NCE:黑客被项目方直接“人肉”?Arbitrum链上Hope项目发生180万美元Rug Pull简析

2月21日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上Hope Finance项目发生Rug Pull,也就是我们通常所说的“拉地毯似局”。

Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。 

黑客窃取500万美元AllianceBlock代币后,代币价格暴跌51%:金色财经报道,根据 AllianceBlock 周三发布的公告,黑客在去中心化借贷协议 Bonq 上窃取了价值约 500 万美元的 AllianceBlock (ALBT) 代币。在周三下午发生的袭击事件发生后,AllianceBlock 暂停了桥上的所有活动。在被攻击过程中,Polygon 钱包访问了 1.12 亿个 ALBT 代币,将它们从 Polygon 区块链桥接到以太坊区块链。黑客还通过倾销 Bonq Euro (BEUR) 代币获得了 500,000 USDC。该协议的团队以及 Bonq 的团队将向受影响的钱包地址铸造新的 ALBT 代币和空投代币。

公告中写道,“AllianceBlock 和 Bonq 团队,包括所有相关合作伙伴,现在正在消除流动性,并停止所有交易所交易。”AllianceBlock 表示,其智能合约在攻击期间均未遭到破坏或受损,但这并没有减轻投资者的担忧。根据 CoinMarketCap 的数据,该漏洞利用后 ALBT 代币的价格暴跌了约 51%。在黑客攻击期间,攻击者还铸造了 1 亿个 BEUR 代币,将其价格降至几乎为零。[2023/2/2 11:42:15]

攻击交易1:

黑客正在利用输入错误窃取加密货币:金色财经报道,一群黑客利用输入错误将恶意软件引入Android手机和基于Windows的PC中。根据 Cyble发布的一份报告,使用一种称为域名仿冒的技术,该技术包括注册与组织的官方品牌非常接近的域名,黑客正在从毫无戒心的用户那里获取数据和私钥。该木马于2021年首次被发现,现在针对 460多个应用程序,允许攻击者以每月5,000美元的价格租用其服务。

一位安全消息人士的进一步调查证实,至少有 27 个品牌和应用程序名称成为此类攻击的目标。其中包括 Tiktok、Snapchat、Paypal,Metamask、Phantom、Cosmos Wallet和Ethermine以及更多专注于开发的应用程序。[2022/10/25 16:38:20]

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb(修改router合约的攻击交易)

HECO Grant黑客马拉松落幕,99个项目获得超18万美金资助:5月31日, 由HECO和DoraHacks联合发起的HECO Grant黑客马拉松正式落幕, 来自中国、美国、新西兰、俄罗斯和西班牙等地区的140余个开发者团队在本次Hackathon提交项目申请,其中99个通过官方审核获得超18万美金资助,社区累计捐赠HT共12430枚。

HECO Grant是由HECO和DoraHacks联合发起的全球社区开发者二次方投票资助计划,旨在公益资助开发者的创新想法和早期优质项目,可以在HECO生态中进一步发展成技术更完善、产品更可用、社区更完整的项目。

在Grant结束后,将进入一个为期5天的“宽限期”(Grace Period)。在宽限期中,DoraHacks将对投票结果进行大数据分析,检测女巫攻击(Sybil Attack)。被检测到使用女巫攻击的项目将被取消分配奖金池的资格,但不影响项目接收社区捐助。[2021/5/31 22:59:17]

攻击交易2:

观点:如果加密货币被禁止,就不会发生Twitter黑客事件:纽约杂志商业专栏作家Josh Barro在推特上分享了他对加密的负面看法,此前多个大V推特账户被黑,并发布比特币相关钓鱼信息。Barro因此对加密货币进行了猛烈抨击:“加密对社会有害。”其表示,如果加密货币被法律正式禁止,没有人会担心坏人侵入知名人物的Twitter账户,然后以此来取比特币。他还指出加密货币对社会没有任何好处,而且在一些情况下带来了弊端,例如成为暗网的途径。(U.Today)[2020/7/17]

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

攻击交易3:

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

在昨天的时候,Beosin Trace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。

Beosin也在第一时间提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。

有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。

该帖子声称黑客是一名名叫Ugwoke Pascal Chukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。

紧接着,有推特用户分享了地图里搜索出来的地址,直接开启“人肉”模式。

据公开资料,Hope Finance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,Hope Finance的智能合约代码已“成功通过审计”,“没有提出警告”。

这也提醒我们,找正规安全审计公司的重要性。

根据Beosin2022年的年报数据,去年2022年共发生Rug pull事件超过243起,总涉及金额达到了4.25亿美元(FTX事件暂不计入)。

243起rug pull事件中,涉及金额在千万美元以上的共8个项目。210个项目(约86.4%)跑路金额集中在几千至几十万美元区间。

而Beosin也总结出Rug pull事件具有以下特点:

1. Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。

2 多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。

3. 社交媒体信息欠缺。至少有一半的rug pull项目没有完善的官网、推特账号、电报/Discord群组。

4 项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。

5. 蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。

也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。

Beosin

企业专栏

阅读更多

金色早8点

金色财经

Odaily星球日报

欧科云链

Arcane Labs

深潮TechFlow

MarsBit

澎湃新闻

BTCStudy

链得得

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

币安币CHA:王慧文无心与李彦宏「斗法」

图片来源:由无界版图AI工具生成去年4月,王慧文在即刻上的签名还是“All in Crypto”,过了半年,兴趣又从 Crypto、web3转向了人工智能,他想打造中国版的OpenAI.

[0:15ms0-1:61ms