最近,DeFi流动性挖矿火热,各类项目层出不穷,蔬菜、水果、动植物等各种名字都不够用了。“古典老韭菜”也陆续入场。
DeFi热潮最后会以何种方式谢幕,其中之一便是代码不行,引来黑客攻击,或项目方留了后门,最终导致币价暴跌。
没想到这么快就有了实例。上周,EOS上的DeFi挖矿项目EMD跑路,并留下放肆宣言,可没想到最后项目方又“认怂”,归还了部分被盗资产。
联想到今年年初DForce事件黑客同样归还资金,以及近期Sushiswap创始人套现后归还资产,不少人感叹:这届黑客和项目不行,跑路都不硬气。
实际上,黑客或项目方还钱,并非良心发现,而是现实压力所逼。
事件回顾:IP地址暴露导致身份泄露
9月9日,慢雾安全团队发布提醒称,EOSDeFi挖矿EMD疑似跑路,并卷走了转移了78万USDT、49万EOS、5.6万DFS。
加密投资机构BitLucky董事与联创疑似跑路,逾7500万美元客户资金受损:5月21日消息,克罗地亚加密货币投资机构BitLucky董事Luka Burazer在5月19日发给客户的一封电子邮件中表示:“由于一系列糟糕的交易和决策,公司现在面临危机。我们将在接下来的几天里提供更多信息”。但之后,他和公司联合创始人便彻底失联并删除了社交媒体。该公司的一位秘书在电话中解释道,“董事花光了所有的钱”。据称,这些损失涉及名义上价值7000万欧元(约7570万美元)的加密资产,受影响用户至少达700人。据悉,BitLucky称将把客户的钱投资于加密货币,并承诺每月盈利5%-25%。[2023/5/21 15:16:32]
项目方还嚣张地给受害者留言:经过社区投票,你被冻结了。EOS就是可以这么为所欲为。回头是岸吧,送外卖才能获得快乐。
不死心的受害者们,还是给黑客地址留言,希望能归还被盗代币。但无论是威逼,还是利诱,通通不好使,跑路的黑客始终无动于衷。????
BitKeep钱包:疑似跑路TRX项目企鹅Penguin私自挪用用户资产已追查到相关证据:据官方消息,基于TRX波场生态系统下的DEFI项目Penguin企鹅,9月29日晚私自转移大量用户质押LP代币约50万USDT在Justswap变现,随后部分资产转移币安。大量企鹅受害者表示已报警,同时,BitKeep钱包表示:“目前已锁定项目方IP、币安账户、移动设备、资金流向及关联地址在OKEx上的提币记录等信息。”[2020/9/30]
此时,TokenPocket钱包站出来发声,称掌握了黑客曾经的IP地址。由于跑路的EMD项目曾使用过TokenPocket钱包,因此留下了IP地址以及移动设备等信息,并被TokenPocket定位到。再加上受害者开始报警,进行追查,黑客慌了。
云算力平台Miningzoo疑跑路,所有矿场数据已归零:云算力平台Miningzoo疑似跑路。该平台伪造大量信息,包括伪造获得知名VC策源创投投资的信息。截止到7月6日,仍然大量投资者无法提取在平台投资云算力获得的加密货币,一些投资者准备报案处理。目前Miningzoo官网所有矿场数据均已归零。(吴说区块链)[2020/7/6]
9月11日下午,EMD项目方在转账备注中表示,愿意归还被盗资产,但是必须停止现在所做的一切活动,否则将销毁私钥。随后归还了26万余枚EOS及5.6万枚DFS,但并未全部归还被盗资产。
TokenPocket方面猜测,团伙已经分钱,团队里有人退回被盗资产,有人没有,因此目前受害者仍然没有消案,也在继续追查;并且,TokenPocket已和进行交涉并提交了黑客相关材料,具体细节不便公布。
声音 | Bitfinex电子邮件回应用户:有信心为解冻资金提供有说服力的证据,不会“跑路”:Bitfinex用户今日收到一封来自交易所的电子邮件,在这封邮件中,该交易所再次向用户保证了他们的财务状况,在官方回应中,他们表示“财务状况良好”。reddit用户GooseG17将这封邮件公布出来,部分内容如下:“亲爱的Bitfinex交易员,到目前为止,你可能已经知道了过去48小时发生的事情,但我想亲自告诉你发生了什么,以及我们的业务进展如何。4月24日星期三,纽约总检察长办公室向位于曼哈顿的纽约州最高法院提交了一份有关Bitfinex和Tether的请愿书和相关文件。我们相信,这份请愿书是基于纽约总检察长办公室从我们和其他渠道收到的信息和材料。事实上,就在昨天之前,我们一直在全力配合纽约当局对我们业务的调查。请愿书和其他材料是在没有通知我们或机会回应的情况下提交的。我们认为,不构成民事或刑事指控的材料充满了不准确和错误的主张。我们特别要向你保证,关于我们“损失”8.5亿美元等指控是绝对错误的。我我们正在积极努力行使我们的权利和补救措施,以解冻这些资金。我们有信心能够为收回这些资金提出明确,连贯和有说服力的论据。请放心,我们将对纽约总检察长办公室在其文件中所作的虚假断言提出有力的质疑。我们在此向您保证,我们一如既往地坚强,我们不会去任何地方。”[2019/4/27]
