项目方要强化官方账号的安全防护，并引导用户提高风险意识，谨慎对待“免费铸造”等活动，远离来路不明的链接。

在此提醒广大用户，在追求高额回报的同时，也要对市场保持清醒认知，警惕Rug Pull陷阱，确保自身资产安全！