以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

黑客被項目方直接“人肉”?Arbitrum鏈上Hope項目發生180萬美元Rug Pull簡析_EOS

Author:

Time:1900/1/1 0:00:00

2月21日,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Arbitrum鏈上Hope Finance項目發生Rug Pull,也就是我們通常所說的“拉地毯似騙局”。

Beosin安全團隊分析發現攻擊者(0xdfcb)利用多簽錢包(0x1fc2)執行了修改TradingHelper合約的router地址的交易,從而使GenesisRewardPool合約在使用openTrade函數進行借貸時,調用TradingHelper合約SwapWETH函數進行swap后并不會通過原本的sushiswap的router進行swap操作,而是直接將轉入的代幣發送給攻擊者(0x957d)從而獲利。攻擊者共兩次提取約180萬美金。 

DeFi收益聚合器Yearn針對v3版本發起黑客公開挑戰計劃:7月26日消息,DeFi 收益聚合器 Yearn 在社交媒體上發文表示,其 v3 版本已經經過多次審核和內部審查,即日起將發起黑客挑戰計劃,若黑客能成功從 Yearn v3 Vault 中獲取資金,Yearn 將不予追究。[2023/7/26 15:58:43]

攻擊交易1:

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb(修改router合約的攻擊交易)

攻擊交易2:

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

Scroll成為ETH Beijing黑客松的協辦方及贊助方:據官方消息,以太坊 zk-rollup 擴容項目 Scroll 成為 ETH Beijing 黑客松的協辦方及贊助方,用戶可以從官方鏈接報名參與 ETH Beijing 黑客松。[2023/3/10 12:53:48]

攻擊交易3:

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

Duet Protocol核心成員:已接近掌握黑客的身份信息,警告其歸還資金:8月9日消息,多鏈合成資產協議Duet Protocol核心成員BachOnChain警告黑客,通過團隊的努力,收集到了他的大量鏈上歷史交易和鏈下密碼活動。此外,團隊已接近掌握黑客在FTX賬戶的身份信息。BachOnChain緊急警告黑客歸還屬于Zerogoki社區的資金。此外,BachOnChain表示,團隊決定懸賞10000美元給任何最終能幫助團隊找到這個黑客的用戶。最后,BachOnChain表示,團隊將很快使用更多的資金庫資金來恢復掛鉤,已經投資超20萬美元來穩定zUSD。[2021/8/9 1:42:58]

聲音 | 聯合國專家小組:朝鮮黑客大量竊取加密貨幣 涉及資金超5億美元:據日經亞洲評論消息,據聯合國安理會的一個專家小組稱,朝鮮利用網絡攻擊和區塊鏈技術規避經濟制裁,獲取外匯和加密貨幣。該小組對安理會表示,朝鮮通過網絡盜竊方式已經積累了大約6.7億美元的外匯和虛擬貨幣,并使用區塊鏈技術來掩蓋其蹤跡。專家小組同時表示,虛擬貨幣存在多次洗錢的可能,因此會變得更難追蹤,且不受政府監管。該小組估計,2017年1月至2018年9月期間,朝鮮已至少對亞洲的加密貨幣交易所發起了五次攻擊,其損失總額高達5.71億美元。[2019/3/8]

在昨天的時候,Beosin Trace追蹤發現攻擊者已將資金轉入跨鏈合約至以太鏈,最終資金都已進入tornado.cash。

Beosin也在第一時間提醒用戶:請勿在0x1FC2..E56c合約進行抵押操作,建議取消所有與該項目方相關的授權。

有趣的一點是,項目方似乎知道是誰的,直接放出攻擊者的信息。

該帖子聲稱黑客是一名名叫Ugwoke Pascal Chukwuebuka的尼日利亞人。尼日利亞國民參與該項目的情況尚不清楚,但他的實際身份受到社區成員的質疑。

緊接著,有推特用戶分享了地圖里搜索出來的地址,直接開啟“人肉”模式。

據公開資料,Hope Finance的智能合約由一家不出名的機構審計。盡管標記了一些小漏洞,但該平臺得出的結論是,Hope Finance的智能合約代碼已“成功通過審計”,“沒有提出警告”。

