2月21日,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上HopeFinance项目发生RugPull,也就是我们通常所说的“拉地毯似局”。
Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。?
Curve向CRV/ETH池黑客公布还款地址:8月9日消息,Curve官方发推称,“CRV/ETH池黑客需将资金返还至由Curve DAO控制的地址0x4090......b9968。”
值得一提的是,Curve于8月7日曾表示容许该黑客自愿归还资金的截止日期已过,将不再视其为白帽,同时将向任何可提供相关线索的用户给予10%追赃数额的报酬。[2023/8/9 21:34:52]
攻击交易1:
0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb
攻击交易2:
0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)
Azuki社交账户黑客已将窃取资金转移至Tornado Cash:金色财经报道,派盾监测显示,Azuki官方社交媒体账户攻击事件黑客已将被盗资金兑换为618枚ETH并转移到Tornadao Cash。
钓鱼者地址“0x50…fd7”同时窃取了196枚NFT,包括74个Otherdeed、56个Beanz、12个Doodles、2个MAYC和41个Pudgy Penguins,该地址目前已经转移了234ETH。[2023/1/29 11:35:16]
攻击交易3:
0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)
CremaFinance:黑客同意以45455 SOL作为白帽赏金:金色财经报道,CremaFinance在社交媒体上称,经过长时间的谈判,黑客同意以 45455 SOL 作为白帽赏金。现在我们已经确认在如下所示的四笔交易中收到了 6064 ETH + 23967.9 SOL。后续补偿方案将在48小时内发布。
金色财经此前报道,CremaFinance被黑客攻击损失约880万美元。[2022/7/7 1:57:42]
Liquid Global前员工:未参与该交易遭受的黑客攻击,自己是替罪羊:3月29日消息,加密货币交易所 Liquid Global 前日本产品和营销主管 Marisa McKnight 称自己并没有参与交易所遭受的黑客攻击事件,而是被当作替罪羊。Liquid Global 首席营销官 Chi Tran 和首席信息官 Graeme Doherty 表示调查机构正在等待在美国和日本对 Marisa McKnight 进行调查,有证据表明她的工作笔记本电脑参与了黑客攻击。
此前消息,2021 年 8 月 19 日,Liquid 称其热钱包遭到攻击,损失约 7100 万美元,随后从 FTX 获得1.2亿美元债权融资。(Coindesk)[2022/3/29 14:23:52]
在昨天的时候,BeosinTrace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。
Beosin也在第一时间提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。
有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。
该帖子声称黑客是一名名叫UgwokePascalChukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。
紧接着,有推特用户分享了地图里搜索出来的地址,直接开启“人肉”模式。
据公开资料,HopeFinance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,HopeFinance的智能合约代码已“成功通过审计”,“没有提出警告”。
这也提醒我们,找正规安全审计公司的重要性。
根据Beosin2022年的年报数据,去年2022年共发生Rugpull事件超过243起,总涉及金额达到了4.25亿美元。
243起rugpull事件中,涉及金额在千万美元以上的共8个项目。210个项目跑路金额集中在几千至几十万美元区间。
而Beosin也总结出Rugpull事件具有以下特点:
1.Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。
2多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。
3.社交媒体信息欠缺。至少有一半的rugpull项目没有完善的官网、推特账号、电报/Discord群组。
4项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。
5.蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。
也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。