黑客被项目方直接“人肉”?Arbitrum链上Hope项目发生180万美元Rug Pull简析

2月21日,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上HopeFinance项目发生RugPull,也就是我们通常所说的“拉地毯似局”。

Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。?

慢雾:正协助Poly Network追查攻击者,黑客已实现439万美元主流资产变现:7月2日消息,慢雾首席信息安全官23pds在社交媒体发文表示,慢雾团队正在与Poly Network官方一起努力追查攻击者,并已找到一些线索。黑客目前已实现价值439万美元的主流资产变现。[2023/7/2 22:13:24]

攻击交易1:

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb

攻击交易2:

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

攻击交易3:

某黑客向2400个私钥泄露地址发送以太坊,企图抢先领取ARB空投:3月21日消息,据加密数据公司 Arkham 推文显示,被 Nansen 标记为 Arbitrum Airdrop Exploiter 的黑客地址在过去 12 小时内向大约 2400 个私钥泄露的地址发送以太坊作为 gas 费,并提前授权 ARB 合约,准备抢先领取 ARB 空投。[2023/3/21 13:17:14]

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

ProEx安全总监:Lendf.Me平台被黑客攻击事件为整个行业敲响警钟:就去中心化金融(DeFi)交易平台dForce借贷协议Lendf.Me遭黑客盗取2,500万美元事件,ProEx安全总监表示,近一年来,DeFi领域已发生多起事故。Lendf.Me发生的这起事故不是第一起,也不会是最后一起。此事为整个行业敲响警钟,迫使各个项目开始审查安全漏洞。据悉,dForce事后在各方团队配合下,在不到24h内已返还90%的资产,然而,虽然Lendf.Me合约状态已在持续攻击下遭到破坏。[2020/4/28]

动态 | 阿根廷一省份政府数据中心被勒索软件攻击,黑客要求支付比特币:金色财经报道,阿根廷圣路易斯省政府遭到勒索软件攻击,该勒索软件攻击正在影响和加密其数据中心的文件。 实施攻击的黑客要求支付比特币才肯释放被加密锁定的文件。根据该省科学和技术部长Alicia Ba?uelos的解释,攻击始于11月25日,已经锁定了7700 GB以上的政府信息,并几乎影响了整个结构系统,包括服务器、基地数据和虚拟备份库。[2019/12/5]

动态 | 黑客挟持罗马尼亚市政厅所有电脑 并要求比特币赎金:据romania-insider消息,一名份不明的黑客已经封锁了罗马尼亚最富有的布加勒斯特第一区市政厅的所有计算机,并要求当局支付比特币的赎金以解锁网络。1区市长 Dan Tudorache表示,袭击者要求比特币支付大笔款项。不过,市政厅的 IT团队已经设法从这次攻击中解救了了大约一半的计算机,预计所有计算机在本周末之前能正常运行。[2018/10/16]

在昨天的时候,BeosinTrace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。

Beosin也在第一时间提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。

有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。

该帖子声称黑客是一名名叫UgwokePascalChukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。

紧接着,有推特用户分享了地图里搜索出来的地址,直接开启“人肉”模式。

据公开资料,HopeFinance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,HopeFinance的智能合约代码已“成功通过审计”,“没有提出警告”。

这也提醒我们,找正规安全审计公司的重要性。

根据Beosin2022年的年报数据,去年2022年共发生Rugpull事件超过243起,总涉及金额达到了4.25亿美元。

243起rugpull事件中,涉及金额在千万美元以上的共8个项目。210个项目跑路金额集中在几千至几十万美元区间。

而Beosin也总结出Rugpull事件具有以下特点:

1.Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。

2多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。

3.社交媒体信息欠缺。至少有一半的rugpull项目没有完善的官网、推特账号、电报/Discord群组。

4项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。

5.蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。

也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

[0:31ms0-1:632ms