2月21日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上Hope Finance项目发生Rug Pull,也就是我们通常所说的“拉地毯似局”。
Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。
报告:到目前为止,朝鲜黑客已窃取高达10亿美元的加密货币:4月7日消息,根据美国国家安全委员会的一份2022年年度报告,朝鲜黑客窃取的虚拟资产从6.3亿美元到10亿多美元不等,这一数字是2021年被盗金额的两倍。该小组在报告中指出:“朝鲜利用日益复杂的网络技术进入涉及网络金融的数字网络,并窃取有潜在价值的信息,包括其武器计划。”
虽然加密黑客有时可以被追踪,这取决于黑客是否留下犯罪踪迹,但根据该报告,基本的加密货币和区块链特性使追踪变得更加困难。该报告补充说:“非法获得的虚拟资产受到区块链的匿名性和通过加密货币交易所混淆资产通道的保护。”
报告最后还鼓励成员国遵守FATF的指导方针,以遏制被盗加密货币资金不断增长。(Bitcoinist)[2023/4/8 13:50:56]
攻击交易1:
0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb(修改router合约的攻击交易)
微软报告:越南黑客团体在攻击活动中部署加密挖矿恶意软件:微软周一表示,越南政府支持的黑客最近被发现在其常规网络间谍工具包中部署加密货币挖矿恶意软件。报告强调了网络安全行业日益增长的趋势,越来越多的国家支持的黑客组织也开始涉足常规的网络犯罪活动,这使得人们更难区分经济动机犯罪和情报收集行动。
越南团体Bismuth自2012年以来一直活跃。该组织一直在策划复杂的黑客行动,包括在越南国内外,目的是收集信息,帮助政府处理、经济和外交政策决策。但在周一发布的报告中,微软表示,它最近观察到该集团在夏季的策略发生了变化。“在2020年7月至8月的活动中,该组织在针对法国和越南私营部门和政府机构的攻击中部署了门罗币挖矿程序。”(ZDNet)[2020/12/1 22:42:26]
攻击交易2:
0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)
动态 | 报告:安卓漏洞StrandHogg允许黑客窃取加密钱包信息:金色财经报道,12月2日,挪威应用安全公司Promon披露了一个名为StrandHogg的安卓漏洞,据报道该漏洞已经感染了所有版本的安卓,并使排名前500位的最受欢迎的应用处于危险之中。StrandHogg伪装成受感染设备上的任何其他应用程序,允许恶意应用程序通过显示恶意和虚假的登录页面来诱用户证书。据报道,除了窃取加密钱包登录凭证等个人信息外,StrandHogg还可以通过麦克风监听用户的声音,读取和发送短信,访问设备上的所有私人照片和文件等。Promon的研究人员进一步指出,他们已经在去年夏天向谷歌透露了该发现。然而,尽管谷歌确实删除了受影响的应用程序,但似乎并没有针对任何版本的安卓系统修复该漏洞。[2019/12/4]
攻击交易3:
0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)
日媒称黑客已洗白价值5.34亿美元的被盗新经币:据日本媒体报道,东京网络安全公司表示通过对被盗NEM交易记录分析,现在大多数被盗的新经币已经通过暗网渠道洗清。1月26日,日本比特币交易所Coincheck遭黑客攻击,交易所内5. 23 亿个NEM币被盗,价值5. 3 亿美元,约 26 万用户受害。这次被盗是继2014年Mt.Gox破产事件后,日本加密货币史上最大的黑客盗币事件。[2018/3/28]
在昨天的时候,Beosin Trace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。
Beosin也在第一时间提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。
有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。
该帖子声称黑客是一名名叫Ugwoke Pascal Chukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。
紧接着,有推特用户分享了地图里搜索出来的地址,直接开启“人肉”模式。
据公开资料,Hope Finance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,Hope Finance的智能合约代码已“成功通过审计”,“没有提出警告”。
这也提醒我们,找正规安全审计公司的重要性。
根据Beosin2022年的年报数据,去年2022年共发生Rug pull事件超过243起,总涉及金额达到了4.25亿美元(FTX事件暂不计入)。
243起rug pull事件中,涉及金额在千万美元以上的共8个项目。210个项目(约86.4%)跑路金额集中在几千至几十万美元区间。
而Beosin也总结出Rug pull事件具有以下特点:
1. Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。
2 多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。
3. 社交媒体信息欠缺。至少有一半的rug pull项目没有完善的官网、推特账号、电报/Discord群组。
4 项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。
5. 蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。
也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。
Beosin
企业专栏
阅读更多
金色早8点
金色财经
Odaily星球日报
欧科云链
Arcane Labs
深潮TechFlow
MarsBit
澎湃新闻
BTCStudy
链得得
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。