SIN:黑客被項目方直接“人肉”？Arbitrum鏈上Hope項目發生180萬美元Rug Pull簡析_J9CASINO

2月21日，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Arbitrum鏈上Hope Finance項目發生Rug Pull，也就是我們通常所說的“拉地毯似騙局”。

Beosin安全團隊分析發現攻擊者(0xdfcb)利用多簽錢包(0x1fc2)執行了修改TradingHelper合約的router地址的交易，從而使GenesisRewardPool合約在使用openTrade函數進行借貸時，調用TradingHelper合約SwapWETH函數進行swap后并不會通過原本的sushiswap的router進行swap操作，而是直接將轉入的代幣發送給攻擊者(0x957d)從而獲利。攻擊者共兩次提取約180萬美金。 

Flashbots產品負責人Bert Miller：“0xbaDc0dE”開頭地址在單筆交易中賺了 800 ETH，但一小時后被黑客盜走損失1,100 ETH:金色財經報道，據研究機構 Flashbots 產品負責人 Bert Miller 在社交媒體發文稱，一個“0xbaDc0dE”開頭地址的 MEV Bot 機器人操作員在單筆交易中賺了 800 ETH，但一小時后損失了高達 1,100 ETH，該地址在過去幾個月中執行了 220,000 筆交易。Bert Miller 解釋說，“0xbaDc0dE” 利用了一位試圖在 Uniswap v2 上出售價值 180 萬美元 cUSDC 的用戶，通過將交易與涉及許多不同 DeFi dApp 精心套利交易賺了 800 ETH（102 萬美元），而那位不幸的賣家從該交易中只收到了 500 美元。但僅僅一個小時后，“0xbaDc0dE” 所有 ETH 都被盜了，一名黑客從該錢包中獲取 1,101 ETH（約合 140 萬美元），區塊鏈安全公司 PeckShield 也發現了這筆交易并發布了與黑客相關的鏈上信息。[2022/9/29 22:38:56]

攻擊交易1：

FBI調查黑客攻擊推特：黑客并未破壞推特系統，而是買通了一名推特員工:金色財經報道，7月17日，據媒體報道，FBI（美國聯邦調查局）開始對近日發生的推特遭黑客攻擊事件展開調查。據悉，7月15日，推特遭大規模黑客入侵，多位名人政要和官方賬號受影響。包括奧巴馬、拜登、馬斯克、貝佐斯、巴菲特、蘋果官方在內的一大批賬號全部遭黑，這也是推特近年來遭遇最大規模的的黑客攻擊。被入侵的賬號全部都發布了類似的推文：給出一個詐騙鏈接，要求通過比特幣捐款，而且給1000，返2000。“我在回饋社區。所有寄往以下地址的比特幣將加倍退回！只要30分鐘。”此次攻擊由一群身份不明的黑客控制推特公司內部工具來劫持相關帳戶。黑客獲得重置這些帳戶綁定電子郵箱地址的權限，然后在其帳戶上發布加密貨幣詐騙推文。

在FBI給媒體的聲明中稱，黑客盜用這些賬戶的目的是持續化地進行加密貨幣詐騙。FBI表示，此次黑客攻擊事件及其暴露出的推特系統漏洞，可能會給用戶帶來嚴重的安全風險。此外，有美國媒體報道，黑客并未破壞任何推特系統，而是買通了一名推特員工。推特稱正在保持與FBI的溝通，并將完全配合FBI關于該事件的調查。[2020/7/17]

