此次攻击是由于代币价格存在滑点，并且合约中在更新交易池函数中没有用户权限并且没有对于价格滑点进行判断，导致攻击者能够恶意操纵代币价格，并且将合约中ETH也转入交易池后通过代币兑换获利。

本月有60%的攻击事件源于合约漏洞利用，为了避免类似事件再次发生，开发者需要采取行动，包括在编写安全代码时实施最佳实践、定期审计智能合约以及漏洞赏金计划。同时建议项目方上线前一定要寻求专业的公司进行审计，用户在与项目交互前也应仔细查看审计报告，避免资金受到损

北京时间2023年2月3日，BSC链与ETH链上Orion Protocol受到黑客攻击，攻击者获利约300万美元，攻击者地址为0x837962b686fd5a407fb4e5f92e8be86a230484bd，被盗资金已转移至Tornado.Cash混币平台。零时科技安全团队及时对此安全事件进行分析。

polygon链上去中心化借贷协议BONQ受到黑客攻击，攻击者获得了1.13亿个WALTB和9865万个BEUR攻击者将部分BEUR售出获得USDC通过跨链转移至ETH链。

2022年，是加密世界多元化创新的一年，但创新的背后，也发生了许多让人咋舌的安全事件。零时科技安全团队发布了《2022年全球Web3行业安全研究报告》，回顾了2022年Web3行业全球政策，主要赛道所涵盖基本概念、安全事件、损失金额和攻击类型，并对典型安全事件进行了详细剖析，提出了安全预防方案和措施建议。希望帮助从业者和用户能够了解Web3安全现状，提高网络安全意识，保护好数字资产，做好安全预防措施。

下载使用 APP 时还是需要多方确认，认准官方下载渠道，检查签名一致性；

零时科技安全团队会继续跟踪此次事件，也再次呼吁大家保管好自己私钥，提高安全意识，注意钱包和资产安全，有任何资产丢失的情况，第一时间与我们取得联系。

私钥保存的常见错误是将私钥保存在云盘、云笔记、邮箱中，或者用手机拍照保存，这都是非常危险的容易泄露私钥的方式。

软件钱包和硬件钱包分别有不同的应用场景和使用方式。软件钱包适合数字资产数量有限，使用频度较高，对于便利性要求更高的用户

警惕从意识开始，所以我们都需要尽最大努力来学习如何辨别风险、潜在后果以及如何避免这些风险。当谈到登录网络或网站，在家里或办公室连接新设备时，请遵循以下简单规则：停下来、思考和连接。

合约中的计算奖励函数的算法只与用户地址余额和时间差有关

无论是中心化还是去中心化钱包， 软件钱包还是硬件钱包在安全性方面必须有充分的安全测试

对于广大用户来说，数字钱包的安全也意味着财富的安全，所以我们在选择数字钱包时一定要慎重对待，不可掉以轻心。

由于函数签名可以由用户自行传入并且没有考虑到签名值为空的情况

北京时间2022年10月15日，DeFi 投资工具 Earning.Farm 遭受闪电贷攻击，黑客获利超 34 万美元，攻击者地址为0xdf31f4c8dc9548eb4c416af26dc396a25fde4d5f，零时科技安全团队及时对此安全事件进行分析。

攻击事件发生原因是由于合约代码风险和授权问题所导致

北京时间2022年10月12日，TempleDAO 项目遭受黑客攻击。损失超237万美元，零时科技安全团队及时对此安全事件进行分析。

在Web3的世界中，我们更应该如何从技术上进行规划，解决系统性的弱点，预防并组织新的攻击载体，这些攻击载体的目标，包括加密原生的问题和智能合约的漏洞等等。

本系列文章从web3安全出发，持续跟进web3安全动态。下文是攻击者通过Discord软件，对用户进行钓鱼，诈骗等行为，下文查看具体攻击手法。

骗子通过电报群私聊、钓鱼链接及极具诱惑的话术文件，只要用户点击钓鱼链接就可能在无防备的情况下进行转账或者授权，同样当电脑打开恶意文件，会种植病毒获取你密码私钥等。