2月21日,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Arbitrum鏈上Hope Finance項目發生Rug Pull,也就是我們通常所說的“拉地毯似騙局”。
Beosin安全團隊分析發現攻擊者(0xdfcb)利用多簽錢包(0x1fc2)執行了修改TradingHelper合約的router地址的交易,從而使GenesisRewardPool合約在使用openTrade函數進行借貸時,調用TradingHelper合約SwapWETH函數進行swap后并不會通過原本的sushiswap的router進行swap操作,而是直接將轉入的代幣發送給攻擊者(0x957d)從而獲利。攻擊者共兩次提取約180萬美金。
ParaSpace官推:此前從黑客攻擊中截流的資金實際被創始人Yubo控制:5月10日消息,Paraspace 團隊在推特上表示,通過鏈上數據分析顯示,此前在黑客攻擊中截留的 2909 枚以太坊被 ruanyubo.eth 和 paraspaceinsurance.eth 地址控制,而這兩個地址實際由 Paraspace 創始人 Yubo 控制,且黑客攻擊以來已有價值 100 萬美元的代幣流出到其他錢包以及 CEX 和 Circle。剩余資金已無法彌補協議此前因黑客攻擊導致的虧空。
團隊稱,此前在為 Paraspace 建立法人實體時因 Yubo 未正面回應財務方面問題而發現了資金被挪用。團隊目前將 Yubo 地址移出了項目多簽地址,并移除了 Yubo 的訪問權限。目前團隊要求 Yubo 將剩余的資金轉入協議多簽地址,但 Yubo 拒絕與之溝通。
Paraspace 團隊表示,目前團隊有能力填補協議的財務漏洞,將于今晚 20:00 進行直播分享事件的最新進展以及未來的恢復工作。[2023/5/10 14:55:04]
攻擊交易1:
被黑客攻擊的Cryptopia Exchange進入索賠處理的第二階段:10月7日消息,Cryptopia是一家總部位于新西蘭的加密貨幣交易所,在2019年5月遭受了數百萬美元的大規模黑客攻擊,它向用戶宣布清算過程的“第二階段”已經開始。此階段將重點關注受影響用戶的身份驗證。截至2021年6月,已有超過55,000名用戶完成了索賠登記步驟。幾個月前,一名前雇員承認在清算過程中竊取了價值250,000美元的資金。(BeinCrypto)[2021/10/7 20:11:22]
0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb(修改router合約的攻擊交易)
攻擊交易2:
0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)
聲音 | CoinGecko聯合創始人:2019年有超過10家交易所遭黑客攻擊:加密分析網站CoinGecko聯合創始人Bobby Ong表示,僅在2019年,就有超過10家交易所遭到黑客攻擊,總共損失了價值1.7億美元的加密貨幣。(Ambcrypto)[2019/12/15]
攻擊交易3:
0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)
黑客因勒索比特幣作為贖金在香港被捕:一名30歲的電腦技術人員因涉嫌對兩家旅行社進行網絡攻擊在香港被捕。據悉,Big Line Holiday和Goldjoy Holidays公司分別在1月1日和2日報告稱他們的電腦遭到黑客入侵,并且收到了來自不明身份者的電子郵件勒索1個比特幣作為贖金。其勒索的信息包括20,000個客戶的姓名,身份證號碼,護照詳情和電話號碼。該嫌疑人目前面臨高達14年的有期徒刑。[2018/1/10]
在昨天的時候,Beosin Trace追蹤發現攻擊者已將資金轉入跨鏈合約至以太鏈,最終資金都已進入tornado.cash。
Beosin也在第一時間提醒用戶:請勿在0x1FC2..E56c合約進行抵押操作,建議取消所有與該項目方相關的授權。
有趣的一點是,項目方似乎知道是誰的,直接放出攻擊者的信息。
該帖子聲稱黑客是一名名叫Ugwoke Pascal Chukwuebuka的尼日利亞人。尼日利亞國民參與該項目的情況尚不清楚,但他的實際身份受到社區成員的質疑。
緊接著,有推特用戶分享了地圖里搜索出來的地址,直接開啟“人肉”模式。
據公開資料,Hope Finance的智能合約由一家不出名的機構審計。盡管標記了一些小漏洞,但該平臺得出的結論是,Hope Finance的智能合約代碼已“成功通過審計”,“沒有提出警告”。
這也提醒我們,找正規安全審計公司的重要性。
根據Beosin2022年的年報數據,去年2022年共發生Rug pull事件超過243起,總涉及金額達到了4.25億美元(FTX事件暫不計入)。
243起rug pull事件中,涉及金額在千萬美元以上的共8個項目。210個項目(約86.4%)跑路金額集中在幾千至幾十萬美元區間。
而Beosin也總結出Rug pull事件具有以下特點:
1. Rug周期時間短。大部分項目在上線后3個月內就跑路,因此大部分資金量集中在幾千至幾十萬美元區間。
2 多數項目未經審計。有些項目的代碼里暗藏后門函數,對于普通投資者而言,很難評估項目的安全性。
3. 社交媒體信息欠缺。至少有一半的rug pull項目沒有完善的官網、推特賬號、電報/Discord群組。
4 項目不規范。有些項目雖然也有官網和白皮書,但仔細一看有不少拼寫和語法錯誤,有些甚至是大段抄襲。
5. 蹭熱點項目增多。去年出現了各類蹭熱點幣種跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上線又火速卷款而逃。
也因此,項目方和用戶都需要做好安全防護。部分項目開發匆忙、未經審計就上線很容易遭受攻擊。此外,除了合約安全、私鑰/錢包安全,團隊運營安全等還需要重視,有一個薄弱的領域都可能讓項目方造成巨大損失。
Beosin
企業專欄
閱讀更多
金色早8點
金色財經
Odaily星球日報
歐科云鏈
Arcane Labs
深潮TechFlow
MarsBit
澎湃新聞
BTCStudy
鏈得得
Tags:SINEOSACERASbusiness-credit-alliance-chainFarmEOSSpace CoinJurassic Nodes
DeFi數據 1、DeFi代幣總市值:488.53億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量22.
1900/1/1 0:00:00文/ William Peaster,Bankless作者;譯/金色財經xiaozou“Alpha”來自于“知情者”.
1900/1/1 0:00:00加密貨幣交易銀行 Silvergate 在周三發布的一份報告中稱,虧損可能會使運營資金不足,其正在評估自身持續經營的能力.
1900/1/1 0:00:00撰文:Rekt FencerPolygon 的 zkEVM 主網即將啟動,現在是時候探索 Polygon 上最有趣的項目了.
1900/1/1 0:00:00作者:Frances Coppola編譯:比推BitpushNews Mary Liu加密銀行業務一團糟,FTX 交易所的暴雷導致兩家受美國監管的銀行遭受破壞性擠兌.
1900/1/1 0:00:00金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、礦業信息、項目動態、技術進展等行業動態。本文是其中的新聞周刊,帶您一覽本周區塊鏈行業大事.
1900/1/1 0:00:00