[特征] 严重警报！九月安全攻击总结

9 月份因安全相关攻击和漏洞利用造成的总损失约为 1.6432 亿美元。根据 Beosin Blockchain Security 的数据，与 8 月相比，9 月各种安全事件的数量和金额均有所下降。

9 月份 Wintermute 遭受的 1.6 亿美元黑客攻击是 Web3 领域近年来最大的损失。除此之外，当月还发生了多起利用热门事件进行诈骗的安全事件，如伊丽莎白代币、以太坊合并、仿盘游戏等，为避免上当受骗，请广大用户提高警惕而不是盲目跟风。

DeFi 协议的安全攻击和利用

1、9月2日，加密货币交易所Kyber Network遭遇前端攻击，损失约26.5万美元。

2、9月2日，ShadowFi遭到攻击，导致其SDF代币暴跌，攻击者获利约30万美元。

3、9月5日，BNBChain上的DAO Officials项目遭到闪贷攻击，攻击者获利约58万美元。

4、9月7日，Avalanche链上项目Nereus Finance遭受闪贷攻击，攻击者获利约38万美元。

5、9月8日，New Free Dao项目遭遇闪贷攻击，攻击者获利125万美元。

6、9月10日，BNBChain上的DPC代币合约遭到黑客攻击，造成约10万美元的损失。

7、9月18日，以太坊硬分叉区块链ETHW的Gnosis Omni Bridge跨链桥接项目存在合约级重放漏洞，导致攻击者获利约6000美元。

8. 9月20日，加密做市商Wintermute利用Profanity工具生成虚地址，导致私钥泄露，损失1.6亿美元。

9. 9月27日，一个MEV bot被攻击，损失约140万美元。

10、9月28日，BXH合约再次遭遇闪贷攻击，损失约4万美元。

基于趋势事件的安全攻击和漏洞利用

1. 9月9日，Elizabeth代币上线，利用伊丽莎白女王去世的热度，在合约中植入恶意代码，导致投资者资金面临风险。

2、9月15日，随着以太坊合并临近，YouTube上出现大量虚假直播。诈骗者伪造加密名人的视频作为官方直播，并附上钓鱼网站的链接。

3. 朝鲜的 Lazarus 黑客通过在加密货币交易所发布虚假招聘信息来引诱 macOS 开发人员和艺术家。

4、9月29日，BNB Chain山寨游戏《羊羊》（YLGY）官网和推特现已无法访问，疑似地毯式拉黑。该游戏以同名的中国手机游戏为蓝本，但游戏开发商澄清说他们从未开发或许可任何区块链游戏。

其他安全漏洞

去中心化交易所dYdX的SDK使用了恶意第三方组件，可能导致用户凭证泄露。

概括

总体而言，2022年9月各类区块链安全事件造成的总损失约为1.6432亿美元。其中，损失最大的是私钥泄露。使用第三方工具或服务的用户和项目方需格外小心。