Cointime安全周报将多个安全机构发布的安全提醒消息和安全事件披露、安全事件主体项目发布的公告整理如下，供用户学习安全知识。本周内容整理如下：

安全事件

MetaTrust Alert：SC链上代币BH被闪电贷攻击, 损失127万美元

根据MetaTrust Alert监测, BSC链上代币BH被闪电贷攻击, 损失127万美元。

BlockSec：WiseLending遭攻击，资金池已被耗尽

智能合约审计平台BlockSec在X平台发文称，去中心化借贷协议WiseLending遭到攻击（白帽黑客c0ffeebabe.eth实施了抢先交易），资金池已被耗尽。

PeckShield：MAYC#7174被网络钓鱼窃取

据PeckShieldAlert监测，Mutant Ape Yacht Club#7174被PinkDrainer窃取。

Arbitrum上Beluga Protocol遭遇攻击

据派盾监测，Arbitrum上DeFi协议Beluga Protocol遭遇攻击，损失108.9枚ETH。攻击者地址初始资金来自于OKX的0.1ETH。

派盾：BNBChain上BIGTIME同名代币发生Rug Pull

据派盾监测，BNBChain上BIGTIME同名meme代币发生RugPull，0x60d6...27地址已将1,000,000,000,000,000枚BIGTIME兑换为789.15枚BNB（约合16.28万美元）。

Platypus Finance被盗总损失金额超过200万美元

据PeckShield监测，稳定币项目Platypus Finance被盗资金更新，总损失金额超过200万美元。此前报道，Platypus疑似遭攻击，损失约100万美元。Platypus表示，由于协议中存在可疑活动，已采取主动措施暂停所有池。

派盾：BNB Chain上2049代币发生RugPull，损失约8.2万美元

据派盾监测，BNB Chain上2049代币发生RugPull，2049价格短时内已下跌100%，损失约8.2万美元。

Inferno Drainer诈骗团伙窃取了510万WSM

PeckShield监测显示，Inferno Drainer诈骗团伙已从0x3932...B0c8窃取了510万枚WSM（价值约200.44万美元）。

Fake_Phishing187019通过令牌批准phishing窃取了约43枚stETH

PeckShield监测显示， Fake_Phishing187019通过令牌批准phishing窃取了约43枚stETH （约6.7万美元）。

MetaTrust Alert：FSL发生Rug Pull，部署者获利168万美元

根据MetaTrust Alert监测, BSC链上代币$FSL发生Rugpull, 欺诈者(0x7249B9) 抛售97M $FSL后获得$1.68M。$FSL的价格已经下跌99%.部署者已将代币兑换为BNB并转入Tornado Cash。

交易机器人服务提供商3Commas用户账户被攻击

加密交易机器人提供商3Commas在一些用户账户被盗用并用于交易后处于“高度警戒”状态。3Commas联合创始人兼CEO Yuriy Sorokin在10月8日的博客文章中表示，用户重置密码后收到了关于其账户上未经授权的交易的报告。调查发现“只有少数客户账户”被盗用并进行了未经授权的交易，3Commas没有透露受影响的用户数量。该公司实施了新的重置密码方法和禁用API连接等额外的安全措施，并建议用户启用双重身份验证和定期更改密码。

香港警方正调查价值一钓鱼骗局，已造成350万港元损失

香港警方最近披露，有网络犯罪分子冒充币安，通过短信实施网络钓鱼诈骗。犯罪分子发送的欺骗性消息已成功欺骗了多名用户，导致他们的币安账户发生未经授权的转账。两周内，警方已记录11起此类事件，共造成350万港元损失。

MetaTrust Alert 监测：LSC发生 Rugpull，欺诈者抛售 3M LSC

根据MetaTrust Alert监测, BSC链上代币Lucky Star Currency(LSC)发生 Rugpull,欺诈者(0x9ef72ee) 抛售3M LSC后获得$1.1M。截止目前，LSC的价格已经下跌 98.3%。

23andMe遭遇数据泄露，数百万用户信息被曝光

遗传测试公司23andMe正在调查一起数据泄露事件，该事件曝光了数百万用户的个人信息，包括个人照片、出生年份和祖先信息。23andMe表示，这些数据是通过未经授权访问个人23andMe账户获得的，初步结果表明，用于访问账户的登录凭据“可能是由于其他在线平台的数据泄露事件中用户重复使用登录凭据而被威胁者获取的”。该公司表示，它没有发现任何未经授权访问其系统的迹象。23andMe强烈建议客户重置密码并启用双重认证。

The Defiant新闻主管的friend.tech钱包已被盗，损失22枚ETH

据PeckShield监测，The Defiant新闻主管称自己friend.tech钱包已被盗，损失22枚ETH，骗子已经通过Orbiter将被盗资金从Base转移到Ethereum，并将一些资金存入Binance。

以太坊基金会卖出ETH时遭受MEV Bot三明治攻击

据EigenPhi数据显示，以太坊基金会通过Uniswap V3出售1700枚ETH时遭到MEVBot的三明治攻击，损失9101美元，该MEVBot获利约4,060美元。

