链上卫士：2022年9月安全事件盘点

一、基本信息

• 2022年9月发生较典型安全事件约『125』起。本月攻击形式呈现多元化，攻击范围包括钱包、MEV机器人、分叉重放、项目奖励池等。
• 由于以太坊合并导致部分项目发生重放攻击。
• 其中Profanity工具生成的私钥存在安全风险导致巨量资金被盗引发广泛的关注与讨论。
• 另外，部分项目的奖励池存在逻辑错误导致项目被攻击也警醒着人们对于奖励逻辑安全的思考。
• 而社媒诈骗和Rug Pull事件与上个月相比依然在大幅增加。

1.1 REKT盘点

No.1

9月2日，隐私项目 ShadowFi 遭遇黑客攻击，其官方 Token SDF 下跌 98.5%。攻击者利用 SDF代币的public burn函数将pair池中SDF代币进行烧毁，获利约 1078 枚 BNB（约合 30 万美元），目前被盗资金已被转入 TornadoCash。

攻击hash：0xe30dc75253eecec3377e03c532aa41bae1c26909bc8618f21fb83d4330a01018

SDF代币地址：0x10bc28d2810dd462e16facff18f78783e859351b

攻击者地址：0x4daa3135b016ac37c46ed03423d314caea89ff5e

No.2

9月4日，Rug Pull Finder最新推出的NFT项目“BadGuys”在免费铸造期间遭到漏洞利用攻击，两名用户利用其NFT合约漏洞铸造了450枚NFT，而不是按照最初设定的每个钱包仅能分配1枚NFT。这次漏洞或因为“mint”函数缺少所需的安全检查导致，该团队已在社交媒体上做出道歉并称将支付2.5ETH赏金来回购多铸造的NFT。

No.3

9月5日，BSC上DAO Officials项目项目遭受闪电贷攻击,链上数据显示攻击者或获利581,250 $BSC-USD。其漏洞原因为该项目Daoswap挖矿奖励大于交换过程中收取的费用以及缺乏验证，允许用户将邀请者地址设置为自己，导致黑客多次调用swap进行获取奖励代币。

攻击者地址：0x00a62eb08868ec6feb23465f61aa963b89e57e57

攻击hash：0x414462f2aa63f371fbcf3c8df46b9a64ab64085ac0ab48900f675acd63931f23

漏洞合约：0xea41bbd80ac69807289d0c4f6582ab73e96834d0

No.4

9 月 6 日，据官方消息，新生代公链AVAX上的项目Nereus Finance遭受到闪电贷攻击。击者利用经典的闪电贷攻击模式即闪电贷->偏斜储备->假LP代币定价->偿还闪电贷获利了大概约37万USDC。 据调查，导致此次攻击的原因是由Nereus Finance计算WAVAX-USDC-LP价格时使用即时数据，导致其价格被闪电贷操纵。

攻击者地址：0x69992a2e5d6ec031ab16733975110f0b43a0b1af

攻击合约地址：0x16b94c6358fe622241d055811d829281836e49d6

攻击交易：0x0ab12913f9232b27b0664cd2d50e482ad6aa896aeb811b53081712f42d54c026

No.5

9月7日，GERA 代币的安全性由于私钥泄漏而受到损害。黑客将 GERA 代币的智能合约部署者的所有权转移到另一个地址 0x510E4d61663bE6a24D600AaF90F892dd8c8C61dC，项目损失1,480,000u。

攻击交易：0x621f7b50a93e9ddea938c8dac33ab207088dc69b4889166c8e35762a0b8e9676

攻击者地址：0x510e4d61663be6a24d600aaf90f892dd8c8c61dc

No.6

9月8日，BSC 链上的 New Free Dao 项目遭受闪电贷攻击，漏洞在NFD项目部署的一个未经验证的奖励合约中，攻击者利用闪电贷借入NFD代币，并将其发送到攻击合约。随后攻击合约则利用未经验证的奖励合约的漏洞，向攻击者发送了更多的NFD代币。

