3起私钥泄露事件导致千万美元损失？10月还有哪些安全风险值得警惕！

又到了每月安全盘点时刻！据区块链安全审计公司Beosin旗下EagleEye安全风险监控、预警与阻断平台监测显示，2023年10月，各类安全事件损失金额较9月大幅下降。10月发生较典型安全事件超『23』起，因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达5161万美元，较9月下降约85.6%。其中攻击事件约2833万美元，Rug Pull事件约1202万美元，钓鱼诈骗事件约1126万美元。

本月发生较大的安全事件为：Fantom基金会钱包被盗约700万美元；菲律宾加密交易所 Coins.ph被盗约600万美元；密码管理工具LastPass被盗约440万美元。这三起均为私钥泄露事件。本月还发生多起超过百万美元的Rug Pull事件，其中包括此前诈骗项目Fintoch团队开发的另一Web3游戏项目FinSoul。

黑客攻击方面 

共发生『15』起典型安全事件

No.1 10月3日，BSC链上BigWhale.io项目因私钥泄露被盗约150万美元。

No.2 10月6日，Web3社区平台Galxe遭到DNS劫持攻击，约27万美元被盗。

No.3   10月7日，Avalanche 生态社交协议 Stars Arena遭到重入漏洞攻击，损失约290万美元。项目方表示90%的被盗资金已追回。

No.4 10月11日，BH 代币（BlackHole Token）遭到攻击，损失约120万美元。

No.5 10月12日，Platypus Finance遭遇今年以来的第三次黑客攻击，损失约220万美元。此前该项目于今年2月和7月遭遇了两次攻击，损失分别为850万美元和5万美元。

No.6 10月13日，借贷项目Wise Lending遭到价格操纵攻击，损失约26万美元。

No.7 10月13日，Arbitrum链上Beluga Protocol项目遭受攻击，损失约17万美元。

No.8 10月17日，Fantom基金会钱包被盗约700万美元。Fantom官方表示攻击源自于“Google Chrome上的零日漏洞”。

No.9 10月17日，总部位于菲律宾的加密货币交易所 Coins.ph遭到黑客攻击，超过 1200 万枚 XRP 代币（约合 600 万美元）被盗。

No.10 10月18日，稳定币项目HopeLend遭到攻击，损失约82万美元。被盗资金已被抢跑者归还。

No.11 10月19日，Solana链上Synthetify Protocol 遭到治理攻击，损失约23万美元。

No.12 10月25日，密码管理工具LastPass遭到黑客攻击，损失金额达440万美元。

No.13 10月25日，Telegram Bot项目Maestro遭到攻击，被盗约51万美元。

No.14 10月28日，以太坊流动性再质押项目 Astrid 遭到黑客攻击，损失约22.8万美元。黑客随后归还被盗资金的 80%。

No.15 10月31日，Telegram Bot 项目 Unibot 遭受黑客攻击，损失至少达64万美元。

钓鱼诈骗/Rug Pull方面 

共发生『6』起典型安全事件

No.1 10月9日，BSC 链上 Lucky star Currency（LSC）代币发生Rug Pull，部署者获利约 111 万美元。

No.2 10月10日，游戏项目 FinSoul 发生Rug Pull，骗走资金160万美元。该项目团队和之前的诈骗项目Fintoch（分投趣）为同一团队。Fintoch项目曾在5月发生3160万美元的Rug Pull。

No.3 10月11日，FSL项目发生Rug Pull，损失约168万美元。

No.4 10月16日，BNB Chain链上IVY代币发生Rug Pull，损失约158万美元。

No.5 10月24日，Safereum代币发生Rug Pull，损失约130万美元。

No.6 10月26日，假 Linea 代币发生Rug Pull，涉及金额约130万美元。

加密犯罪/案件监管方面

共发生『2』起典型安全事件

No.1 10月20日消息，美国联邦调查局（FBI）已指控 6 人涉嫌使用暗网将加密货币兑换成现金来进行非法业务，涉案金额约3000万美元。

No.2 10月26日消息，澳大利亚警察突查“长江换汇”（Changjiang Currency Exchange）在澳洲多地门店，7人被捕。警方称，长江换汇在过去3年里帮助犯罪分子洗钱近2.3亿澳元，涉及加密货币洗钱。

鉴于当前区块链安全领域的新形势，『Beosin』在此总结：

从总体上看，2023年10月各类区块链安全事件损失金额较9月大幅下降。私钥泄露事件仍占到了黑客攻击总损失的67%，建议项目方做好全面的私钥管理措施，加强员工安全意识培训。本月还发生了两起Telegram bot被攻击事件，此类机器人存在多种风险，建议用户谨慎使用（相关阅读：UNIBOT爆火，如何防范Telegram 机器人相关的钓鱼和诈骗？）。此外，本月Rug Pull事件有所增加，建议用户做好项目背景调查，尤其不要轻信未开源的项目合约。

Beosin作为一家全球领先的区块链安全公司，在全球10多个国家和地区设立了分部，业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规KYT/AML等“一站式”区块链安全产品+服务，公司致力于Web3生态的安全发展，已为全球3000多个企业提供区块链安全技术服务，包括HashKey Group、Amber Group、BNB Chain等，已审计智能合约和公链主网超3000份，包括PancakeSwap、Ronin Network、OKCSwap等。