SIN:黑客被项目方直接“人肉”？Arbitrum链上Hope项目发生180万美元Rug Pull简析_RUG

2月21日，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，Arbitrum链上HopeFinance项目发生RugPull，也就是我们通常所说的“拉地毯似局”。

Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易，从而使GenesisRewardPool合约在使用openTrade函数进行借贷时，调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作，而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。?

报告：与2021年相比，2022年加密领域因黑客攻击损失减少61%:金色财经报道，根据SlowMist的一份报告，2022年加密领域因303起与区块链相关的安全事件损失了37.8亿美元，比2021年记录的98亿美元减少了61%。尽管自2020年以来黑客事件的数量一直在稳步增长，但这些攻击造成的总损失在2022年最少。2020年发生了123起黑客事件，损失43.1亿美元，比2022年的37.8亿美元增长了13.9%。

数字显示，这些黑客事件大多发生在DeFi、跨链桥和NFT生态系统中。全年，225起黑客事件袭击了DeFi、跨链桥和NFT生态，这占所有黑客攻击的84%以上。加密钱包以11起黑客攻击排名第二，而交易所以10起黑客攻击事件排名第三。[2023/1/10 11:03:15]

攻击交易1：

Harmony将黑客赏金提升至1000万美元，并联合执法部门进行全球追查:6月30日消息，Harmony官方推特表示，Harmony 已经开始联合执法部门和所有交易所对黑客进行全球追查，与此同时，Harmony 将黑客赏金提升至 1000 万美元，并表示最后沟通期限为世界标准时间7月4日23:00（北京时间7月5日7:00）。[2022/6/30 1:41:03]

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb

攻击交易2：

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

加密投资基金遭遇黑客攻击 26.6万名用户数据被泄露:一家加密投资基金Trident Crypto Fund遭遇重大数据泄露，这是加密货币领域遭遇的最新一起隐私泄露事件。网络安全公司DeviceLock的首席技术官Ashot Oganesyan表示，在该基金注册的约26.6万人的个人数据在该事件发生后被发布在多个文件共享网站上。Oganesyan说，被盗的数据库包括电子邮件地址、手机号码、加密密码和IP地址，在2月20日发布在网上，同时还公布了网站的漏洞描述，这使得这次攻击成为可能。他补充说，3月3日，不知名的黑客解密并公布了12万个加密的数据集。该俄罗斯媒体联系了数据库中的一位用户，他证实自己与Trident Crypto Fund有关联，不过他只注册了该公司主办的一个研讨会，没有投资。该基金没有在网站上列出其团队成员，也没有在LinkedIn上露面。目前还不清楚该基金的注册地或具体位置。（Coindesk）[2020/3/5]

攻击交易3：

Coincheck黑客事件已经约有半数被洗:Coincheck黑客事件之后，被盗总数约580亿日元的NEM目前已约有半数以上被交换成为其他加密货币。2月7日，监视盗窃嫌疑人账户的白色黑客Cheena注意到，有少量NEM被汇向其他的不特定账户，同时发现嫌疑人在暗网（dark web）开设了自己的交易所，并以低于市场价15%的价格来吸引顾客购买。但是结算时用的加密货币不仅仅是NEM，也包括了比特币以及其他加密货币，清晰显示了这是“”行为。白色黑客表示尽管追踪很困难，但还是会坚持下去。[2018/3/19]

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

在昨天的时候，BeosinTrace追踪发现攻击者已将资金转入跨链合约至以太链，最终资金都已进入tornado.cash。

Beosin也在第一时间提醒用户：请勿在0x1FC2..E56c合约进行抵押操作，建议取消所有与该项目方相关的授权。

有趣的一点是，项目方似乎知道是谁的，直接放出攻击者的信息。

该帖子声称黑客是一名名叫UgwokePascalChukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚，但他的实际身份受到社区成员的质疑。

紧接着，有推特用户分享了地图里搜索出来的地址，直接开启“人肉”模式。

据公开资料，HopeFinance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞，但该平台得出的结论是，HopeFinance的智能合约代码已“成功通过审计”，“没有提出警告”。

这也提醒我们，找正规安全审计公司的重要性。

根据Beosin2022年的年报数据，去年2022年共发生Rugpull事件超过243起，总涉及金额达到了4.25亿美元。

243起rugpull事件中，涉及金额在千万美元以上的共8个项目。210个项目跑路金额集中在几千至几十万美元区间。

而Beosin也总结出Rugpull事件具有以下特点：

1.Rug周期时间短。大部分项目在上线后3个月内就跑路，因此大部分资金量集中在几千至几十万美元区间。

2多数项目未经审计。有些项目的代码里暗藏后门函数，对于普通投资者而言，很难评估项目的安全性。

3.社交媒体信息欠缺。至少有一半的rugpull项目没有完善的官网、推特账号、电报/Discord群组。

4项目不规范。有些项目虽然也有官网和白皮书，但仔细一看有不少拼写和语法错误，有些甚至是大段抄袭。

5.蹭热点项目增多。去年出现了各类蹭热点币种跑路事件，如Moonbird、LUNAv2、Elizabeth、TRUMP等，通常及其快速地上线又火速卷款而逃。

也因此，项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外，除了合约安全、私钥/钱包安全，团队运营安全等还需要重视，有一个薄弱的领域都可能让项目方造成巨大损失。

标签：SINEOSRUGPULSINU币EOSKINGDOMTotally A Rug PullPulseCrypt

比特币价格实时行情热门资讯