攻击者地址：0x22c9736d4fc73a8fa0eb436d2ce919f5849d6fd2

攻击hash：0x1fea385acf7ff046d928d4041db017e1d7ead66727ce7aacb3296b9d485d4a26

漏洞合约：0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e

No.7

9月10日，DPC代币合约遭到黑客攻击，损失超73,614 BUSD，此次攻击主要原因是对于奖励机制设置出现漏洞，使得奖励数额成倍数增加，且奖励数额计算时与调用claimStakeLp()函数时传入的数字无关，因此攻击者可以用一个较小的金额进行多次调用，实现获得大额的奖励。

攻击者地址：0xf211Fa86CBc60d693D687075B03dFF3c225b25C9

漏洞合约地址：0xb75ca3c3e99747d0e2f6e75a9fbd17f5ac03cebe

No.8

9月15日左右，以太坊Merge时出现了很多无风险套利的机会，其中有科学家团队声称在此次套利行动中获利近1万个ETHW(约20万刀)，套利方式主要是用USDC这类无价值代币套取流动性池中有价值代币。OKLink链上卫士团队对这次套利行为进行了手法解析和数据统计，套利者总计获得了超过217,129个ETHW的收益。

相关链接：闷声发大财：大佬们在ETH分叉套利何止20万刀？

No.9

9月18日，攻击者正在EthereumPow重放PoS链的消息，该漏洞的根本原因是网桥未正确验证跨链消息的实际chainid。攻击者首先通过Gnosis链的omni桥转移了200 WETH，然后在PoW链上重放了相同的消息，获得了额外的200 ETHW。

No.10

9月20日，Wintermute在DeFi黑客攻击中损失1.6亿美元。

攻击者地址：0xe74b28c2eAe8679e3cCc3a94d5d0dE83CCB84705

No.11

9月27日，MEV机器人（0xBAD开头）被（0xB9F78开头）攻击，导致1,463,112.71美元的资产损失。其主要漏洞原因疑似其MEV机器人合约中回调函数存在一定安全风险。

攻击者地址：0xb9f78307ded12112c1f09c16009e03ef4ef16612

被攻击合约：0xbadc0defafcf6d4239bdf0b66da4d7bd36fcf05a

No.12

9月29日，BXH合约遭到黑客攻击，损失超40,085 BUSD。此次攻击主要原因是在计算奖励时，使用getAmountOut函数作为计算因子，与池子中BUSD的数量相乘，当池子中USDT数量增加时，获得的奖励相应增加。攻击者通过闪电贷向池子中转移大量BUSD，使得计算出的奖励增加从而获利。

攻击者地址：0x81c63d821b7cdf70c61009a81fef8db5949ac0c9

攻击者合约地址：0x4e77df7b9cdcecec4115e59546f3eacba095a89f

被攻击合约地址：0x27539b1dee647b38e1b987c41c5336b1a8dce663

1.2 RugPull盘点

No.1

9月1日，BSC链上FarmerCryptoCoin项目疑似是退出骗局，导致FCC代币大幅下跌。与FarmerCryptoCoin合约直接相关的外部账户（EOA）及其子公司总共获得了4.82万美元。

No.2

9月2日，BSC链上0xe62935529B59c1C9a3f5D01323F791E309B007c3项目代币超跌96%，创建者移除了流动性，钱包 0x387 出售了价值约 53,000 美元的代币。在 0x387 中汇总了 121,000 美元。

No.3

9月2日，BSC链上SDF项目代币超跌99%

合约地址：0x10bc28d2810dd462e16facff18f78783e859351b

No.4

9月3日，BSC链上0xce96ec3f29a15ec735fc61e49b4fae53f41933bf（LUNC）项目代币超跌63%，该项目是一个假的 LUNC 代币。请保持警惕。