這也提醒我們,找正規安全審計公司的重要性。

根據Beosin2022年的年報數據,去年2022年共發生Rug pull事件超過243起,總涉及金額達到了4.25億美元(FTX事件暫不計入)。

243起rug pull事件中,涉及金額在千萬美元以上的共8個項目。210個項目(約86.4%)跑路金額集中在幾千至幾十萬美元區間。

而Beosin也總結出Rug pull事件具有以下特點:

1. Rug周期時間短。大部分項目在上線后3個月內就跑路,因此大部分資金量集中在幾千至幾十萬美元區間。

2 多數項目未經審計。有些項目的代碼里暗藏后門函數,對于普通投資者而言,很難評估項目的安全性。

3. 社交媒體信息欠缺。至少有一半的rug pull項目沒有完善的官網、推特賬號、電報/Discord群組。

4 項目不規范。有些項目雖然也有官網和白皮書,但仔細一看有不少拼寫和語法錯誤,有些甚至是大段抄襲。

5. 蹭熱點項目增多。去年出現了各類蹭熱點幣種跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上線又火速卷款而逃。

也因此,項目方和用戶都需要做好安全防護。部分項目開發匆忙、未經審計就上線很容易遭受攻擊。此外,除了合約安全、私鑰/錢包安全,團隊運營安全等還需要重視,有一個薄弱的領域都可能讓項目方造成巨大損失。

Beosin

企業專欄

閱讀更多

金色早8點

金色財經

Odaily星球日報

歐科云鏈

Arcane Labs

深潮TechFlow

MarsBit

澎湃新聞

BTCStudy

鏈得得

Tags:EOSSINETHRUGFarmEOSSIMPSONSINU價格TAIKULAETHRUG幣

pepe最新價格
了解零知識(ZK)最新進展:哪個項目能夠成為第一個“吃螃蟹的人”_ROLL

原文作者:William M. Peaster,由 DeFi 之道編譯。如果您深入了解加密世界,那么您已經聽說過零知識證明(ZK Proof)及其應用已有一段時間了.

1900/1/1 0:00:00
金色早報 | 知情人士:亞馬遜將于4月24日上線NFT平臺_區塊鏈

▌知情人士:亞馬遜將于4月24日上線NFT平臺金色財經報道,亞馬遜將于4月24日上線NFT平臺,計劃通過“Amazon Digital Marketplace”選項卡在亞馬遜網站上提供.

1900/1/1 0:00:00
Blur 帶動 NFT 市場回暖 探索 NFT 衍生品賽道機會_NFT

隨著美聯儲加息和一系列暴雷事件,Crypto 迎來了又一輪深熊。將時間回撥到 18 年,ICO 被監管之后,Crypto 行業市值下跌 80%,隨后 DeFi 創新出現,Crypto 再次將上一.

1900/1/1 0:00:00
1月份 NFT 行業報告_NFT

Jan. 2023, DanielData Source:  NFT Monthly Report1 月是近一年來代幣價格最好的一個月.

1900/1/1 0:00:00
超級鏈來臨:深度解讀 Coinbase 和 Optimism 聯手打造的 OP Stack_STA

2月23日,上市加密交易公司Coinbase在沒有任何征兆的前提下發布了自己的L2網絡BASE,并且宣布不會發行原生代幣,而是會以ETH作為原生資產.

1900/1/1 0:00:00
Bankless創始人:為什么說Coinbase的新鏈Base是一個里程碑?_BAS

原文作者: Ryan Adams, Bankless 創始人原文編譯:czgsws,BlockBeats2 月 23 日.

1900/1/1 0:00:00
ads