2月21日,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上HopeFinance项目发生RugPull,也就是我们通常所说的“拉地毯似局”。
Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。?
报告:与2021年相比,2022年加密领域因黑客攻击损失减少61%:金色财经报道,根据SlowMist的一份报告,2022年加密领域因303起与区块链相关的安全事件损失了37.8亿美元,比2021年记录的98亿美元减少了61%。尽管自2020年以来黑客事件的数量一直在稳步增长,但这些攻击造成的总损失在2022年最少。2020年发生了123起黑客事件,损失43.1亿美元,比2022年的37.8亿美元增长了13.9%。
数字显示,这些黑客事件大多发生在DeFi、跨链桥和NFT生态系统中。全年,225起黑客事件袭击了DeFi、跨链桥和NFT生态,这占所有黑客攻击的84%以上。加密钱包以11起黑客攻击排名第二,而交易所以10起黑客攻击事件排名第三。[2023/1/10 11:03:15]
攻击交易1:
Harmony将黑客赏金提升至1000万美元,并联合执法部门进行全球追查:6月30日消息,Harmony官方推特表示,Harmony 已经开始联合执法部门和所有交易所对黑客进行全球追查,与此同时,Harmony 将黑客赏金提升至 1000 万美元,并表示最后沟通期限为世界标准时间7月4日23:00(北京时间7月5日7:00)。[2022/6/30 1:41:03]
0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb
攻击交易2:
0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)
加密投资基金遭遇黑客攻击 26.6万名用户数据被泄露:一家加密投资基金Trident Crypto Fund遭遇重大数据泄露,这是加密货币领域遭遇的最新一起隐私泄露事件。网络安全公司DeviceLock的首席技术官Ashot Oganesyan表示,在该基金注册的约26.6万人的个人数据在该事件发生后被发布在多个文件共享网站上。Oganesyan说,被盗的数据库包括电子邮件地址、手机号码、加密密码和IP地址,在2月20日发布在网上,同时还公布了网站的漏洞描述,这使得这次攻击成为可能。他补充说,3月3日,不知名的黑客解密并公布了12万个加密的数据集。该俄罗斯媒体联系了数据库中的一位用户,他证实自己与Trident Crypto Fund有关联,不过他只注册了该公司主办的一个研讨会,没有投资。该基金没有在网站上列出其团队成员,也没有在LinkedIn上露面。目前还不清楚该基金的注册地或具体位置。(Coindesk)[2020/3/5]
攻击交易3:
Coincheck黑客事件已经约有半数被洗:Coincheck黑客事件之后,被盗总数约580亿日元的NEM目前已约有半数以上被交换成为其他加密货币。2月7日,监视盗窃嫌疑人账户的白色黑客Cheena注意到,有少量NEM被汇向其他的不特定账户,同时发现嫌疑人在暗网(dark web)开设了自己的交易所,并以低于市场价15%的价格来吸引顾客购买。但是结算时用的加密货币不仅仅是NEM,也包括了比特币以及其他加密货币,清晰显示了这是“”行为。白色黑客表示尽管追踪很困难,但还是会坚持下去。[2018/3/19]
0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)
在昨天的时候,BeosinTrace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。
Beosin也在第一时间提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。
有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。
该帖子声称黑客是一名名叫UgwokePascalChukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。
紧接着,有推特用户分享了地图里搜索出来的地址,直接开启“人肉”模式。
据公开资料,HopeFinance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,HopeFinance的智能合约代码已“成功通过审计”,“没有提出警告”。
这也提醒我们,找正规安全审计公司的重要性。
根据Beosin2022年的年报数据,去年2022年共发生Rugpull事件超过243起,总涉及金额达到了4.25亿美元。
243起rugpull事件中,涉及金额在千万美元以上的共8个项目。210个项目跑路金额集中在几千至几十万美元区间。
而Beosin也总结出Rugpull事件具有以下特点:
1.Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。
2多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。
3.社交媒体信息欠缺。至少有一半的rugpull项目没有完善的官网、推特账号、电报/Discord群组。
4项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。
5.蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。
也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。
一个月市值翻倍,GainsNetwork凭什么单日营收打败GMX?Gains.Network发布的gTrade是一个基于Polygon的去中心化永续合约交易所.
2022年11月30日,OpenAI研发的聊天机器人程序ChatGPT发布。在中国用户无法访问的前提下,推出仅仅5天就获得了100万用户.
DePIN指的是去中心化物理基础设施网络,该网络需要通过代币激励来进行维护和运营。在DePIN系统中,个人和组织可以通过维护和改进基础设施来贡献劳动力、材料或其他资源来赚取代币,而这些代币可以用.
引言 罪是一个很有意思的罪名,作为一个自古以来就存在的一个传统罪名。你说他规定的很完善吧,《刑法》就一句“公私财物”的要处罚;你说他规定的不完善吧,相关司法解释又有一堆来列举各种情形该怎.
原文作者:Cam 原文编译:saku,SeeDAO摘要:本文分类并详细介绍了zeeprime投资组合中的web3中间件们,其分类包括:存储/数据,数据模型和有效性,索引器,访问控制,和集成平台.
作者:Jiawei,IOSGVentures本文为IOSG原创内容,仅做行业学习交流之用,不构成任何投资参考。如需引用,请注明来源,转载请联系IOSG团队获取授权及转载须知.