黑客被项目方直接“人肉”?Arbitrum链上Hope项目发生180万美元Rug Pull简析_FAN:Super Fan Token

2月21日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上Hope Finance项目发生Rug Pull,也就是我们通常所说的“拉地毯似局”。

Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。 

Bitbns CEO承认交易所在去年2月遭黑客攻击,但未证实被盗金额:3月2日消息,印度加密交易所Bitbns首席执行官Gaurav Dahake昨日在AMA会议上承认,该交易所确实在13个月前遭到了黑客攻击。但Dahake声称,该系统离线是为了分析异常情况,并不是为了隐藏黑客行为。他还表示,在此类事件发生后,交易所会改善其安全系统,Bitbns在攻击发生后的13个月里一直“无缝”运行。不过Dahake还是没有证实该交易所在攻击中被盗的资产数量。

昨日消息,ZachXBT表示,加密交易所Bitbns隐瞒了去年2月份750万美元黑客攻击事件。[2023/3/2 12:38:39]

攻击交易1:

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb(修改router合约的攻击交易)

安全团队:2018年Gate.io攻击事件黑客已将1944.72枚ETH转移至不同钱包:金色财经报道,据CertiK监测,黑客正在转移2018年Gate.io攻击事件中的被盗资金。截止目前,账户地址(0xff8...)已将1944.72枚ETH(约314.9万美元)转至不同钱包。[2023/2/23 12:24:15]

攻击交易2:

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

攻击交易3:

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

近2000个Robinhood账户近日遭到黑客攻击:彭博社援引知情人士的话说,在最近发生的一系列窃取客户资金的攻击中,股票与加密货币投资平台Robinhood的近2000个账户被黑客攻击。Robinhood发言人拒绝对彭博社的报道发表评论。该公司早先曾发声明称:“由于这些用户的个人电子邮件帐户(与Robinhood帐户相关联)在Robinhood之外遭到盗用,少数客户的Robinhood帐户似乎已被网络罪犯锁定。我们正在积极与受影响的客户合作,以??保护他们的帐户安全。”[2020/10/16]

韩国信息安全局已前往Bithumb现场调查黑客攻击事件:韩国政府已经开始调查韩国最大加密货币交易所Bithumb的黑客攻击事件。韩国信息安全局(KISA)周三表示,收到bithumb 的入侵事故报告后,为分析事故原因,已经前往现场,对此事进行调查。[2018/6/20]

在昨天的时候,Beosin Trace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。

Beosin也在第一时间提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。

有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。

该帖子声称黑客是一名名叫Ugwoke Pascal Chukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。

紧接着,有推特用户分享了地图里搜索出来的地址,直接开启“人肉”模式。

据公开资料,Hope Finance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,Hope Finance的智能合约代码已“成功通过审计”,“没有提出警告”。

这也提醒我们,找正规安全审计公司的重要性。

根据Beosin2022年的年报数据,去年2022年共发生Rug pull事件超过243起,总涉及金额达到了4.25亿美元(FTX事件暂不计入)。

243起rug pull事件中,涉及金额在千万美元以上的共8个项目。210个项目(约86.4%)跑路金额集中在几千至几十万美元区间。

而Beosin也总结出Rug pull事件具有以下特点:

1. Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。

2 多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。

3. 社交媒体信息欠缺。至少有一半的rug pull项目没有完善的官网、推特账号、电报/Discord群组。

4 项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。

5. 蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。

也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。

Beosin

企业专栏

阅读更多

金色早8点

金色财经

Odaily星球日报

欧科云链

Arcane Labs

深潮TechFlow

MarsBit

澎湃新闻

BTCStudy

链得得

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:46ms0-6:908ms