合约地址：0xce96ec3f29a15ec735fc61e49b4fae53f41933bf

No.5

9月6日，Cornerchain代币CNR暴跌逾99.5%，对应合约由推特用户@neotericfinance创建。

合约地址：0xcf030ef1e14a7719aebe2471319b5547b4f22887

No.6

9月8日，ROI项目代币超跌98%，请保持警惕。

合约地址：0xe48b75dc1b131fd3a8364b0580f76efd04cf6e9c

No.7

9月9日，HACHiKO项目代币超跌90%，BSC合约地址：0x66238A43794bB9076828c6839554C437e577c29e ，请保持警惕。

No.8

9月9日，ZYChain 项目代币超跌83%，BSC合约地址：0x8b4d4e4fb663725e19087d384b1c8c1a10cde9f7，请保持警惕。

No.9

9月9日，DarkPool123项目代币超跌99%，BSC合约地址：0xb75ca3c3e99747d0e2f6e75a9fbd17f5ac03cebe，请保持警惕。

No.10

9月9日，Elizabeth代币（0x9dC18F8a7BbD6d45088204E214B079428281753d）存在诈骗风险。经分析发现 Elizabeth 代币借伊丽莎白女王事件热度进行发币，而在代币合约的transfer函数中设置后门：普通地址收到转账之后，收款地址就会给0xf6eB267701A5d89e2F48f66A457084cbe88167f2这个地址最大授权值。该代币在PancakePair中流动性代币数量只占了流通量的8‰，且项目方手里有大量的Token，有随时 rug pull 或慢慢掏空池子的风险。

No.11

9月10日，BSC链luckdao (Luck)项目的价格下降86%。

合约地址：0x99f6decbe2346d2ac4f84dd0fd0e883732b46047

No.12

9月10日，BSC链0xC32d9B63e47E87A117DEcA8B071bC230714A276C项目的价格下降65%。钱包地址 0x4f1 撤回流动性并以总计约 95,000 美元的价格出售代币。

No.13

9月11日，HealthCoin_bsc (HEALTH )项目的价格下降82%。

合约地址：0x32b166e082993af6598a89397e82e123ca44e74e

No.14

9月11日，ShibaVerse(VERSE)项目的价格下降90%，这是一个山寨项目，不要与@shibaverse_io混淆。

合约地址：0xFdb5A346AafaBadD7FE95efc8847C61D232fD70C

No.15

9月11日，Moon God项目代币暴跌60%，合约部署者向多个 EOA 发送代币，这些 EOA 以 5.1 万美元（17.4 WBNB）的总资产出售。

合约地址：0xf3c1424db5cac761df377ad55ab0cb221259cee7

No.16

9月13日，0xa05f9fb902fe039e33e75347460bf3189024b98e项目代币下降62%，EOA 0x71a9从预售合同中收到187.5 BNB，并向6个EOA发送101 BNB。

合约地址：0xa05f9fb902fe039e33e75347460bf3189024b98e

No.17

9月15日，0x170CB6652C4b28Fa601903439f1aee00A3f59aC8项目代币暴跌99%，合约部署者铸造代币并将其换成约 168 ETH（约 26.9 万美元），然后发送到两个EOA地址。

合约地址：0x170CB6652C4b28Fa601903439f1aee00A3f59aC8

No.18

9月15日，0x878595B05620B1c38898597c93AD19bB165f6Fa7项目代币暴跌97%，代币分销商向 EOA 发送了 10 亿个代币，该 EOA 已经并继续出售$GIDS 。保持警惕！

合约地址：0x878595B05620B1c38898597c93AD19bB165f6Fa7

No.19

9月15日，一名为“PoW ETH”的诈骗代币暴跌99%，合约部署者铸造此代币后将其换成168枚ETH（约合26.9万美元），之后发送至两个外部账户。

合约地址：0x170CB6652C4b28Fa601903439f1aee00A3f59aC8

No.20

9月15日，0x9bc699780A326C059C660C6ee2EF1D8583D01aEa项目疑似出现Rug pull，代币价格暴跌92%。部署者铸造代币并发送到 EOA，该 EOA 分发给其他 10 个 EOA，其中 3 个在过去一小时内售出，总利润为 50.6 万美元。