从EMD事件可以看出,项目方因为身份信息暴露,担心遭受法律制裁,最终还款。
无独有偶,今年4月19日,dForce的去中心化借贷协议Lendf.Me遭到黑客攻击,价值约2500万美金的加密数字资产被盗。案件发生后,dForce团队曾表达了想与黑客协商沟通的意愿,但遭到无视,dForce遂向新加坡报案。
案件最终得到解决,同样是因黑客在去中心化交易所1inch上泄漏了自己的IP地址。1inch配合新加坡以及dForce团队向黑客施压,迫使其归还赃款。
除了上述两个案例,近期流动性挖矿项目SushiSwap创始人ChefNomi也因为承受不住压力,最终将自己套现的ETH归还社区。
ChefNomi的压力主要来自于两方面:
一是其真实身份可能被曝光。曾有猜测说,ChefNomi可能是Band联合创始人SorawitSuriyakarn,不过遭到后者否认;另外,另一位疑似SushiSwap团队的推特用户「0xMaki」曾发文表示,要曝光所有事情,包括ChefNomi身份。
二是来自法律的压力。由于ChefNomi套现导致SUSHI大幅下跌,投资者损失惨重,选择维权。福布斯刊文称,多名SUSHI持有者对ChefNomi发起了集体诉讼。虽然ChefNomi一直保持匿名,但随着FBI和IRS的介入,在Twitter上留下IP地址的ChefNomi势必难逃。
综上所述,如果不是走头无路,害怕真实身份被曝光,这些黑客以及跑路的项目方,根本不会对受害者报以任何同情,也不会归还自己的「成果」。?
黑客能逃掉吗?
上述三个案例,其实都有一个共同点,即留下IP或者相关证据,能够直接与其实体相对应。
虽然钱被追回来了,但大家不应该抱有侥幸心理。因为,这些黑客,只是没有经验的入门选手。
“他应该是一名优秀的程序员,但却是没有经验的黑客。“?1inch创始人SergejKunz表示。
顶级黑客会怎么做?
首先,黑客访问某个网址,并不会使用我们常见的、会留下IP地址的浏览器。他们会使用代理服务器来满足匿名需求,避免被追踪。洋葱路由器是所有工具中级别最高的,也是最常见的选择。
在盗窃成功后,黑客也不会直接把币转至大型交易所,因为这些交易所的反措施相对比较完善,已标记过大量地址,很容易追查至实体账户。
因此,黑客要做的就是“”。一般有几种操作:
一是将被标记黑客账户资金打散至多个小账户,多次转移,最终汇聚到一个个不需要KYC认证的小交易所变现。
二是将赃款通过混币平台进行洗白。这类平台不仅支持Tor访问,而且向用户承诺没有操作日志,不会记录用户交易数据。
最终,赃款经过多次重洗,流入黑客自己的账户,无论是还是第三方公司,都很难追查。
来自慢雾的数据显示,过去十来年,加密市场已经发生了289起黑客攻击事件,共造成损失130.395亿美元。但回顾这些攻击事件,破案者寥寥可数,这也是黑客一直猖獗的原因。
如何防范?
虽然黑客横行,但并不意味着我们无能为力,任人宰割。投资者可以从以下方面进行防范:
一是选择有安全审计公司审计过的项目。慢雾安全团队提醒,投资者在参与EOSDeFi项目时应注意相关风险,要注意项目方权限是否为多签,由于EOS本身的特性,非多签的EOS合约账号可转移合约内的资金。
二是出现被盗后,不要再次向黑客转账,第一时间报警,警察会联系相关单位进行配合调查,尽可能减少损失。
最后,祝大家远离黑客,早日财务自由。
标签:DEFUSHKENKETDay Of DefeatUSHIBA价格fcntokentokenpocket怎么充值bnb
Tether的“美元储备”老问题再遭点名,不过这次,纽约总检察长办公室还要求Tether和Bitfinex立即提交文件,详细说明两家公司进行的信贷额度及公司关系相关信息.
注:原文作者是以太坊联合创始人VitalikButerin。特别感谢KarlFloersch和JinglanWang的反馈和评论 另请参见: 论合谋; 关于协调问题的工程安全; 信任模型; 去中.
9月25日,巴比特与未来科技城管委会正式达成合作,成立中国未来区块链创新中心,全球招商工作即日启动.
以太坊交易的平均成本已降至49天以来的最低点,标志着超高交易成本的终结。根据BitInfoCharts的数据,昨天,以太坊的平均交易费用为2.248美元,创下了自8月9日以来的最低点.
一、 大家好,我是Joie,波卡doter社区的联合发起人,波卡生态网站doter.io的创始人。今天分享我关于波卡的一些看法以及波卡生态的投资策略.
传奇交易员SamBankman-Fried带领的AlamedaResearch和FTX大军成为DeFi世界不容忽视的力量。 撰文: 小毛哥 波澜壮阔,日行千里.