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb（修改router合約的攻擊交易）

1inch.exchange回應黑客信息“泄露”：系回應要求，我們根據法規要求保護用戶數據:此前DEX聚合器1inch.exchange首席執行官Sergej Kunz在接受Cointelegraph采訪時表示，近期攻擊Lendf.Me的黑客在交易時無意中泄露了有關個人信息的重要元數據，包括其三項交易請求都來自一個中國IP地址。對此，Defi Pulse聯合創始人Scott Lewis在推特上評論稱，不要就你用戶的私人數據接受Cointelegraph記者的采訪。如果你把用戶的隱私看得那么輕，誰知道你還會怎么處理他們的信息呢？DEX聚合器1inch.exchange轉發此推文并回應道，我們認為這是DEX.AG針對1inch的公然攻擊。鑒于dForce因黑客入侵損失2500萬美元，我們響應了新加坡的要求。我們在根據法規要求保護用戶數據。據悉，DEX.AG同為DEX聚合器，Scott Lewis亦參與了該項目。注：攻擊Lendf.Me的黑客曾通過1inch.exchange、ParaSwap、Tokenlon等DEX平臺將盜取的幣兌換成ETH及其他代幣。鏈上數據顯示，黑客正在向Lendf.Me地址歸還大量代幣，被盜資產幾乎已全部追回。[2020/4/21]

攻擊交易2：

分析 | 美國電信運營商Verizon安全報告：黑客更傾向于使用加密貨幣進行資金轉移:美國電信運營商Verizon最近公布了一份數據泄露調查報告（DBIR），報告顯示，2019年國家支持的黑客攻擊事件有所增加，黑客攻擊占據了數據泄露事件的23％。該報告同時表明，因為可以以相對較低的成本對資金進行清洗和轉移，而風險可以忽略不計，所以黑客往往更傾向于使用比特幣或其他加密貨幣清洗被盜資金或要求支付贖金。[2019/5/9]

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

攻擊交易3：

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

在昨天的時候，Beosin Trace追蹤發現攻擊者已將資金轉入跨鏈合約至以太鏈，最終資金都已進入tornado.cash。

Beosin也在第一時間提醒用戶：請勿在0x1FC2..E56c合約進行抵押操作，建議取消所有與該項目方相關的授權。

有趣的一點是，項目方似乎知道是誰的，直接放出攻擊者的信息。

該帖子聲稱黑客是一名名叫Ugwoke Pascal Chukwuebuka的尼日利亞人。尼日利亞國民參與該項目的情況尚不清楚，但他的實際身份受到社區成員的質疑。

緊接著，有推特用戶分享了地圖里搜索出來的地址，直接開啟“人肉”模式。

據公開資料，Hope Finance的智能合約由一家不出名的機構審計。盡管標記了一些小漏洞，但該平臺得出的結論是，Hope Finance的智能合約代碼已“成功通過審計”，“沒有提出警告”。

這也提醒我們，找正規安全審計公司的重要性。

根據Beosin2022年的年報數據，去年2022年共發生Rug pull事件超過243起，總涉及金額達到了4.25億美元（FTX事件暫不計入）。

243起rug pull事件中，涉及金額在千萬美元以上的共8個項目。210個項目（約86.4%）跑路金額集中在幾千至幾十萬美元區間。

而Beosin也總結出Rug pull事件具有以下特點：

1. Rug周期時間短。大部分項目在上線后3個月內就跑路，因此大部分資金量集中在幾千至幾十萬美元區間。

2 多數項目未經審計。有些項目的代碼里暗藏后門函數，對于普通投資者而言，很難評估項目的安全性。

3. 社交媒體信息欠缺。至少有一半的rug pull項目沒有完善的官網、推特賬號、電報/Discord群組。

4 項目不規范。有些項目雖然也有官網和白皮書，但仔細一看有不少拼寫和語法錯誤，有些甚至是大段抄襲。

5. 蹭熱點項目增多。去年出現了各類蹭熱點幣種跑路事件，如Moonbird、LUNAv2、Elizabeth、TRUMP等，通常及其快速地上線又火速卷款而逃。

也因此，項目方和用戶都需要做好安全防護。部分項目開發匆忙、未經審計就上線很容易遭受攻擊。此外，除了合約安全、私鑰/錢包安全，團隊運營安全等還需要重視，有一個薄弱的領域都可能讓項目方造成巨大損失。

Beosin

企業專欄

閱讀更多

金色早8點

金色財經

Odaily星球日報

歐科云鏈

Arcane Labs

深潮TechFlow

MarsBit

澎湃新聞

BTCStudy

鏈得得

Tags：ETHSINEOSDEXtogetherbnb全部攻略J9CASINOEOSADDMaladex

狗狗幣最新價格