合约地址：0x9bc699780A326C059C660C6ee2EF1D8583D01aEa

No.21

9月15日，0x3f2807f783c394641a9fd1bbb568b5fcbec25575项目疑似出现Rug pull，代币价格暴跌86%。“Fuck The Merge”代币和“PoW ETH”代币都被同一个人操纵。保持警惕！

合约地址：0x3f2807f783c394641a9fd1bbb568b5fcbec25575

No.22

9月16日，TSUKA (TSUKA)项目疑似出现Rug pull，代币价格暴跌99%。

合约地址：0x4e8842F6CAf3F64037DF67C8427000dAE207F56C

No.23

9月16日，GigaChads DAO项目疑似出现Rug pull，CHAO代币价格暴跌80%。合约部署者铸造了大量代币然后将其出售，请保持警惕。

合约地址：0xEb1f71f5afF39fa662001143916603b337f99F6E

No.24

9月17日，OutpostDevs (OUT)项目疑似出现Rug pull，代币价格暴跌80%,获利约 2500美元。

合约地址：0x4b9fb6d85f1f51a9cc29aaf7127125737d94536e

No.25

9月17日，META token (META)项目疑似出现Rug pull，代币价格暴跌75%,获利约 40,200 美元。

合约地址：0xbF7E9ccFc62B5f46E0BA30208491174AFDA5323f

No.26

9月17日，项目0x1D7F3Bcd965bfd03Eec6942f283516708bB448a9疑似出现Rug pull，代币价格暴跌100%。合约部署者将 0x4b29 设置为“marketAddress”，从而允许使用流动性池中的 HDOGE。总共有 204 个 BNB 被发送到 0x566a。

合约地址：0x1D7F3Bcd965bfd03Eec6942f283516708bB448a9

No.27

9月19日，项目 Secret token (Secret)合约地址： 0xDB4987f0e9B4B6BE39654230FDB92B5EDFD6AdB8发生rugpull，价格暴跌95%

合约地址：0xDB4987f0e9B4B6BE39654230FDB92B5EDFD6AdB8

No.28

9月19日， EthereumPoW token (ETHW)项目合约 AVAX：0x08f9492Ee68594FcC356f9d91AF93D8E4F8C9F33，疑似出现Rug pull，该项目为ethw仿盘，获利约40,000美元。

合约地址：0x08f9492Ee68594FcC356f9d91AF93D8E4F8C9F33

No.29

9月19日，BNQ代币下跌99.46%，BSC合约地址：0x06C61725B98F1eF191D41e6B4f1E0aA50Bd465d5。外部账户（EOA）0x7F725收到1.52亿枚BNQ，并以约23.3万USDT的价格出售。部署者销毁75万枚BNQ，请保持警惕。

合约地址：0x06C61725B98F1eF191D41e6B4f1E0aA50Bd465d5

No.30

9月20日，项目 Fur Token (FUR)合约地址： 0xa95ed66a1192e5c09cff2a6bda480d4decdb7013

发生rugpull，价格暴跌97%。

合约地址：0xa95ed66a1192e5c09cff2a6bda480d4decdb7013

No.31

9月21日，项目 sherLOCK (LOCK) 合约地址： 0x817b5054392199FED877e1dfdf4bdA7234691e8E

合约部署者移除流动性并将 510 BNB 发送到TornadoCash，请保持警惕。

合约地址：0x817b5054392199FED877e1dfdf4bdA7234691e8E

No.32

9月22日，Sirius token (SIUS)合约地址：0x9bc699780A326C059C660C6ee2EF1D8583D01aEa发生rugpull，价格暴跌92%

合约地址：0x9bc699780A326C059C660C6ee2EF1D8583D01aEa

No.33

9月22日，MCA合约地址：0xdaefc1560003dbc58ddf10c01567125ea5b76080发生rugpull，价格暴跌90%

合约地址：0xdaefc1560003dbc58ddf10c01567125ea5b76080

No.34

9月23日，Dream plan (RADT-DAO)合约地址：0xdc8cb92aa6fc7277e3ec32e3f00ad7b8437ae883发生rugpull，价格暴跌81%

