因 Defrost Finance 被盗而损失 1200 万美元的大户 Hoi 昨晚松了一口,昨晚近 12 点,他在推特上写到“天亮了”。一个多小时前,Defrost Finance 公告称黑客已退还资金,将很快退还给用户。
虽然最终是大欢喜的结局,但依旧被用户扣上了“自导自演”的帽子。
时间拉回圣诞节当天, 12 月 25 日,Avalanche 生态原生稳定币项目 Defrost Finance 协议被爆出再次出现问题,协议被添加了假的抵押代币,并使用恶意价格预言机清算当前用户,损失估计超过 1200 万美元。Defrost Finance 官方表示,已注意到 V 1 出现的紧急情况,团队目前正在调查,恳请社区等待更新,暂时不要使用 V 1 或V2。
Elliptic联合创始人:有人向乌克兰捐赠35.6 BTC,或是目前最大单笔捐赠:金色财经报道,据区块链分析公司Elliptic联合创始人兼首席科学家Tom Robinson在社交媒体透露,有人向乌克兰捐赠了一笔超过170万美元的比特币,或是截至目前最大的单笔捐赠。据悉,这笔捐赠交易从一个“331M”开头的地址发出,数额为35.60294730 BTC,约合 1,727,882.20 美元;接受者有两个地址:一个接收者是以“357a”开头的地址,收到 26 BTC,约合 1,019,044 美元;另一个接收者是以“37hR”开头的地址,收到9.60294730 BTC,约合376,377.38 美元。[2022/2/28 10:19:27]
而就在两天前, 12 月 23 日,Defrost FinanceV2曾遭到黑客的闪电贷攻击,黑客获利 173, 000 美元,但因为 V 1 并没有提供闪电贷服务,因此未受到影响。
火币行情播报丨BTC日间持续下行,或是下跌中继:据火币行情显示,从小时线上看,BTC继昨夜拉升之后,并未站稳10300USDT关口,日内持续下行,并伴随成交量的逐步放大,再次下探10000USDT整数关口,最低达到9970 USDT。从四小时线上看,BTC自9月4号起逐渐走出下跌三角形整理形态,几次下探三角形下沿线10000USDT?,成交量逐渐缩小,当前或是下跌趋势的中继。截至18:30,火币平台的主流币的具体表现如下:[2020/9/8]
随后,名为 Hoi 的用户发推特并在社区内求助,称 Defrost Finance 中的大部分存款都由其提供,其个人损失了 1200 万美元,审计公司 CertiK 尚未回应,并请求大家提供线索。
Dovey Wan:所谓“富达增持嘉楠”或是代客户托管:早间消息,嘉楠股票获富达、文艺复兴基金会增持。Primitive Ventures联合创始人万卉(Dovey Wan)就此表示:“美股公开市场披露要求下没什么秘密,特别是‘机构’持股。富达买了550万美金,但是这里购买主体是FMR LLC。FMR LLC是富达下面一系列金融服务包括券商的母公司,所以不能说‘富达买了5500w美金嘉楠’,大概率是客户的托管或者券商账户。文艺复兴买了4w美金,富国(WellsFargo)买了1.2万美金… 这两家的持股估计还不够他们的交易成本。为啥呢?文艺复兴的量化按算法因子驱动,所以持股本身和基本面关系不大,随买随卖。WellsFargo大概率也代客户托管的仓位,不是他自己的。”[2020/5/31]
不久后,Hoi 再次发推称已经掌握了一些项目方的实名线索,并认为项目方是监守自盗。因为在在 V 1 被盗前一天,V2的所有钱都被盗了;V 1 的所有接口都有写防重入,V2的竟然没有写;他猜测团队一直想做大V2,这样攻击时可以推脱是第三方攻击,因为V2被攻击时可以由第三方通过闪电贷触发。但是V2里面的钱实在太少了,不够团队的胃口。所以第二天铤而走险直接用开发者权限。强行更改了预言机价格、铸币给自己、弄了一个新的抵押池,这些操作不可能由第三方触发。开发团队熊市赚不到钱估计就把心一横了,反正现在项目只有我一个傻大户放钱在这,估计也没啥人维权,就偷了。
