POOL:失去“希望”的团队：贴出了子照片和身份证-ODAILY_eth在中国合法吗

2023年2月21日，CertiK发现了2023年迄今为止Arbitrum上最大的退出局。一个最近推出的名为HopeFinance的项目，号称在局中损失了180万美元。然而经过调查后发现，这场局竟与该项目团队自身的相关钱包有关。该钱包地址在策划了一个获取存款的后门后，抽走了GenesisRewardsPool奖池的大量资金，造成了该起局。

事件过程

HopeFinance于2月1日开始宣传他们的项目，并宣布预计在UTC时间2月20日下午两点启动。然而，启动没多久，一个外部地址很快就耗尽了该项目的GenesisRewardsPool奖金池。

Foresight Ventures推出2亿美元的加密基金Foresight Secondary Fund I:6月15日消息，Foresight Ventures推出2亿美元的加密基金Foresight Secondary Fund I，该基金专注投资私募市场中寻求流动性的加密货币资产（SAFT）。据官方披露，加密交易所Bitget为该基金最大单一LP。[2022/6/15 4:29:31]

起初来看，HopeFinance项目似乎是被黑客发现漏洞并利用了。然而在检查该团队的一些钱包活动后，CertiK专家发现该项目是一个退出局。

当然，并非所有与HopeFinance公司有关的团队成员都参与了该起退出局。事后，该项目的推特账户发布了一张他们声称“局负责人”的图片，同时还附上其身份证等信息。

分析 | TokenInsight：BTC人气热度大幅攀升 单月算力跌幅创10年之最:据TokenInsight数据显示，反映区块链行业整体表现的TI指数北京时间12月04日8时报356.38点，较昨日同期下跌22.84点，跌幅为6.02%。此外，在TokenInsight密切关注的28个细分行业中，24小时内涨幅最高的为锚定与储备行业，涨幅为0.4%；24小时内跌幅最高的为信息技术服务应用行业，跌幅为8.75%。

?另据监测显示，BTC人气热度连续两日累积上升39%，全球搜索指数盘整于近90日高位。BCtrend分析师Jeffrey认为，BTC算力单月跌幅创10年之最，跌幅24%至38.88E，矿工洗牌成效明显，整体反弹需求加大。[2018/12/4]

分析 | TokenInsight：USDT较上周同期交易量大降22.6% 其他稳定币普涨:据TokenInsight数据监测显示，交易量较大的5种稳定币（USDT、TUSD、PAX、DAI和USDC）中，TUSD和USDC价格较上周同期持平，其余普跌，其中DAI跌幅最大达1.03%。24小时交易量方面，USDT单日交易量最高为28.8亿美元，但对比上周同期下降也同样最大达22.6%；其他稳定币交易量对比上周同期普涨，其中USDC交易量涨幅最高达48.5%。市场供应量方面，USDT供应量较上周同期不变，除TUSD外其余稳定币供应量普涨。独立分析师 Lewis 认为，USDT的市场份额正在被进一步侵蚀，未来稳定币市场或将呈现更加分散的状态。[2018/11/10]

被指控的人员是一名尼日利亚学生，大家很快找到其Linkedin账号，尽管没有发表过任何动态，但仍可确认该Linkedin账号属于该学生。

分析 | TokenInsight：BTC人气上攻多次未果 后续方向尚不明朗:据 TokenInsight 数据显示，反映区块链行业整体表现的TI指数北京时间9月17日9时报585.15点，较昨日同期上涨4.51点，涨幅0.78%。通用平台指数TIG报402.06点，较昨日同期上涨5.59点，涨幅1.41%。另据监测显示，BTC人气热度连续两日下跌至0.0648%，转账数较上周同期下降4.3%，活跃地址数较上周同期下降7.6%至40.6万。

BCtrend分析师 Jeffrey 认为，BTC人气上攻3次未果，阶段性修复可能到达顶部，调整需求加大。

技术分析方面，独立分析师 James Lu 认为，BTC昨日走弱，多数时间位于6500美元下方，向上压力明显加大，后续方向仍不明朗。[2018/9/17]

CertiK安全专家发现，一旦外部地址EOA0x...9113调用含有关键漏洞的OpenTrade函数，GenesisRewardsPool合约的资金就会被抽走。总价值186万美元的被盗资金在被桥接到了以太坊之后存入到了TornadoCash。

为了抽走GenesisRewardsPool资金池的资金，EOA0x...9113创建了一个假的路由器合约，并将这个地址更新为GenesisRewardsPool资金池内的SwapHelper。

虽然这会带来私钥泄露的嫌疑，但它也意味着，需要多签钱包四个所有者中的三个得到确认。即:任何外部黑客都必须在任何资金被盗之前破坏三个外部地址。虽然这不是完全不可能，但是概率很小。

当检查0x8EBd0所有者EOA时，我们可以看到EOA0x11a9b和0xe1c37没有交易历史。一个钱包是奖池创建者，另一个钱包最初由Binance资助。

链上分析

①该事件是从0x4481A创建了一个未经验证的假路由器合约开始。

②然后GenesisRewardPool被用来更新SwapHelper，将路由器地址改为第一步创建的假地址。这个setRouter更新需要多签钱包0x8ebd的四个所有者中三个所有者的批准。

对setRouter的更新进行多签批准

③0x4481A调用了假的路由器合约，并调用0x3c6455ac函数用以更新_swapExactTokenForTokens和_USDC两个参数，其中第一个参数被设置为0x957D，第二个留了空白。

④0x4481A两次调用OpenTrade，用于借入资金，一次用于Pool0(WETH)，另一次用于Pool1(USDC)。两次OpenTrade调用，总共向0x957D转移了477枚WETH和1,061,759枚USDC。

对于Pool0，OpenTrade的调用触发了477枚WETH转移到HopeTradingHelper。此时，WETH会被正常的发送到swap地址并转换为USDC。

另外一边，在对0x1994函数反编译后，我们可以看到变量`v9`被赋值为`address(varg2)`，也就是交换`path`中的第一个token，即WETH。同时变量`v2`被赋值为预先设定的接收地址，即0x957D。而`v17`被赋值为`TradingHelper`地址，该地址存储了所有的WETH。

下图的一行代码，仍然是在_swapExactTokensForTokens函数中，将'v56'地址的477WETH从msg.sender的v17转移到了接收地址0x957D。

⑤两次OpenTrade调用，总共向0x957D转移了477枚WETH和1,061,759枚USDC。这些资金通过CelrBridge桥接到以太坊，并转换为总共1,095个ETH，然后被发送到TornadoCash。

警惕！内鬼交易！

如今，很多项目都是内部人员作案，甚至自导自演声称自己是受害者。CertiK过去曾发布文章报道过这一风险，我们有许多工具可供希望提高安全性和保护项目不受内部不良分子影响的Web3.0项目使用。

标签：SCORPOOETHPOOLSCORGI价格CPOOeth在中国合法吗Spool DAO

ADA热门资讯