此次攻擊是由於代幣價格存在滑點，並且合約中在更新交易池函數中沒有用戶權限並且沒有對於價格滑點進行判斷，導致攻擊者能夠惡意操縱代幣價格，並且將合約中ETH也轉入交易池後通過代幣兌換獲利。

本月有60%的攻擊事件源於合約漏洞利用，為了避免類似事件再次發生，開發者需要采取行動，包括在編寫安全代碼時實施最佳實踐、定期審計智能合約以及漏洞賞金計劃。同時建議項目方上線前一定要尋求專業的公司進行審計，用戶在與項目交互前也應仔細查看審計報告，避免資金受到損

北京時間2023年2月3日，BSC鏈與ETH鏈上Orion Protocol受到黑客攻擊，攻擊者獲利約300萬美元，攻擊者地址為0x837962b686fd5a407fb4e5f92e8be86a230484bd，被盜資金已轉移至Tornado.Cash混幣平台。零時科技安全團隊及時對此安全事件進行分析。

polygon鏈上去中心化借貸協議BONQ受到黑客攻擊，攻擊者獲得了1.13億個WALTB和9865萬個BEUR攻擊者將部分BEUR售出獲得USDC通過跨鏈轉移至ETH鏈。

2022年，是加密世界多元化創新的一年，但創新的背後，也發生了許多讓人咋舌的安全事件。零時科技安全團隊發布了《2022年全球Web3行業安全研究報告》，回顧了2022年Web3行業全球政策，主要賽道所涵蓋基本概念、安全事件、損失金額和攻擊類型，並對典型安全事件進行了詳細剖析，提出了安全預防方案和措施建議。希望幫助從業者和用戶能夠了解Web3安全現狀，提高網絡安全意識，保護好數字資產，做好安全預防措施。

下載使用APP 時還是需要多方確認，認準官方下載渠道，檢查簽名一致性；

零時科技安全團隊會繼續跟蹤此次事件，也再次呼籲大家保管好自己私鑰，提高安全意識，注意錢包和資產安全，有任何資產丟失的情況，第一時間與我們取得聯係。

私鑰保存的常見錯誤是將私鑰保存在雲盤、雲筆記、郵箱中，或者用手機拍照保存，這都是非常危險的容易洩露私鑰的方式。

軟件錢包和硬件錢包分別有不同的應用場景和使用方式。軟件錢包適合數字資產數量有限，使用頻度較高，對於便利性要求更高的用戶

警惕從意識開始，所以我們都需要盡最大努力來學習如何辨別風險、潛在後果以及如何避免這些風險。當談到登錄網絡或網站，在家裡或辦公室連接新設備時，請遵循以下簡單規則：停下來、思考和連接。

合約中的計算獎勵函數的算法隻與用戶地址餘額和時間差有關

無論是中心化還是去中心化錢包， 軟件錢包還是硬件錢包在安全性方面必須有充分的安全測試

對於廣大用戶來說，數字錢包的安全也意味著財富的安全，所以我們在選擇數字錢包時一定要慎重對待，不可掉以輕心。

由於函數簽名可以由用戶自行傳入並且沒有考慮到簽名值為空的情況

北京時間2022年10月15日，DeFi 投資工具Earning.Farm 遭受閃電貸攻擊，黑客獲利超34 萬美元，攻擊者地址為0xdf31f4c8dc9548eb4c416af26dc396a25fde4d5f，零時科技安全團隊及時對此安全事件進行分析。

攻擊事件發生原因是由於合約代碼風險和授權問題所導致

北京時間2022年10月12日，TempleDAO 項目遭受黑客攻擊。損失超237萬美元，零時科技安全團隊及時對此安全事件進行分析。

在Web3的世界中，我們更應該如何從技術上進行規劃，解決係統性的弱點，預防並組織新的攻擊載體，這些攻擊載體的目標，包括加密原生的問題和智能合約的漏洞等等。

本係列文章從web3安全出發，持續跟進web3安全動態。下文是攻擊者通過Discord軟件，對用戶進行釣魚，詐騙等行為，下文查看具體攻擊手法。

騙子通過電報群私聊、釣魚鏈接及極具誘惑的話術文件，隻要用戶點擊釣魚鏈接就可能在無防備的情況下進行轉賬或者授權，同樣當電腦打開惡意文件，會種植病毒獲取你密碼私鑰等。