黑客被項目方直接“人肉”？Arbitrum鏈上Hope項目發生180萬美元Rug Pull簡析_EOS

2月21日，據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示，Arbitrum鏈上HopeFinance項目發生RugPull，也就是我們通常所說的“拉地毯似騙局”。

Beosin安全團隊分析發現攻擊者(0xdfcb)利用多簽錢包(0x1fc2)執行了修改TradingHelper合約的router地址的交易，從而使GenesisRewardPool合約在使用openTrade函數進行借貸時，調用TradingHelper合約SwapWETH函數進行swap后并不會通過原本的sushiswap的router進行swap操作，而是直接將轉入的代幣發送給攻擊者(0x957d)從而獲利。攻擊者共兩次提取約180萬美金。?

被黑客攻擊的加密貨幣交易所Mango法律費用激增:金色財經報道，在Avi Eisenberg被指控攻擊基于區塊鏈的交易協議 Mango Markets 并獲得超過1億美元近一年后，該平臺的利益相關者正在努力承擔不斷增長的法律費用。根據該平臺創始人一項關鍵提案的早期投票結果，社區似乎不愿意繼續買單。Mango Labs是構建Solana區塊鏈交易所的主要公司，比計劃提前六個月花費了近 200 萬美元（其2023 年全部預算），目前資金短缺。隨著更多“監管調查”的臨近，該公司已要求Mango DAO成員批準另外 200 萬美元的法律費用，但項目內部人士要求提高公司預算管理方式的透明度。

據Realms網站稱，Mango DAO金庫中約有 8900 萬美元，但其中大部分以 MNGO 代幣計價，而這些代幣的市場流動性可能不足以快速輕松地出售它們。[2023/8/8 21:30:58]

攻擊交易1：

聲音 | 卡巴斯基：朝鮮黑客現通過Telegram竊取加密貨幣:金色財經報道，在周二發表的研究報告中，網絡安全公司卡巴斯基表示，與朝鮮有聯系的網絡犯罪組織Lazarus Group的攻擊方法已發生重大變化。新的攻擊手段是通過Telegram傳播惡意軟件。研究人員發現，某些受害者的計算機下載了帶有嵌入式惡意軟件的操縱軟件，該軟件會在黑客不知情的情況下將敏感數據發送給黑客。一項案例研究涉及一個偽造的加密貨幣錢包的軟件更新，該軟件一旦被下載，便開始將用戶數據傳輸給黑客。[2020/1/10]

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb

攻擊交易2：

動態 | 美國新奧爾良市遭勒索軟件攻擊，黑客要求比特幣贖金:金色財經報道，美國路易斯安那州新奧爾良市遭到大規模勒索軟件攻擊后宣布進入緊急狀態。該市的計算機系統目前仍在運行。據悉，黑客使用的勒索軟件是Ryuk，會對計算機系統進行加密并要求獲得比特幣資金。[2019/12/19]

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

攻擊交易3：

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

動態 | 攻擊BetDice等多款游戲的黑客已將贓款分攤至7,791個帳號，ECAF凍結處理已成難題:據PeckShield態勢感知平臺12月22日數據顯示：針對三天前四款EOS競猜類游戲接連遭黑客攻擊的安全事件，PeckShield數據研究人員進一步跟蹤發現，涉及到的不當獲利288,329.85個EOS，目前已被黑客以大批量創建子賬號分散資金的方式，全部分攤至多達7,791個帳號，平均每個帳號包含25-60個小額EOS。目前黑客已暫停資金分散，并有少量資金開始轉移至交易所。不過，多達數千個分散帳號，對ECAF接下來的凍結處理造成了極大挑戰。為提高效率幫助開發者挽回資產損失，PeckShield安全人員建議：1、ECAF應在安全事件突發后第一時間迅速反應就臨時凍結黑客核心帳號，阻擋黑客進一步分散資金的可能。2、黑客的涉贓款帳號PeckShield已經全部布控，一旦開始大額轉入交易所將會發出預警，在此呼吁各大交易所能協助對相關賬號進行處理。[2018/12/22]

在昨天的時候，BeosinTrace追蹤發現攻擊者已將資金轉入跨鏈合約至以太鏈，最終資金都已進入tornado.cash。

Beosin也在第一時間提醒用戶：請勿在0x1FC2..E56c合約進行抵押操作，建議取消所有與該項目方相關的授權。

有趣的一點是，項目方似乎知道是誰的，直接放出攻擊者的信息。

該帖子聲稱黑客是一名名叫UgwokePascalChukwuebuka的尼日利亞人。尼日利亞國民參與該項目的情況尚不清楚，但他的實際身份受到社區成員的質疑。

緊接著，有推特用戶分享了地圖里搜索出來的地址，直接開啟“人肉”模式。

據公開資料，HopeFinance的智能合約由一家不出名的機構審計。盡管標記了一些小漏洞，但該平臺得出的結論是，HopeFinance的智能合約代碼已“成功通過審計”，“沒有提出警告”。

這也提醒我們，找正規安全審計公司的重要性。

根據Beosin2022年的年報數據，去年2022年共發生Rugpull事件超過243起，總涉及金額達到了4.25億美元。

243起rugpull事件中，涉及金額在千萬美元以上的共8個項目。210個項目跑路金額集中在幾千至幾十萬美元區間。

而Beosin也總結出Rugpull事件具有以下特點：

1.Rug周期時間短。大部分項目在上線后3個月內就跑路，因此大部分資金量集中在幾千至幾十萬美元區間。

2多數項目未經審計。有些項目的代碼里暗藏后門函數，對于普通投資者而言，很難評估項目的安全性。

3.社交媒體信息欠缺。至少有一半的rugpull項目沒有完善的官網、推特賬號、電報/Discord群組。

4項目不規范。有些項目雖然也有官網和白皮書，但仔細一看有不少拼寫和語法錯誤，有些甚至是大段抄襲。

5.蹭熱點項目增多。去年出現了各類蹭熱點幣種跑路事件，如Moonbird、LUNAv2、Elizabeth、TRUMP等，通常及其快速地上線又火速卷款而逃。

也因此，項目方和用戶都需要做好安全防護。部分項目開發匆忙、未經審計就上線很容易遭受攻擊。此外，除了合約安全、私鑰/錢包安全，團隊運營安全等還需要重視，有一個薄弱的領域都可能讓項目方造成巨大損失。

Tags：EOSSINRUGMANeos幣前景SingularityStruggle DogeHesman Shard

pepe最新價格