2月21日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上Hope Finance项目发生Rug Pull,也就是我们通常所说的“拉地毯似局”。
Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。
法官通过NFT向黑客送达向原告偿还近100万USDT的判决:金色财经报道,根据最近的法庭文件,佛罗里达州的一名联邦法官Beth Bloom作出判决,宣布身份不明的黑客在2021年12月从原告Rangan Bandyopadhyay的Coinbase钱包中窃取了价值971,291美元的USDT(Tether),他们对此负有责任。盗窃者已被命令向Bandyopadhyay支付等额的款项,该款项将在该债务上产生利息,直到全额支付为止。
Bloom法官允许在上周的案件中通过NFT向黑客送达,使用的是他们用来从Bandyopadhyay那里偷窃的链上地址。[2023/3/15 13:06:04]
攻击交易1:
0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb(修改router合约的攻击交易)
CremaFinance:找到了黑客在黑客事件中使用的可疑discord账户:金色财经报道,CremaFinance在社交媒体上称,根据合作伙伴提供的线索,我们找到了黑客在黑客事件中使用的可疑discord账户。我们正在与有关方面接触,以获得更多可能有助于侦查的信息。
金色财经此前报道,CremaFinance被黑客攻击损失约880万美元。[2022/7/4 1:50:09]
攻击交易2:
0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)
攻击交易3:
0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)
Solana宣布将于近期举办黑客松:Solana官方宣布将于5月15日至6月7日间举办黑客松,奖金超100万美元,任何人皆可参与。活动今日起开启报名。[2021/4/28 21:08:36]
在昨天的时候,Beosin Trace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。
加州大学旧金山分校或共向黑客支付了180万美元加密赎金:金色财经报道,据此前消息,加州大学旧金山分校(UCSF)在6月12日向使用勒索软件对其进行攻击的黑客支付了114万美元的加密货币赎金。ZenGo的最新研究表明,UCSF可能在同一时期支付了另一笔共70万美元的赎金。如果情况属实,UCSF支付的赎金总金额超过了180万美元。[2020/9/4]
Beosin也在第一时间提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。
有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。
该帖子声称黑客是一名名叫Ugwoke Pascal Chukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。
紧接着,有推特用户分享了地图里搜索出来的地址,直接开启“人肉”模式。
据公开资料,Hope Finance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,Hope Finance的智能合约代码已“成功通过审计”,“没有提出警告”。
这也提醒我们,找正规安全审计公司的重要性。
根据Beosin2022年的年报数据,去年2022年共发生Rug pull事件超过243起,总涉及金额达到了4.25亿美元(FTX事件暂不计入)。
243起rug pull事件中,涉及金额在千万美元以上的共8个项目。210个项目(约86.4%)跑路金额集中在几千至几十万美元区间。
而Beosin也总结出Rug pull事件具有以下特点:
1. Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。
2 多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。
3. 社交媒体信息欠缺。至少有一半的rug pull项目没有完善的官网、推特账号、电报/Discord群组。
4 项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。
5. 蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。
也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。
Beosin
企业专栏
阅读更多
金色早8点
金色财经
Odaily星球日报
欧科云链
Arcane Labs
深潮TechFlow
MarsBit
澎湃新闻
BTCStudy
链得得
比特币价格在剧烈波动一个月之后,目前的价格保持在几大持有者群体的链上基础成本之上。这导致大部分 BTC 持有者处于未实现盈利状态,并暗示宏观市场趋势正在转变.
1900/1/1 0:00:00作者:Joyce 比特币生态似乎火起来了:先有前Twitter创始人Jack Dorsey的社交应用Damus的爆火出圈,又一次带火比特币闪电网络.
1900/1/1 0:00:00作者:Day 随着2020年的DeFi之夏,到2022年的NFT热潮,区块链基础设施和应用越来越繁荣,据defillama显示,DeFi总锁仓量达470亿美金,而在牛市峰值时,接近1800亿美金,据NFTGo数据显示.
1900/1/1 0:00:00作者:Maverick 近期,一款名为 ChatGPT 的人工智能聊天程序爆火让AI 概念出圈,该程序在两个月就获得一亿用户,在近期日活更是突破千万.
1900/1/1 0:00:00押注ChatGPT是微软最近的主要发力点,另一边,它开始向元宇宙业务挥出裁员“大刀”。海外消息称,微软解散了成立仅四个月的工业元宇宙团队,约100名员工被全被解雇.
1900/1/1 0:00:00原文:《重磅 | HK证监:虚拟交易是“少设限”还是“高门槛”?》 作者:肖飒法律团队 2023年2月20日,香港证监会(以下简称“SFC”)就监管虚拟资产交易平台的建议.
1900/1/1 0:00:00