2月21日,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上HopeFinance项目发生RugPull,也就是我们通常所说的“拉地毯似局”。
Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。?
LSD协议unshETH的合约部署私钥被泄露,已紧急暂停提款并联系黑客:6月1日消息,LSD协议unshETH发推表示,5月31日22:00左右,unshETH合约的其中一个部署私钥被泄露。出于谨慎起见,官方紧急暂停了unshETHETH的提款,根据我们的安全模型,unshETHETH存款(TVL达3500万美元)由多重签名+时间锁保护,并不处于风险之中。
此外一些附属协议合约(农场、跨链桥等)已经受到了攻击,正在与来自Coinbase、Stargate、Paladin Blockchain Security、Github以及ogle等白帽安全专家合作,以确保用户资金的安全,并预计影响范围将受到限制。同时官方已经联系黑客,试图协商返还资金和合约所有权,以限制对现有用户的影响。
金色财经此前报道,据多位KOL发推表示,LSDFi项目unshETH的金库出现安全问题,提醒用户将资金转出。原因系合约Owner被篡改,已通知项目官方,但官方尚未做出回复。[2023/6/1 11:51:47]
攻击交易1:
BitKeep敦促黑客及模仿套利者24小时内归还盗取资金:10月29日消息,Web3多链钱包BitKeep通过链上消息对此前攻击BitKeep Swap的黑客喊话,敦促黑客及模仿套利者在24小时内进行回应并归还盗取的资金。BitKeep称,在安全机构和业务合作伙伴的支持下,已掌握黑客的关键身份信息。
10月27日,BitKeep曾发布公开信,要求黑客及模仿套利者进行协商归还盗取的资金,并提供被盗资金的5%作为漏洞赏金/退款奖励,否则将协助并联合受影响的用户诉诸法律手段。此外,BitKeep表示目前已完成99%的赔付工作。[2022/10/29 11:55:55]
0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb
Easyfi遭受黑客攻击,被盗600万美元稳定币以及298万个EASY代币:Easyfi.network创始人兼CEO Ankitt Gaur在推特上表示:“4月19日,我们的团队成员向我报告称,有大量EASY代币从EasyFi官方钱包大量转移到以太坊网络和Polygon网络上未知钱包。 这些交易很快引起我注意,因为管理这些代币的计算机至少一周未使用且完全离线,因此可能有人攻击了管理密钥或助记词。我迅速响应事件,采取了所有必要的预防措施和行动以减少损失。最终,黑客成功获取了管理员密钥,并从协议池中以USD / DAI / USDT形式转移了600万美元的现有流动资金,并将298万个EASY代币转移到了黑客自己的钱包中,地址:0x83a2EB63B6Cc296529468Afa85DbDe4A469d8B37。”[2021/4/20 20:38:56]
攻击交易2:
分析 | 美国电信运营商Verizon安全报告:黑客更倾向于使用加密货币进行资金转移:美国电信运营商Verizon最近公布了一份数据泄露调查报告(DBIR),报告显示,2019年国家支持的黑客攻击事件有所增加,黑客攻击占据了数据泄露事件的23%。该报告同时表明,因为可以以相对较低的成本对资金进行清洗和转移,而风险可以忽略不计,所以黑客往往更倾向于使用比特币或其他加密货币清洗被盗资金或要求支付赎金。[2019/5/9]
0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)
攻击交易3:
0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)
动态 | GitHub遭黑客攻击:窃取数百源码并勒索比特币:据IT之家消息,日前,一名黑客入侵GitHub 392个代码存储库,删除所有源代码和最近提交的内容,并留下支持0.1比特币(约人民币3838元)的赎金票据。黑客声称所有源代码都已经下载并备份在他们的一台服务器上,如果十天内受害者未支付赎金,他们就将公开代码。 根据GitHub上的搜索数据显示,一共有392名用户受到攻击。对此,GitHub在一份声明中回应:“目前,我们正在与受影响的用户联系,以保护和恢复他们的帐户。”[2019/5/5]
在昨天的时候,BeosinTrace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。
Beosin也在第一时间提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。
有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。
该帖子声称黑客是一名名叫UgwokePascalChukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。
紧接着,有推特用户分享了地图里搜索出来的地址,直接开启“人肉”模式。
据公开资料,HopeFinance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,HopeFinance的智能合约代码已“成功通过审计”,“没有提出警告”。
这也提醒我们,找正规安全审计公司的重要性。
根据Beosin2022年的年报数据,去年2022年共发生Rugpull事件超过243起,总涉及金额达到了4.25亿美元。
243起rugpull事件中,涉及金额在千万美元以上的共8个项目。210个项目跑路金额集中在几千至几十万美元区间。
而Beosin也总结出Rugpull事件具有以下特点:
1.Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。
2多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。
3.社交媒体信息欠缺。至少有一半的rugpull项目没有完善的官网、推特账号、电报/Discord群组。
4项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。
5.蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。
也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。