黑客被项目方直接“人肉”?Arbitrum链上Hope项目发生180万美元Rug Pull简析_EOS:FTX币

2月21日,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上HopeFinance项目发生RugPull,也就是我们通常所说的“拉地毯似局”。

Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。?

Flybit开展黑客应对培训:金色财经报道,韩国Flybit运营商韩国数字交易所6日宣布,已开展网络危机应对培训。此次培训由信息保护部督导,包括DDoS攻击应对训练和情景化个人信息泄露事故应对模拟训练。包括安全人员、客户支持和系统管理员在内的各个相关部门也参加了培训。[2023/7/6 22:21:11]

攻击交易1:

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb

攻击交易2:

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

美国司法部对FTX黑客攻击事件展开刑事调查:金色财经报道,据消息人士透露,美国司法部(DOJ)已对FTX黑客攻击事件展开刑事调查。据悉该调查与前FTX首席执行官SBF的欺诈案是分开的,当局已经冻结了部分被盗资金。区块链专家认为,多条线索表明这是内部作案,包括黑客同时入侵FTX和FTX US网站、访问多个冷钱包以及使用个人Kraken账户提取至少一笔交易的gas费用。

金色财经此前报道,在FTX申请破产的当天晚上,该交易所遭遇黑客攻击,黑客从FTX热钱包里窃取超过4.5亿美元资产。(彭博社)[2022/12/28 22:11:41]

攻击交易3:

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

声音 | 卡巴斯基:针对加密领域的朝鲜黑客组织已越来越谨慎:安全公司卡巴斯基最近发表研究显示,针对加密领域的朝鲜黑客组织越来越谨慎。这些黑客组织,例如曾冒充加密货币交易所的Lazarus Group,正在对自己的一些恶意软件的传送机制和有效载荷进行调整,以减少被抓捕的机会。(CyperGlobe)[2020/1/9]

动态 | 5月共发生9起黑客攻击事件,损失逾700万元:据PeckShield态势感知平台数据显示,过去一个月,TRON/EOS生态共计发生9起黑客攻击事件,共计损失资金逾700万元。整体而言:1、EOS生态发生2起较为严重的私钥被盗事件,损失超25,246个EOS; 2、TRON DApp生态发生5起交易回滚攻击事件,黑客尝试以合约广撒网扩散攻击范围,但此类攻击类似于“薅羊毛”,造成的损失相对较小;3、TronBankPro代码存后门事件引发了社区广泛讨论,第三方服务平台TSC存在较大嫌疑即为攻击者;4、此前攻击Cryptopia交易所的黑客于本月起开始密集,截至目前,已有5,067个ETH流入火币交易所。PeckShield认为,受市场行情涨势的影响,加密货币市场整体不稳定因素也在增多,但私钥被盗,代码后门此类安全事件和开发者欠缺安全意识有直接关系,大可避免。在此建议开发者应在合约上线前做好已知攻击特征安全测试,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。[2019/6/1]

在昨天的时候,BeosinTrace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。

Beosin也在第一时间提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。

有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。

该帖子声称黑客是一名名叫UgwokePascalChukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。

紧接着,有推特用户分享了地图里搜索出来的地址,直接开启“人肉”模式。

据公开资料,HopeFinance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,HopeFinance的智能合约代码已“成功通过审计”,“没有提出警告”。

这也提醒我们,找正规安全审计公司的重要性。

根据Beosin2022年的年报数据,去年2022年共发生Rugpull事件超过243起,总涉及金额达到了4.25亿美元。

243起rugpull事件中,涉及金额在千万美元以上的共8个项目。210个项目跑路金额集中在几千至几十万美元区间。

而Beosin也总结出Rugpull事件具有以下特点:

1.Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。

2多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。

3.社交媒体信息欠缺。至少有一半的rugpull项目没有完善的官网、推特账号、电报/Discord群组。

4项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。

5.蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。

也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:15ms0-5:589ms