合约地址：0xdc8cb92aa6fc7277e3ec32e3f00ad7b8437ae883

No.35

9月23日，Tiger项目TIGER代币价格暴跌96%,已确认该项目为退出骗局项目。截至发稿时，该骗局已获利至少113万美元。

合约地址：0x5f351820674ccd9203ee9b019031647f31efd2d9

No.36

9月24日，代币SSPF发生rugpull，价格暴跌90%。

合约地址：0xae23e138e67cdab4417b740820608834e2145629

No.37

9月26日，代币O2发生rugpull，价格暴跌91%。

合约地址：0x0431d5d211053f6edc18ec983f84403b04ab02ac

No.38

9月26日，代币Dollar发生rugpull，价格暴跌90%。

合约地址：0x781163f0110b69DcBb2289339E3Ea16D040966D5

No.39

9月26日，代币DarkPool123发生rugpull，价格暴跌86%。

合约地址：0x280fa78f7a5b87fea9b058cc4a34417a077feb28

No.40

9月27日，代币MCI发生rugpull，价格暴跌87%。

合约地址：0x98364220b11ddb3a0beFb75432F7F58739741Bf8

No.41

9月27日，代币e-STD (e-STD)发生rugpull，价格暴跌76%。

合约地址：0x7aA4B6937DE7118bf4C8e56F9df3a99ceFB64C1a

No.42

9月28，NWN (NWN)发生Rugpull，代币价格下降99%，诈骗者获得了约 11 万美元。

合约地址：0x95e6823F1Fc728Fd34Cc79c36b69935acFc862e9

1.3 社媒诈骗与钓鱼盘点

社交诈骗类

No.1

9 月 1 日，TheTrollsNFT项目Discord服务器遭到攻击。

No.2

9 月 1 日，JellyeSportsNFT 项目Discord服务器遭到攻击。

No.3

9 月 1 日，AliensTrippin 项目Discord服务器遭到攻击。

No.4

9 月 3 日，LCD Lab项目Discord服务器遭到攻击。

No.5

9 月 4日，Zebra官方Discord遭到黑客袭击。

No.6

9 月 6 日，Dictators 项目 Discord 服务器遭到攻击。

No.7

9 月 6 日，D3lusionNFT 项目Discord服务器遭到攻击。

No.8

9 月 6 日，Arts DAO项目Discord服务器遭到攻击。

No.9

9 月 6 日，Dictators项目Discord服务器遭到攻击。

No.10

9 月 8 日，Ascension_NFT 项目Discord服务器遭到攻击。

No.11

9 月 8 日，bears_deluxe项目Discord服务器遭到攻击。

No.12

9月8日，TheSandboxGame 项目Instagram账号已被盗用。

No.13

9月10日，LooksWhale项目Discord服务器遭到攻击。

No.14

9月11日，IslandPartyNFT项目Discord服务器遭到攻击。

No.15

9月11日，Mini_heroesNFT项目Discord服务器遭到攻击。

No.16

9月12日，PandaMania_NFT 官方Discord服务器遭到攻击。

No.17

9月12日，lphaCentauriKid官方Discord服务器收到钓鱼邮件攻击。

No.18

9月12日，BeATigerNFT 官方Discord服务器收到钓鱼邮件攻击。

No.19

9月12日，Alpha Centauri Kid官方Discord服务器收到钓鱼邮件攻击。

No.20

9月14日，metropolisworld项目Discord服务器已被入侵。

No.21

9月14日，DogecIub_nft 项目推特账号已被入侵并发布了网络钓鱼链接。

No.22

9月14日，super_yeti项目Discord服务器已被入侵并发布了网络钓鱼链接。

No.23

9月14日，PiratesMeta 项目Discord服务器已被入侵。

No.24

9月14日，据元宇宙项目Metropolis World官方推文，其Discord服务器已被入侵。

