黑客被项目方直接“人肉”？Arbitrum链上Hope项目发生180万美元Rug Pull简析

2月21日，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，Arbitrum链上HopeFinance项目发生RugPull，也就是我们通常所说的“拉地毯似局”。

Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易，从而使GenesisRewardPool合约在使用openTrade函数进行借贷时，调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作，而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。?

ParaSpace官推：此前从黑客攻击中截流的资金实际被创始人Yubo控制:5月10日消息，Paraspace 团队在推特上表示，通过链上数据分析显示，此前在黑客攻击中截留的 2909 枚以太坊被 ruanyubo.eth 和 paraspaceinsurance.eth 地址控制，而这两个地址实际由 Paraspace 创始人 Yubo 控制，且黑客攻击以来已有价值 100 万美元的代币流出到其他钱包以及 CEX 和 Circle。剩余资金已无法弥补协议此前因黑客攻击导致的亏空。

团队称，此前在为 Paraspace 建立法人实体时因 Yubo 未正面回应财务方面问题而发现了资金被挪用。团队目前将 Yubo 地址移出了项目多签地址，并移除了 Yubo 的访问权限。目前团队要求 Yubo 将剩余的资金转入协议多签地址，但 Yubo 拒绝与之沟通。

Paraspace 团队表示，目前团队有能力填补协议的财务漏洞，将于今晚 20:00 进行直播分享事件的最新进展以及未来的恢复工作。[2023/5/10 14:55:04]

攻击交易1：

CoinList推出新功能Wallet Link，本周将与Nomad合作向受黑客攻击影响用户返还资金:12月14日消息，CoinList宣布推出新功能Wallet Link，支持用户将其链上身份与CoinList的验证身份相连接。当选择进入Wallet Link时，用户验证其非托管钱包的所有权，可以根据其钱包的活动获得新的机会，用户可以在任何时候删除与其账户相关的钱包地址。作为与Nomad合作的一项活动的一部分，CoinList将于本周推出Wallet Link，以向受Nomad跨链桥黑客攻击影响的用户恢复和返还资金。受影响的用户将能够验证与Nomad桥相关的钱包的所有权，以便有资格获得资金返还。[2022/12/14 21:43:44]

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb

动态 | 黑客在推特冒充特朗普发布加密货币局:据Fortune报道，本周三，黑客入侵了推特账户JoyJoyce2，并将其名称改为看起来与美国总统特朗普推特帐户非常类似的名称，并发布了一个加密货币局推文，其攻击的目标群体为关注总统特朗普总统的推特用户。人们在阅读特朗普的推文时，被黑帐户会回应称特朗普正提供5000个以太币和500个比特币作为赠品。实际上这些推文都是假的，账号由机器人运行。但是这个局在推特上出奇的普遍，过去曾被用于其他著名账户。[2018/8/3]

攻击交易2：

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

攻击交易3：

韩国科学信息通信部：针对Bithumb遭遇黑客攻击事件展开调查，并对21个交易所的安全系统进行审查:韩国科技和信息部表示，随着加密货币交易网站的黑客事故接连发生，将对21个加密货币交易所的安全系统进行审查，确认系统不足之处并将采取措施。韩国网络振兴院表示，针对Bithumb和Coinrail被黑客攻击的事故原因已展开调查。[2018/6/20]

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

首届EOS全球黑客马拉松大赛在香港举行，获胜者将拥有150万美金:6月9日至10日，首届EOS全球黑客马拉松大赛将在香港举行，获胜者拥有150万美金的奖励。目前确认参与该赛事的团队有HelloEOS，他们正在邀请更多的优秀开发者团队加入，共建EOS生态。[2018/4/13]

在昨天的时候，BeosinTrace追踪发现攻击者已将资金转入跨链合约至以太链，最终资金都已进入tornado.cash。

Beosin也在第一时间提醒用户：请勿在0x1FC2..E56c合约进行抵押操作，建议取消所有与该项目方相关的授权。

有趣的一点是，项目方似乎知道是谁的，直接放出攻击者的信息。

该帖子声称黑客是一名名叫UgwokePascalChukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚，但他的实际身份受到社区成员的质疑。

紧接着，有推特用户分享了地图里搜索出来的地址，直接开启“人肉”模式。

据公开资料，HopeFinance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞，但该平台得出的结论是，HopeFinance的智能合约代码已“成功通过审计”，“没有提出警告”。

这也提醒我们，找正规安全审计公司的重要性。

根据Beosin2022年的年报数据，去年2022年共发生Rugpull事件超过243起，总涉及金额达到了4.25亿美元。

243起rugpull事件中，涉及金额在千万美元以上的共8个项目。210个项目跑路金额集中在几千至几十万美元区间。

而Beosin也总结出Rugpull事件具有以下特点：

1.Rug周期时间短。大部分项目在上线后3个月内就跑路，因此大部分资金量集中在几千至几十万美元区间。

2多数项目未经审计。有些项目的代码里暗藏后门函数，对于普通投资者而言，很难评估项目的安全性。

3.社交媒体信息欠缺。至少有一半的rugpull项目没有完善的官网、推特账号、电报/Discord群组。

4项目不规范。有些项目虽然也有官网和白皮书，但仔细一看有不少拼写和语法错误，有些甚至是大段抄袭。

5.蹭热点项目增多。去年出现了各类蹭热点币种跑路事件，如Moonbird、LUNAv2、Elizabeth、TRUMP等，通常及其快速地上线又火速卷款而逃。

也因此，项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外，除了合约安全、私钥/钱包安全，团队运营安全等还需要重视，有一个薄弱的领域都可能让项目方造成巨大损失。

标签：EOSACESINRASEOS币最新消息FACEMETAsinoc币行情RAS价格

以太坊交易热门资讯