比特币:黑客被项目方直接“人肉”？Arbitrum链上Hope项目发生180万美元Rug Pull简析_band币前景

2月21日，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Arbitrum链上Hope Finance项目发生Rug Pull，也就是我们通常所说的“拉地毯似局”。

Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易，从而使GenesisRewardPool合约在使用openTrade函数进行借贷时，调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作，而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。 

Poly Network白帽黑客发公开信公布私钥:8月23日消息，PolyNetwork攻击事件黑客在今日下午通过链上转账留言，交出了3/4的多签钱包秘钥，并表示这是好的结局。该黑客自称为Poly Network的首席安全顾问，表示：我的行动是深思熟虑后的决定，我想让这件事情变得完美而永恒，包括今天公布的最后的私钥。然而，有一点是美中不足的：在整个谈判过程中，我唯一的请求，也是没有立刻退款的唯一动机，就是为了解锁被冻结的USDT。在我看来，这次美好的历史事件被USDT冻结一事所玷污。如果我们利用非中心化的方式处理这部分被冻结的USDT，本可以成为一个利用智能合约在匿名对手间建立信任关系的完美案例。但这只是我个人的一厢情愿，由于交涉双方的沟通并不同步，这个愿望可能永远不会发生。可以说，把USDT作为原罪而扣留它其实是很公平的。

据此前报道，因为质疑Poly Network验证人权限过大，白帽黑客并未与Poly Network团队达成一致，未能移交私钥。[2021/8/23 22:31:43]

攻击交易1：

声音 | 赵长鹏回应网友：黑客攻击技巧很可能首先在币安尝试并被成功阻止:有推特网友转发关于Coinbase曾在5月成功阻止一次黑客攻击的推文并让币安“记笔记”。对此，赵长鹏回应称：记下了。每笔交易每天都伴随多次黑客攻击企图。FireFox的问题同样适用于所有交易所。您还可以非常肯定地说，如果有黑客攻击技巧在任何交易所上进行尝试，它很可能首先在币安进行并已经被阻止了。[2019/8/10]

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb（修改router合约的攻击交易）

攻击交易2：

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

动态 | Dice3D遭遇黑客攻击 损失大量EOS:据IMEOS报道，根据Dice3D官方消息，Dice3D于12月1日凌晨2点25分被攻击，攻击者rockrock1234利用事务状态回滚机制，使用多个帐号同时发送交易请求进行攻击，使得最后一个攻击账户获取高中奖率。目前黑客已将被盗的EOS转至火币。Dice3D官方决定自费拿出部分EOS给予玩家补偿。[2018/12/3]

攻击交易3：

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

Palo Alto防火墙发现了能将黑客钱包地址替换掉用户钱包地址的特洛伊木马:据bitcoinist消息，防火墙Palo Alto识别出一个通过剪切，复制和粘贴操作来锁定用户剪贴板上数据的恶意软件。据报道， 这是由于名为ComboJack的特洛伊木马，可以用黑客的钱包地址替换不知情的用户的钱包数据。该木马将自己嵌入到用户的系统中， Palo Alto能识别到其来源或许来自网络钓鱼或malspam电子邮件。然后ComboJack会经常检查系统剪贴板上复制的加密货币钱包信息。一旦确定了真正的钱包地址，该木马会将其替换成被假定属于攻击者的钱包地址。用户在进行加密货币交易，没有意识到粘贴了不正确的钱包地址，就会将资金发送给攻击者。[2018/4/3]

在昨天的时候，Beosin Trace追踪发现攻击者已将资金转入跨链合约至以太链，最终资金都已进入tornado.cash。

Beosin也在第一时间提醒用户：请勿在0x1FC2..E56c合约进行抵押操作，建议取消所有与该项目方相关的授权。

有趣的一点是，项目方似乎知道是谁的，直接放出攻击者的信息。

该帖子声称黑客是一名名叫Ugwoke Pascal Chukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚，但他的实际身份受到社区成员的质疑。

紧接着，有推特用户分享了地图里搜索出来的地址，直接开启“人肉”模式。

据公开资料，Hope Finance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞，但该平台得出的结论是，Hope Finance的智能合约代码已“成功通过审计”，“没有提出警告”。

这也提醒我们，找正规安全审计公司的重要性。

根据Beosin2022年的年报数据，去年2022年共发生Rug pull事件超过243起，总涉及金额达到了4.25亿美元（FTX事件暂不计入）。

243起rug pull事件中，涉及金额在千万美元以上的共8个项目。210个项目（约86.4%）跑路金额集中在几千至几十万美元区间。

而Beosin也总结出Rug pull事件具有以下特点：

1. Rug周期时间短。大部分项目在上线后3个月内就跑路，因此大部分资金量集中在几千至几十万美元区间。

2 多数项目未经审计。有些项目的代码里暗藏后门函数，对于普通投资者而言，很难评估项目的安全性。

3. 社交媒体信息欠缺。至少有一半的rug pull项目没有完善的官网、推特账号、电报/Discord群组。

4 项目不规范。有些项目虽然也有官网和白皮书，但仔细一看有不少拼写和语法错误，有些甚至是大段抄袭。

5. 蹭热点项目增多。去年出现了各类蹭热点币种跑路事件，如Moonbird、LUNAv2、Elizabeth、TRUMP等，通常及其快速地上线又火速卷款而逃。

也因此，项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外，除了合约安全、私钥/钱包安全，团队运营安全等还需要重视，有一个薄弱的领域都可能让项目方造成巨大损失。

Beosin

企业专栏

阅读更多

金色早8点

金色财经

Odaily星球日报

欧科云链

Arcane Labs

深潮TechFlow

MarsBit

澎湃新闻

BTCStudy

链得得

标签：比特币NFTBANORDI量子比特币qbtc币Seedify NFT Spaceband币前景primordialplanetcoin

以太坊价格热门资讯