<!--StartFragment-->

零时科技每月安全事件看点开始了！据多家区块链安全监测平台统计，2025 年 10 月加密货币领域因黑客主动攻击（含漏洞利用、权限窃取）共发生 21 起事件，造成直接损失约 6.2 亿美元；同期 Rug Pull 及诈骗事件达 15 起，涉案金额超1.2 亿美元。跨链桥、DeFi 合约成为黑客主要目标，而 “伪官方背书”、“延迟授权” 则成诈骗新套路，安全风险呈双线高发态势。

<!--EndFragment-->

<!--StartFragment-->

黑客攻击方面

典型安全事件 6 起

• Abracadabra 合约逻辑漏洞攻击

损失金额： 损失 180 万美元，用户资金未受波及

攻击性质： 黑客利用 “cook 函数” 偿付能力验证漏洞重复攻击

事件详情： 10月4日，攻击者通过操纵 “借款流程（操作 5）” 与 “空更新（操作 0）” 两个指令，绕过验证步骤借入 179 万美元 MIM 稳定币，兑换为 ETH 后经 Tornado Cash 洗白。这是该协议 2025 年第三次同类攻击，累计损失超 2100 万美元。

• BNB Chain 跨链桥漏洞攻击

损失金额： 被盗金额 1.05 亿美元，为 2025 年单起最大黑客攻击损失

攻击性质： 黑客利用跨链桥验证逻辑漏洞发起的主动入侵

事件详情： 10月6日，攻击者通过伪造区块（110217401）的验证证明，绕过 BSC Token Hub 跨链桥的哈希验证机制，分两次窃取 200 万枚 BNB（价值约 5.66 亿美元）。虽 BNB Chain 紧急冻结网络，但仍有1.05 亿美元资产被转移，Tether 已冻结黑客关联地址中的 700 万美元。\

• Astra Nova AI 平台黑客攻击

损失金额： 损失 1030 万美元，无间接连锁损失

攻击性质： 黑客利用第三方做市商账户漏洞入侵铸币合约

事件详情： 10月18日，攻击者通过漏洞从项目铸币合约中窃取 8.6 亿枚 RVV 代币，兑换为 USDT 后转移至 Gate、KuCoin 等交易所，链上数据估算损失约1030 万美元。项目方虽推出 10% 赏金计划并承诺回购代币，但被盗资金仅 200 万美元处于监控中，其余已通过场外渠道洗白。\

• Moola Market 借贷协议攻击事件

损失金额： 损失 1030 万美元，无间接连锁损失

攻击性质： 闪电贷结合价格操纵漏洞的主动攻击

事件详情： 10月19日，攻击者在 Celo 网络发起闪电贷借入大量 CELO，通过集中交易拉高 Moola Market 平台原生 MOO 代币价格，再利用价格差套取 840 万美元资产；协议方紧急暂停所有借贷与交易功能，后续发布公告称将通过 DAO 提案，用平台储备金和未来收入分阶段补偿受影响用户。\

• Bunni DEX 合约漏洞攻击

损失金额： 损失 840 万美元，无间接连锁损失

攻击性质： 黑客利用合约舍入逻辑漏洞结合闪电贷套利

事件详情： 10月23日，攻击者针对 Unichain 上的 weETH/ETH、USDC/USDT 池子，通过操纵流动性与掉期交易获利，导致项目损失840 万美元。因资金追回失败且重启成本过高，项目于 10 月 23 日宣布永久关闭，用户仅能提取剩余 130 万美元资产。

• 402Bridge 跨链桥被盗

损失金额： 1.76 万 USDC（约 1.76 万美元）

攻击性质： 黑客利用第三方做市商账户漏洞入侵铸币合约

事件详情： 10月28日，由于项目方私钥泄露，黑客转移了超过 200 名用户授权给合约的剩余USDC，损失约 17,693 USDC。

<!--EndFragment-->

<!--StartFragment-->

Rug Pull / 钓鱼诈骗

典型安全事件 8 起

(1)  10月5日，0x5565 开头地址的受害者因 90,691 天前签署的网络钓鱼批准而损失了 499 美元。

(2)  10月7日，0xf875 开头地址的受害者在签署恶意“许可”签名后损失了 96,352 美元

(3)  10月8日，0x8C42 开头地址的受害者在签署恶意“许可”签名后损失了 439,922 美元

(4)  OracleBNB 项目 Rug Pull

时间： 10 月 10 日

事件性质： 伪造 “官方背书” 的典型跑路骗局

详情： BNB Chain 上项目 OracleBNB 被监测发生 Rug Pull，官方社交账号连夜删除，1431 名受害者受骗。项目方通过收购老账号包装成 “币安孵化项目”，以 “低风险挖矿” 为噱头吸引资金，链上数据显示核心资产已转移至混币器。

涉案金额： 暂未披露具体金额，受害者人均损失超 1 万美元。

(5)  10月11日， 0x2EDB 开头地址的受害者损失了价值 72,572 美元的 ASTER 在签署恶意“允许”签名后。

(6)  10月14日，0x4aF9 开头地址的受害者损失了价值 209,816 美元的 WBTC 和 tBTC 在签署恶意“permit”和“increaseApproval”签名后。

(7) “幽灵授权” 钓鱼诈骗

时间： 10 月 23 日（10 月曝光，攻击周期跨 458 天）

事件性质： 延迟式授权盗窃诈骗

详情： 黑客通过伪造空投网站诱导用户签署 “永久授权” 交易，潜伏 458 天后，在受害者转入 90.8 万美元 USDC 的 10 分钟内，立即触发授权窃取全部资产。恶意地址与 “pink-drainer.eth” 吸血钱包关联，已查实 23 名用户同类受害。

涉案金额： 单起损失 90.8 万美元，同类案件本月累计涉案超 300 万美元。

(8)  GMGN 高级钓鱼骗局

时间： 10 月 28 日

详情： 攻击者通过钓鱼网站获取用户GMGN账号的令牌，在未泄露私钥的情况下，通过将用户资金投入“貔貅盘”（只能买不能卖）并撤走流动性的方式，获利超过 70万美元。

总结

2025 年 10 月加密货币领域安全形势严峻：跨链桥（BNB Chain、402Bridge）与 DeFi 合约（Abracadabra、Bunni DEX）成主要目标，私钥泄露、合约逻辑漏洞、闪电贷套利是核心诱因，其中 BNB Chain 跨链桥单起损失达 1.05 亿美元；同时“伪官方背书”（OracleBNB）、“延迟授权”（幽灵诈骗）、“账号令牌窃取”（GMGN 钓鱼）等新套路频发，单起诈骗最高损失 90.8 万美元，用户授权安全与项目真实性核验亟待加强。

零时科技风险防控解决方案

针对本月暴露的技术漏洞、诈骗套路等核心风险，零时科技提供三大核心支持：

❶ 漏洞前置防御：通过智能合约审计与安全检测，提前识别合约逻辑缺陷、权限管理疏漏等高频风险，从源头帮项目规避漏洞被利用的损失。

❷ 诈骗实时拦截：依托风险行为监测模型，对恶意授权、账号令牌窃取等诈骗操作触发实时预警，及时阻断资产盗窃，保护用户钱包安全。

❸ 链上溯源取证：针对攻击与诈骗事件，可追踪资金跨链流向，固化完整交易证据链，为司法机关侦破案件、追回资产提供专业技术支撑。

<!--EndFragment-->