No.25

9月15日，weareLUX_space 项目Discord 账户已被盗用。

No.26

9月17日，NFT 项目 Arabian Penguins 的 Discord 账户已被盗用。

No.27

9月17日，peweetools项目Discord被入侵。

No.28

9月17日，CastleTheKings项目Discord被入侵。

No.29

9月17日，NFT项目POUR KOKO的官方Discord被入侵。

No.30

9月18日，The EgoVerse官方表示其Discord已被入侵。

No.31

9月18日，Alter Ego Hunters官方表示其Discord遭到攻击。

No.32

9月18日，RoyalKongClub 项目Discord服务器已被入侵。

No.33

9月18日，Dystians项目Discord服务器已被入侵。

No.34

9月18日，pumpskin_xyz 项目发文称Discord服务器已被入侵，用户不要点击Discord服务器发送的任何链接或者私信链接。

No.35

9月18日，dotbitHQ 项目Discord服务器已被入侵，一个钓鱼网站已被发布到空投频道。

No.36

9月18日，NFT项目pumpʂkin发推称，Discord服务器和Discord管理账户遭到攻击。

No.37

9月19日，Arcade项目Discord服务器已被入侵。

No.38

9月19日，skulledzNFT 项目Discord服务器已被入侵。

No.39

9月20日，疑似印度加密货币交易所CoinDCX的Twitter帐户遭到入侵，并被攻击者用来分享欺诈性的XRP奖励链接。

No.40

9月21日，DALEKSPACEMONKY官方Discord已被入侵。包括 BAYC 4651 在内的 61 个 NFT 被占用，总底价约为 108 ETH，不要点击链接、铸造或批准任何交易。

No.41

9月21日，PoSers__NFT 官方Discord已被入侵。

No.42

9月21日，DALEK官方Discord已被入侵。包括BAYC 4651在内的61个NFT被转移，总地板价约为108 ETH。

No.43

9月22日，Suspicious Unicorn Society项目Discord服务器遭到攻击。

No.44

9月24日，Spooktaculars_ Discord 已被入侵并发布了网络钓鱼链接。

No.45

9月26日，WAGMI ARMY项目Discord服务器已被入侵。

No.46

9月27，shonenjunkNFT Discord 服务器已被入侵。聊天当前已锁定。

No.47

9月27，AstrobotSociety Discord 已被入侵并发布了网络钓鱼链接。

No.48

9月28，SOL_Decoder Discord 服务器。

No.49

9月28，PourKokoNFT Discord 服务器已被入侵。

No.50

9月29日，DappRadar Discord 服务器已被入侵。

No.51

9月29日，Outcast_Academy Discord 服务器已被入侵。

No.52

9月29日，HangryHippoNFT Discord 服务器已被入侵。

No.53

9月30日，DeezNutzNFT已宣布他们的 Discord 可能已受到损害。

No.54

9月30日，ApeLiquidio Discord 服务器已被入侵。

加密网站钓鱼类

No.1

9 月 2日，一些恶意网站正在使用最近“以太坊合并”的热点进行网络钓鱼活动，这些网站包括ethereum-2[.]mozellosite[.]com和eth-crv[.]com/erc/#/。

No.2

9 月 5 日，y00ts[.]gift是一个钓鱼网站，用户不要和任何链接互动。此前y00tlist在推特表示，项目在发售前出现bug，发售或推迟24小时。团队将在解决问题后发布公告。

No.3

9 月 8 日，元宇宙平台 The Sandbox 项目 Instagram 账号被入侵，thesandboxesgame[.]com 是钓鱼网站，提醒用户勿信钓鱼网站信息。

No.4

9 月 8日，The Sandbox Instagram账号被入侵，thesandboxesgame[.]com是钓鱼网站，攻击者地址为0x645daA…c96C。用户不要点击任何链接。