分析 | 安全公司:Upbit交易所大额EOS 和XLM转入Bittrex交易所操作或是Bittrex协助规避风险:今日 12:06分,成都链安态势感知系统Beosin-Eagle eye检测到以太坊Upbit交易所热钱包地址向未知地址通过一笔交易转移超过34万ETH。黑客转移342000ETH之后,该地址当时仅剩下111.3ETH,几近掏空。北京时间11月27日13时18分,Upbit波场地址TDU1uJ向TA9FnQrL开头的地址分批次转移TRON币,共计转移超过11.6亿枚TRON币,2100万枚BTT。北京时间11月27日13时02分,8628959枚EOS从Upbit EOS钱包地址转至Bittrex交易所;北京时间11月27日1点55分左右,超过1.52亿枚XLM从Upbit交易所转移至Bittrex交易所。通过我们的进一步分析认为:EOS,XLM,TRON代币的转移很有可能是交易所触发风控机制而进行的避险操作,并且有资料显示Upbit和bittrex为合作关系,因此,大额EOS 和XLM转入Bittrex交易所的操作可能是Bittrex协助规避风险。[2019/11/27]
据区块链安全审计公司 Beosin 分析,攻击者通过 setOracleAddress 函数修改了预言机的地址,随后使用 joinAndMint 函数铸造了 100, 000, 000 个 H 20 代币给 0 x 6 f 31 地址,最后调用 liquidate 函数通过虚假的价格预言机获取了大量的 USDT。后续攻击者通过跨链的方式将被盗资金转移到了以太坊的 0 x 4 e 22 上。这与 Hoi 分析的操作情况相吻合。
恒大研究院任泽平:智能合约或是区块链上最具革命性的应用:恒大研究院任泽平今日发文称,智能合约可能是区块链上最具革命性的应用。如果智能合约在区块链上实现广泛运用,经济分工将在互联网时代进一步细化,全球范围内的各网络节点将直接对接需求和生产,更广泛的社会协同将得以实现。如果上述愿景实现,区块链技术与行业的结合有望迎来“从1到N”的爆发时刻,它的爆发或将不是线性的而是非线性的,区块链也才可能从“信任机器”升级成为引领产业浪潮的重要“引擎”。此外,他还预测了行业发展趋势,在行业方面,预计未来3-5年将以金融行业为主,逐渐向其他实体行业辐射,更多切合实际的场景加速落地,行业从“1到N”发展出包括娱乐、商品溯源、征信等。技术方面,目前联盟链的共识算法、技术性能相较于大型公链可以更好地满足企业对实际商业场景的落地需求,预计未来三年将大规模发展。政策方面,区块链可以增加执法透明度,探测行业信用情况,加快实体经济革新,预计未来各国将根据自身情况不同力度地辅以政策支持。[2018/5/27]
12 月 25 日下午 8 点,Defrost 发推称,团队愿意与黑客谈判,愿意分享 20% 的被盗资金以换回大部分被盗资产,具体金额可以协商,并呼吁黑客尽快和我们联系。”
12 月 26 日下午,Defrost Finance 的审计公司 CertiK 发推称,监测显示,Defrost Finance 项目为退出局(exit scam),CertiK 曾试图联系该团队的多名成员,但没有得到回应。此外,CertiK 还表示“该团队未进行 KYC,但是我们正在利用我们掌握的所有信息协助当局”。这似乎把 Defrost 监守自盗的行为,盖棺定论。
或许是“黑客”的个人信息被掌握,因此选择迅速归还资金。Defrost Finance 在 26 日晚 10 点发推表示:“被黑客入侵的资金已退还给 DefrostFinance。受影响的用户将很快能够收回他们的资产。”
至此,这起黑客事件,仅用了 2 天就有了个愉快的大结局。但这对于安全公司和生态也敲醒了警钟。
Hoi 在推特上回顾自己为何会选择这个矿时列了几点原因, 1 合约我自己和员工都看过没问题的,第三方黑客黑不到。2 Certik 等审计。3 这个项目上过很多 Avax 各种平台的推广,甚至官方号推荐。4 后来想出来时发现其他 Defi 矿的收益都一般,然后社区里面都是好说话的兄弟。
审计公司竟然没有对被审计项目的团队有基本的了解,仅合约的安全并不能防止主观的恶意,因此掌握团队的 KYC 必不可少。因此也有用户质疑 CertiK,既然团队拒绝 KYC,你们就应该拒绝提供审计。此外,Avalanche 公链中文官方的确多次为该项目推广,因此生态方需要谨慎推广项目。
此外也有用户称,DefrostFinance 的项目方也是之前被盗的 Finnexus 和 PhoenixFinance 的同一个团队。这一信息真实性还有待考证,但也对用户提了个醒,尽量要选择实名的项目,匿名创始人背后,很有可能另有企图。
PANews
媒体专栏
阅读更多
金色财经 子木
金色早8点
去中心化金融社区
虎嗅科技
区块律动BlockBeats
CertiK中文社区
深潮TechFlow
念青
Odaily星球日报
腾讯研究院
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。