零时科技每月安全事件看点开始了!据多家区块链安全监测平台统计,2025 年 10 月加密货币领域因黑客主动攻击(含漏洞利用、权限窃取)共发生 21 起事件,造成直接损失约 6.2 亿美元;同期 Rug Pull 及诈骗事件达 15 起,涉案金额超1.2 亿美元。跨链桥、DeFi 合约成为黑客主要目标,而 “伪官方背书”、“延迟授权” 则成诈骗新套路,安全风险呈双线高发态势。
黑客攻击方面
典型安全事件6起
• Abracadabra 合约逻辑漏洞攻击
损失金额:损失 180 万美元,用户资金未受波及
攻击性质:黑客利用 “cook 函数” 偿付能力验证漏洞重复攻击
事件详情:10月4日,攻击者通过操纵 “借款流程(操作 5)” 与 “空更新(操作 0)” 两个指令,绕过验证步骤借入 179 万美元 MIM 稳定币,兑换为 ETH 后经 Tornado Cash 洗白。这是该协议 2025 年第三次同类攻击,累计损失超 2100 万美元。
• BNB Chain 跨链桥漏洞攻击
损失金额:被盗金额 1.05 亿美元,为 2025 年单起最大黑客攻击损失
攻击性质:黑客利用跨链桥验证逻辑漏洞发起的主动入侵
事件详情:10月6日,攻击者通过伪造区块(110217401)的验证证明,绕过 BSC Token Hub 跨链桥的哈希验证机制,分两次窃取 200 万枚 BNB(价值约 5.66 亿美元)。虽 BNB Chain 紧急冻结网络,但仍有1.05 亿美元资产被转移,Tether 已冻结黑客关联地址中的 700 万美元。
• Astra Nova AI 平台黑客攻击
损失金额:损失 1030 万美元,无间接连锁损失
攻击性质:黑客利用第三方做市商账户漏洞入侵铸币合约
事件详情:10月18日,攻击者通过漏洞从项目铸币合约中窃取 8.6 亿枚 RVV 代币,兑换为 USDT 后转移至 Gate、KuCoin 等交易所,链上数据估算损失约1030 万美元。项目方虽推出 10% 赏金计划并承诺回购代币,但被盗资金仅 200 万美元处于监控中,其余已通过场外渠道洗白。
• Moola Market 借贷协议攻击事件
损失金额:损失 1030 万美元,无间接连锁损失
攻击性质:闪电贷结合价格操纵漏洞的主动攻击
事件详情:10月19日,攻击者在 Celo 网络发起闪电贷借入大量 CELO,通过集中交易拉高 Moola Market 平台原生 MOO 代币价格,再利用价格差套取 840 万美元资产;协议方紧急暂停所有借贷与交易功能,后续发布公告称将通过 DAO 提案,用平台储备金和未来收入分阶段补偿受影响用户。
• Bunni DEX 合约漏洞攻击
损失金额:损失 840 万美元,无间接连锁损失
攻击性质:黑客利用合约舍入逻辑漏洞结合闪电贷套利
事件详情:10月23日,攻击者针对 Unichain 上的 weETH/ETH、USDC/USDT 池子,通过操纵流动性与掉期交易获利,导致项目损失840 万美元。因资金追回失败且重启成本过高,项目于 10 月 23 日宣布永久关闭,用户仅能提取剩余 130 万美元资产。
• 402Bridge 跨链桥被盗
损失金额:1.76 万 USDC(约 1.76 万美元)
攻击性质:黑客利用第三方做市商账户漏洞入侵铸币合约
事件详情:10月28日,由于项目方私钥泄露,黑客转移了超过 200 名用户授权给合约的剩余USDC,损失约 17,693 USDC。
Rug Pull / 钓鱼诈骗
典型安全事件8起
(1) 10月5日,0x5565 开头地址的受害者因 90,691 天前签署的网络钓鱼批准而损失了 499 美元。
(2) 10月7日,0xf875 开头地址的受害者在签署恶意“许可”签名后损失了 96,352 美元
(3) 10月8日,0x8C42 开头地址的受害者在签署恶意“许可”签名后损失了 439,922 美元
(4) OracleBNB 项目 Rug Pull
时间:10 月 10 日
事件性质:伪造 “官方背书” 的典型跑路骗局
详情:BNB Chain 上项目 OracleBNB 被监测发生 Rug Pull,官方社交账号连夜删除,1431 名受害者受骗。项目方通过收购老账号包装成 “币安孵化项目”,以 “低风险挖矿” 为噱头吸引资金,链上数据显示核心资产已转移至混币器。
涉案金额:暂未披露具体金额,受害者人均损失超 1 万美元。
(5) 10月11日, 0x2EDB 开头地址的受害者损失了价值 72,572 美元的 ASTER 在签署恶意“允许”签名后。
(6) 10月14日,0x4aF9 开头地址的受害者损失了价值 209,816 美元的 WBTC 和 tBTC 在签署恶意“permit”和“increaseApproval”签名后。
(7)“幽灵授权” 钓鱼诈骗
时间:10 月 23 日(10 月曝光,攻击周期跨 458 天)
事件性质:延迟式授权盗窃诈骗
详情:黑客通过伪造空投网站诱导用户签署 “永久授权” 交易,潜伏 458 天后,在受害者转入 90.8 万美元 USDC 的 10 分钟内,立即触发授权窃取全部资产。恶意地址与 “pink-drainer.eth” 吸血钱包关联,已查实 23 名用户同类受害。
涉案金额:单起损失 90.8 万美元,同类案件本月累计涉案超 300 万美元。
(8) GMGN 高级钓鱼骗局
时间:10 月 28 日
详情:攻击者通过钓鱼网站获取用户GMGN账号的令牌,在未泄露私钥的情况下,通过将用户资金投入“貔貅盘”(只能买不能卖)并撤走流动性的方式,获利超过 70万美元。
总结
2025 年 10 月加密货币领域安全形势严峻:跨链桥(BNB Chain、402Bridge)与 DeFi 合约(Abracadabra、Bunni DEX)成主要目标,私钥泄露、合约逻辑漏洞、闪电贷套利是核心诱因,其中 BNB Chain 跨链桥单起损失达 1.05 亿美元;同时“伪官方背书”(OracleBNB)、“延迟授权”(幽灵诈骗)、“账号令牌窃取”(GMGN 钓鱼)等新套路频发,单起诈骗最高损失 90.8 万美元,用户授权安全与项目真实性核验亟待加强。