No.5

9 月 8日，RevokeCash发现与其相关的冒充者数量增加，例如revokecash[.]pro是一个钓鱼网站，不要受骗。

No.6

9 月 22日，metamask[.]airdrops[.]claims是钓鱼网站。用户需要注意辨别。

No.7

9 月 25日，llamaverseofficial[.]xyz/是钓鱼网站。用户需要注意辨别。

1.4 其他

No.1

9月2日消息，消息人士透露，8月下旬，因Coinbase平台上以格鲁吉亚拉里 (GEL) 计价的加密货币交易对的错误汇率，约900名美国佐治亚州交易员利用该漏洞获得百倍利润，而Coinbase正寻求从银行账户追回这些资金。Coinbase发言人称，小数点错位问题是由于第三方技术所致。报道称，Coinbase的损失在1400万美元到1.4亿美元之间。

No.2

9月2日消息，去中心化流动性协议Kyber Network在推特上披露，该协议因前端漏洞利用导致其用户损失26.5万美元资金（若出现新信息将更新该数据）。该漏洞源于KyberSwap网站中的恶意Google Tag Manager代码，攻击者的目标是鲸鱼钱包，通过插入虚假批准获得了转移用户资金的权限。

No.3

9月3日，P2E项目Master 3D RPG疑似为骗局，下载安装该项目相关软件包或可扫描用户电脑文件，读取用户本地私钥备份文本，目前已有用户因此损失超百万资产。 在此提醒用户谨防相关骗局，妥善保护私钥及个人资产。

No.4

美国喜剧演员Bill Murray相关联的以太坊钱包，在本周慈善拍卖完成后于被黑客攻击。最终，将近110个Wrapped Ethereum（WETH）被盗，价值约174,000美元。该钱包还包含来自“Bill Murray 1,000”项目的近800个NFT，这些NFT将于下周出售。但这些NFT没有被盗，在钱包被盗的几个小时内，这些NFT被转移到其他钱包中。

9月14日，BAYC#8941 疑似被盗，NFT 被转入 0x18e开头的地址，该地址或与 BAYC #483 被盗事件相关。

No.6

9月14日，据报道，一种伪造成BUSD的代币BUSDb已被空投到15000个不同的钱包地址，请注意安全。 该虚假代币合约为0xd0cae3cb951f69695e31885f63b26f57a940a95e。

No.7

9月20日，加密货币投资服务银行Revolut已经证实，它受到了一次高度针对性的网络攻击，黑客可以访问数万名客户的个人详细信息。Revolut 发言人Michael Bodansky表示，未经授权的第三方在短时间内获得了一小部分 (0.16%) 客户的详细信息。Revolut 在 9 月 10 日晚些时候发现了恶意访问，并在第二天早上隔离了攻击。我们立即识别并隔离了这次攻击，以有效限制其影响，并联系了受影响的客户，没有收到电子邮件的客户没有受到影响。

No.8

9月21日，Arbitrum官方披露，一名匿名白帽黑客“0xriptide”因发现以太坊和Arbitrum Nitro之间的桥接漏洞获得了400 ETH（约52万美元）的漏洞赏金奖励，该漏洞若不修复可能会造成2.5亿美元资产损失。

No.9

9月25日，Maciej Mensfeld发现dydx的SDK用了一个恶意的第三方组件服务，其异常文件为http://api.circle-cdn.com/setup.py，通过对比代码，发现与样某样本库中的一份恶意代码样本一致，可能导致用户凭据泄露。

No.10

9月26日，0x9731F开头的地址从使用Profanity工具生成的以太坊“靓号地址”中窃取了95万美元的加密货币，攻击者已将将732枚以太坊转移至Mixer。 此前消息，1inch发布报告称，通过Profanity创建的某些以太坊地址存在严重漏洞。

二、安全总结

2022年9月的安全事件涉及包括钱包、MEV机器人、分叉重放、项目奖励池等多个方面。建议项目方在项目正式上线之前要寻找可靠的安全审计机构对项目进行漏洞审计，以免造成不必要的损失。

本月社媒诈骗事件较上月仍有大幅增加。项目方应该更加注重Discord和Twitter等官方账号的保护防止密码泄漏，同时用户应提高对“freemint”活动的警惕，仔细查看签署的交易是否符合预期。

同时不断增多的RugPull项目也提醒着用户应当对高额回报保持警惕，而钓鱼网站的增多也需要用户对于来路不明的所谓的官方链接保持距离。