2023年2月21日,CertiK发现了2023年迄今为止Arbitrum上最大的退出局。一个最近推出的名为HopeFinance的项目,号称在局中损失了180万美元。然而经过调查后发现,这场局竟与该项目团队自身的相关钱包有关。该钱包地址在策划了一个获取存款的后门后,抽走了GenesisRewardsPool奖池的大量资金,造成了该起局。
事件过程
HopeFinance于2月1日开始宣传他们的项目,并宣布预计在UTC时间2月20日下午两点启动。然而,启动没多久,一个外部地址很快就耗尽了该项目的GenesisRewardsPool奖金池。
起初来看,HopeFinance项目似乎是被黑客发现漏洞并利用了。然而在检查该团队的一些钱包活动后,CertiK专家发现该项目是一个退出局。
摩根大通:以太坊将继续失去其在去中心化金融领域的主导地位:金色财经报道,在最近的一份研究报告中,摩根大通分析师Nikolaos Panigirtzoglou预测以太坊将继续失去其在去中心化金融领域的主导地位。 为了增加网络的可扩展性,它会被划分成独立的分片。分片无疑是备受期待的以太坊2.0升级的主要功能之一。然而,由于分片链阶段预计仅在2023年开始。以太坊在去中心化金融市场的份额在过去一年中一直在稳步缩小。根据DefiLlama提供的数据,去年1月,以太坊的主导地位超过97%,但由于Terra、Binance Smart Chain 、Avalanche和Solana等竞争对手的快速增长,其在DeFi协议锁定的总价值中的份额现已缩水至63% 。(U.Today)[2022/1/6 8:29:56]
当然,并非所有与HopeFinance公司有关的团队成员都参与了该起退出局。事后,该项目的推特账户发布了一张他们声称“局负责人”的图片,同时还附上其身份证等信息。
黄金支持者Peter Schiff:BTC进一步崩溃可能很快失去其所有价值:黄金支持者Peter Schiff发推文称,他对很快失去钱包中的比特币并不感到难过,他说,是否持有比特币并不重要,因为比特币正在迅速失去价值。加密投资银行Galaxy Digital首席执行官Mike Novogratz则仍然相信比特币的力量。他发推表示,BTC和加密货币一直与信心有关。尽管最近的价格暴跌,全球对主要传统资产的信心已经减弱,但它又回到了比特币。然而,许多人现在对比特币感到失望,他们说比特币已经失去了被称为避险资产的特权。(U.Today)[2020/3/13]
研究:长期持有者并未对比特币失去信心:据glassnode研究,尽管近期比特币大幅下跌且其波动性较高,但LTH-SOPR指标仍然接近1,这表明长期持有者并没有失去信心。注,SOPR是指花费的输出利润率,当SOPR> 1时,意味着已花费输出的所有者在交易时处于盈利状态;否则,他们卖出时就会亏损。LTH-SOPR指标的评估时间范围仅考虑在155天以上,可作为评估长期投资者行为的指标。另外,与长期持有者相比,短期持有者的SOPR(155天以内)更有可能跌至1以下。[2020/3/11]
被指控的人员是一名尼日利亚学生,大家很快找到其Linkedin账号,尽管没有发表过任何动态,但仍可确认该Linkedin账号属于该学生。
CertiK安全专家发现,一旦外部地址EOA0x...9113调用含有关键漏洞的OpenTrade函数,GenesisRewardsPool合约的资金就会被抽走。总价值186万美元的被盗资金在被桥接到了以太坊之后存入到了TornadoCash。
动态 | BB 转载彭博社文章“以太坊正在失去它的光彩和市场份额”:据IMEOS报道,Block.one CEO Brendan Blumer 在推特转载彭博社文章并写到“在仅仅 10 个月 EOS 占所有活跃 Dapp 用户 48%,恭喜全体人员”。 彭博社文章标题为“以太坊正在失去它的光彩和市场份额”。文中介绍根据 DappRadar 的数据,Dapps 的市场份额已经在转移,ETH 去年一月录得 Dapp 用户占 100% 而今年则只有 28%。EOS 占所有活跃 Dapp 用户 48%,而 Tron 只有 24%。 根据 DappRadar COO Patrick Barile 所认为,“新协议之所以能得到如此大量采用,主要是他们提供非常好的速度和每秒交易量”。[2019/3/29]
为了抽走GenesisRewardsPool资金池的资金,EOA0x...9113创建了一个假的路由器合约,并将这个地址更新为GenesisRewardsPool资金池内的SwapHelper。
京东金融研究院院长孟昭莉:如果没有真实的应用场景,区块链技术将失去生命力:据华夏时报报道,京东金融研究院院长孟昭莉表示,如果没有真实的应用场景,区块链技术将失去生命力。孟昭莉分析指出,区块链对整个技术要求还是比较高。此外,从技术层面来说,区块链对整个技术要求还是比较高。因为信息一旦上链之后,以后大家就会以上链时刻登记的信息为准,后续的信息增长,也是在这一基础之上的;但是上链信息如何核准,可能会是一个问题。谈及在金融领域的应用,她进一步坦言,从当前的技术水平和信用体系完备程度来看,公有链和私有链技术在金融领域的应用缺乏可操作性。一方面,公有链的技术还远未成熟,其完全去中心化的特点,与金融交易的相对私密性存在天然冲突,实际应用层面存在诸多现实问题;另一方面,私有链与传统中心化交易处理系统无异,传统场景中的痛点无法完全克服。[2018/4/8]
虽然这会带来私钥泄露的嫌疑,但它也意味着,需要多签钱包四个所有者中的三个得到确认。即:任何外部黑客都必须在任何资金被盗之前破坏三个外部地址。虽然这不是完全不可能,但是概率很小。
当检查0x8EBd0所有者EOA时,我们可以看到EOA0x11a9b和0xe1c37没有交易历史。一个钱包是奖池创建者,另一个钱包最初由Binance资助。
链上分析
①该事件是从0x4481A创建了一个未经验证的假路由器合约开始。
②然后GenesisRewardPool被用来更新SwapHelper,将路由器地址改为第一步创建的假地址。这个setRouter更新需要多签钱包0x8ebd的四个所有者中三个所有者的批准。
对setRouter的更新进行多签批准
③0x4481A调用了假的路由器合约,并调用0x3c6455ac函数用以更新_swapExactTokenForTokens和_USDC两个参数,其中第一个参数被设置为0x957D,第二个留了空白。
④0x4481A两次调用OpenTrade,用于借入资金,一次用于Pool0(WETH),另一次用于Pool1(USDC)。两次OpenTrade调用,总共向0x957D转移了477枚WETH和1,061,759枚USDC。
对于Pool0,OpenTrade的调用触发了477枚WETH转移到HopeTradingHelper。此时,WETH会被正常的发送到swap地址并转换为USDC。
另外一边,在对0x1994函数反编译后,我们可以看到变量`v9`被赋值为`address(varg2)`,也就是交换`path`中的第一个token,即WETH。同时变量`v2`被赋值为预先设定的接收地址,即0x957D。而`v17`被赋值为`TradingHelper`地址,该地址存储了所有的WETH。
下图的一行代码,仍然是在_swapExactTokensForTokens函数中,将'v56'地址的477WETH从msg.sender的v17转移到了接收地址0x957D。
⑤两次OpenTrade调用,总共向0x957D转移了477枚WETH和1,061,759枚USDC。这些资金通过CelrBridge桥接到以太坊,并转换为总共1,095个ETH,然后被发送到TornadoCash。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。