Cointime安全周报将多个安全机构发布的安全提醒消息和安全事件披露、安全事件主体项目发布的公告整理如下，供用户学习安全知识。本周内容整理如下：

安全事件

菲律宾交易所Coins.ph遭攻击，损失超1200万枚XRP

某知情人士透露，总部位于菲律宾的加密货币交易所Coins.ph在周二遭遇了一次攻击，导致超过1200万枚XRP代币（约合600万美元）损失。

HopeLend被黑客攻击损失526个ETH

据原twitter用户Spreek披露，Hope Lend疑遭黑客攻击，损失526枚ETH。黑客发起攻击后，被一名frontrunner抢先交易，二者平分了收益，并支付了263枚ETH贿赂。

Fantom基金会部分钱包遭攻击，已确认损失65.7万美元

据CertiK监测，Fantom基金会以太坊和Fantom上的部分钱包遭攻击，目前已确认的损失达65.7万美元。

Galxe：已向受攻击事件影响用户分发超46万枚USDT，包括额外10%补偿

Galxe表示，已成功在Polygon网络上分发了总计466,296.74枚USDT，其中还额外包括10%作为其对社区的承诺。 此前消息，Galxe遭受攻击后表示，用户损失将获全额赔偿，团队还将额外提供10%补偿。

RocketSwap攻击者向Tornado Cash转移89ETH

MistTrack在社交媒体X上发文称，RocketSwap攻击者正在将资金转移到Tornado Cash。以下是转账详情：1.0x73c...b8341向Tornado Cash转移51ETH； 2.0x8d3...277a4向Tornado Cash转移38ETH。此前报道，Base生态项目RocketSwap遭到漏洞攻击。攻击者将被盗资产桥接至以太坊，导致损失471枚ETH（约合86.8万美元）。

安全提醒

friend.tech应用因遭受拒绝服务攻击出现性能问题，目前已恢复正常运行

friend.tech 发文称该应用今日因其聊天服务器遭受拒绝服务攻击而出现性能问题。目前，应用已恢复正常运行。

PeckShield：EraLend攻击者将281枚ETH转移到新地址

据PeckShield监测，标记为EraLend攻击者地址已将281枚ETH转移到新地址0xf888...ac02。

Bram Cohen：有一个假账户冒充我，在名字前加了下划线

加密初创公司Chia Network的新任首席执行官Bram Cohen表示，现在有一个假账户冒充我，在名字前加了下划线，是逐字逐句的仿冒，尽管我已经支付了验证费用，但网站仍未将其删除。

Blockstream发布提醒：谨防冒充官方发布的网络钓鱼电子邮件

 比特币基础设施公司Blockstream在X平台发文提醒：有人冒充Blockstream发送了一封网络钓鱼电子邮件，团队正在调查中，期间请注意： - 不要点击任何声称来自Blockstream的可疑电子邮件。Blockstream绝不会通过电子邮件要求提供个人信息； - 永远不要在线上输入你的种子短语或与任何人分享，即使他们声称来自Blockstream支持团队。 - 用户只应通过BlockstreamGreen钱包应用程序或专用固件网站更新Jade硬件钱包。

慢雾余弦：闪电网络的替换循环攻击类似MEV的三明治攻击，需警惕被夹风险

10月22日消息，慢雾创始人余弦在社交媒体上发文表示，闪电网络出现了替换循环攻击，与 MEV 里的三明治攻击有些相似，利用前后夹击套出被夹目标的资金。

CertiK：MicDao项目存在闪电贷漏洞，攻击者已获利12,263美元

CertiK Alert监测的数据显示，发现MicDao项目存在闪电贷漏洞，合约为BSC 0xf6876f6AB2637774804b85aECC17b434a2B57168。攻击者已获利12,263美元。

慢雾：Fantom基金会被盗是基金会或员工被钓鱼攻击

慢雾首席信息安全官23pds发文表示：“昨天Fantom基金会报告说被盗，我们分析链上转账方式和我们的过往应急经验来看，应该是私钥被盗。可能是他们基金会或员工被钓鱼、社会工程学攻击，运行恶意木马文件，导致部分钱包私钥被盗取。 ”此前报道，Fantom基金会部分钱包遭攻击，黑客通过利用Chrome零日漏洞获利。

Gitcoin Passport为Discourse论坛提供防Sybil攻击和安全性

Gitcoin Passport在原twitter宣布，正在为Discourse论坛提供安全性。Discourse的新插件可防止Sybil攻击和机器人，从而维护在线社区的完整性和可信度。论坛管理员可以根据Stamps数字证明中积累的Passport分数来设置信任级别，以允许对论坛功能进行分层访问。

公告消息

BlockSec：WiseLending遭攻击，资金池已被耗尽

智能合约审计平台BlockSec在X平台发文称，去中心化借贷协议WiseLending遭到攻击（白帽黑客c0ffeebabe.eth实施了抢先交易），资金池已被耗尽。

Hope.money：黑客并未从这次攻击中获利，各项协议独立存在

分布式稳定币项目Hope.money发推称，HopeLend协议昨日遭到了黑客攻击，但黑客并未从这次攻击中获利。此次攻击导致约528枚ETH损失，其中263.91ETH被抢先交易者贿赂给验证者（验证者为Lido所管理），利用该漏洞的抢先交易者最终获利264.08ETH。目前团队正在积极联系当事人，追回相关资产，Hope.money目前已经部署的各项协议都是单独的，不会影响平台上当前存在的各种其他产品和协议。

社交媒体应用Stars Arena成功找回被攻击后损失的90%资金

社交媒体应用Stars Arena在经历了四天的链上谈判后，已经恢复了大约90%的失去的资金。根据团队在X上的公告，攻击者被允许保留略多于10%的资金作为“白帽”赏金。

一名开发人员发布比特币闪电网络新漏洞“替换循环攻击”

一名为mononaut的开发人员10月21日在X上分享比特币闪电网络新漏洞“替换循环攻击”，促使著名安全研究人员和开发人员Antoine Riard辞去了在闪电网络开发团队中的职务。该攻击利用了闪电网络交易流程中的特定机制，给参与通道的用户造成潜在的经济损失。 攻击以多步骤过程展开。

MetaTrust：Beluga Protocol漏洞与昨天被攻击的稳定币交易项目Platypus漏洞相同

根据MetaTrust Alert监测, Arbitrum链上的稳定币交易项目Beluga Protocol遭到copy-paste攻击，损失108$ETH，价值$166K。Beluga的漏洞与昨天AVAX链上的被攻击的稳定币交易项目Platypus的漏洞相同，都是由于cash和liability被操纵导致的价格操作攻击。两个项目的代码相似。