区块见闻 区块见闻
Ctrl+D收藏区块见闻

RUG:黑客被项目方直接“人肉”?Arbitrum链上Hope项目发生180万美元Rug Pull简析_SIN

作者:

时间:

2月21日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上Hope Finance项目发生Rug Pull,也就是我们通常所说的“拉地毯似局”。

Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。 

Nickydooodles.eth遭黑客攻击,17枚ETH和Doodles等NFT藏品被窃:6月28日消息,据知名NFT创建人和沉浸式Web3项目Meta bergs创作者Nickydooodles.eth在社交媒体披露,其钱包遭到黑客攻击,损失了17枚ETH(约合21,077美元)和全部NFT藏品,包括Goblintown NFT、Doodles NFT、Sandbox Land等。据Nickydooodles.eth称,黑客使用了钓鱼攻击手段,之后还设法控制了他的个人Twitter帐户。[2022/6/28 1:35:30]

攻击交易1:

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb(修改router合约的攻击交易)

沙特阿美石油公司遭黑客攻击,赎金要求5000万美元并以加密货币支付:7月22日消息,沙特阿美石油公司是世界上最有价值的石油公司,在一次黑客袭击后信息被泄露。据美联社报道,有1TB的公司数据被非法访问。公司声明显示:沙特阿美最近发现,第三方承包商间接泄露了公司的数据。我们确认,数据的泄露不是由于我们的系统被攻破,对我们的运营没有影响,公司继续保持着强大的网络安全态势。美联社进一步报道称,黑客索要5000万美元作为删除数据的报酬,并要求以加密货币支付。[2021/7/22 1:08:59]

攻击交易2:

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

攻击交易3:

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

比特币组织CoroHope发起”生物黑客“活动 将自主研发冠状病疫苗:比特币组织CoroHope发起由比特币众筹资助的”生物黑客“活动,表示将自主研发冠状病疫苗,不需要学术界、制药公司和美国食品药品监督管理局(FDA)。该组织声称拥有一位生物学家,他在为FDA生产类似疫苗方面已有10年经验。(CoinDesk)[2020/3/12]

动态 | Augur发现重大漏洞 黑客可借此控制系统并获取用户信息:据Thenextweb消息,近日分布式预测市场平台Augur被曝发现重大漏洞,黑客可据此向用户发送虚假信息并控制系统。Augur应用程序上的所有内容,包括交易数据、钱包地址和市场行情,目前都处于被黑客篡改的风险下。据悉,用户一旦访问来自Augur的链接,其以太坊地址等关键信息将被黑客截取。[2018/8/8]

在昨天的时候,Beosin Trace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。

Beosin也在第一时间提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。

有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。

该帖子声称黑客是一名名叫Ugwoke Pascal Chukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。

紧接着,有推特用户分享了地图里搜索出来的地址,直接开启“人肉”模式。

据公开资料,Hope Finance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,Hope Finance的智能合约代码已“成功通过审计”,“没有提出警告”。

这也提醒我们,找正规安全审计公司的重要性。

根据Beosin2022年的年报数据,去年2022年共发生Rug pull事件超过243起,总涉及金额达到了4.25亿美元(FTX事件暂不计入)。

243起rug pull事件中,涉及金额在千万美元以上的共8个项目。210个项目(约86.4%)跑路金额集中在几千至几十万美元区间。

而Beosin也总结出Rug pull事件具有以下特点:

1. Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。

2 多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。

3. 社交媒体信息欠缺。至少有一半的rug pull项目没有完善的官网、推特账号、电报/Discord群组。

4 项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。

5. 蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。

也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。

Beosin

企业专栏

阅读更多

金色早8点

金色财经

Odaily星球日报

欧科云链

Arcane Labs

深潮TechFlow

MarsBit

澎湃新闻

BTCStudy

链得得

标签:ETHSINEOSRUGEtherum代币浏览器SIN价格LEOS币rug币圈

欧易交易所app下载热门资讯
ABS:进军 Web3 的传统国际品牌大盘点_NBA

2022 年是“Web3”和“元宇宙”的一年,人们开始疯狂使用这两个流行词汇。在营销人员口中,“拥有 Web3 策略”和“在元宇宙中占有一席之地”变得很流行。 甚至《时代》杂志也为之着迷:“进入元宇宙:下一个数字时代将改变一切”。 然而,“Web3”和“元宇宙”是两个独立的事物。

DEF:长推:加密货币圣杯——稳定币数据透视_国内最好的区块链公司

1/16 不可否认,稳定币是目前加密货币的杀手级用例,而且比其他任何应用都更快成为主流。不要光相信我的话,看看数据就知道了.

区块链:比特币复苏 新一轮牛市来临?_DEF

比特币价格在剧烈波动一个月之后,目前的价格保持在几大持有者群体的链上基础成本之上。这导致大部分 BTC 持有者处于未实现盈利状态,并暗示宏观市场趋势正在转变.

区块链:对话 Suji:Web3 用一个词来概括就是革命_SIN

有没有什么东西可以横亘周期,跨越牛熊,成为一个项目、一个人身上独特的印记?对于很多人来说,可能不是物理意义上的货币或者保值的产品,更是精神世界的价值冲击.

FLO:以太坊数据分析:上海升级将成为重头戏_metamask小狐狸

ETH当前的年通货膨胀率为-0.02%,自合并以来总供应量减少了9500多枚根据Ultrasound Money的数据,ETH年通货膨胀率在1月15日降至0以下.

ISD:技术分析:BTC和ETH已经进入下一个牛市?_MESSDOGE

现在 1 月份的数字资产反弹已经过去,我们可以研究它对长期技术指标的影响,以确定BTC和ETH下一步可能走向何方。一个月前,我们发布了一份报告,称比特币和以太坊市场触底.