安全提醒

Bancor警告用户发现针对Bancor和Carbon DeFi的钓鱼网站

DeFi生态Bancor在X平台发文称，另一个针对Bancor和Carbon DeFi用户的钓鱼网站刚刚被曝光，警告用户不要点击恶意链接。

Friend.tech面临恶意JavaScript脚本的威胁

Friend.tech的用户发现自己陷入了一个危险的欺诈性JavaScript脚本的网络中，这些脚本是由骗子精心制作的，旨在破坏敏感数据和财务资产。一旦添加了这些恶意书签，就会释放一系列秘密活动，旨在窃取关键信息并渗透财务储备。这种阴险的脚本在一个毫不知情的用户访问Friendtech网站时立即开始行动。

此外，还有一个相关的威胁悬在Friendtech的嵌入式钱包Privy上，这些恶意脚本试图破坏令牌，从而使用户账户和相关资金面临严重威胁。因此，Friendtech的用户需要提高警惕，审查书签和浏览器扩展程序。同时，Friendtech也需要加强平台级别的网络安全措施，以保护用户的数据和财务资产。

慢雾余弦：技术人员需注意curl漏洞，可暂时不用socks5代理

慢雾余弦在X平台发文表示：“技术人员注意下curl这个雷点，可以升级的升级，不好升级或漏掉的，可以暂时不用socks5代理。” 据了解，curl的漏洞出在输入的域名太长，从而导致内存溢出，前提条件是使用了socket5代理。

Ordswap：请勿连接Ordswap域名，目前无法控制域名

基于比特币的无需信任的Ordinals市场Ordswap在社交媒体上称：请勿连接Ordswap域名，我们目前无法控制域名。如果metamask用户还没有获得密钥，我们正在为他们发布源代码。这个问题似乎与Netlify有关，但我们仍在努力解决。

公告消息

DefiLlama创始人推出防钓鱼网站插件LlamaSearch

DefiLlama创始人0xngmi在社交媒体上表示，推出防钓鱼网站插件LlamaSearch。用自定义搜索替换新标签页，以优先显示安全域。该插件具有隐私友好、权限最小化、支持自定义搜索引擎等特点，此外，域名列表由DefiLlama手动添加，如果在本地列表中的域之间找不到匹配搜索，那么将导航至Google。

MetaTrust：Beluga Protocol漏洞与被攻击的稳定币交易项目Platypus漏洞相同

根据MetaTrust Alert监测, Arbitrum链上的稳定币交易项目Beluga Protocol遭到copy-paste攻击，损失108$ETH，价值$166K。Beluga的漏洞与昨天AVAX链上的被攻击的稳定币交易项目Platypus的漏洞相同，都是由于cash和liability被操纵导致的价格操作攻击。两个项目的代码相似。

Beluga Protocol被盗ETH已被转移至MEXC

PeckShield发布Beluga Protocol被盗更新，Beluga Protocol攻击者总共抢走价值约175,000美元的ETH ，并将其（113枚ETH）转移到MEXC。

Platypus：损失约220万美元，已追回5万枚sAVAX和7000枚AVAX

稳定币交易项目Platypus Finance表示，10月12日凌晨11:29至14:17之间发生安全事件，导致sAVAX-AVAX池损失约220万美元。Platypus已于14点50分暂停资金池并进行调查，同时在安全平台Supremacy帮助下，成功从其中一个攻击者处追回约5万枚sAVAX和7000枚AVAX。在问题完全解决且安全措施得到加强之前，Platypus不会重启资金池。

Stars Arena：将从私人投资者那里获得贷款以弥补差额

Stars Arena发文称，正在使用追回的资金来弥补损失。总共需要弥补的损失为274,333枚AVAX，已追回239,493枚AVAX。迄今为止产生的所有费用将加在回收资金中，团队还将从私人投资者那里获得贷款以弥补差额。此前消息，Stars Arena表示已经追回了大约90%的损失资金，黑客将获得10%的赏金以及在跨链桥中丢失的1000枚AVAX。

MetisDAO：已完成8月因Twitter帐户被盗而受影响的用户的赔偿

MetisDAO官方表示已完成对8月份因Twitter帐户被黑客攻击而受影响的用户的赔偿。团队花了几周时间审查在Discord渠道中提交的支持票证，然后筛选大量链上数据，将合法索赔与与黑客钱包相关的索赔分​​开。尽职调查完成后，MetisDAO基金会向受影响的用户发送了全额赔偿。8月15日，MetisDAO Foundation发推称Metis官方推特账号被盗。

Galxe：受损用户可获USDT全额赔偿，并额外提供10%作为补偿

Galxe公布了针对2023年10月6日安全事件的补偿计划。该计划表示，任何损失资金的用户都将在Polygon上以USDT获得全额赔偿，其价值按太平洋时间10月9日凌晨3点计算。此外，为了感谢用户对Galxe的信任，团队将在Galxe财库提供的初始损失金额的基础上额外提供10%作为补偿。

慢雾：设置了2FA的friend.tech账号仍需注意运行环境安全

慢雾余弦在X平台发文表示，对于friend.tech上线的2FA密码功能，用户仍需要注意自己friend.tech运行环境的安全，一旦存在木马等威胁，2FA仍无法保证账户安全。包括不要被欺骗在friend.tech运行浏览器控制台里执行来历不明的JavaScript代码。此前消息，friend.tech在X平台发文表示，现用户可以向friend.tech帐户添加2FA密码，以便在手机运营商或电子邮件服务受到威胁时提供额外保护。