2月21日,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上HopeFinance项目发生RugPull,也就是我们通常所说的“拉地毯似局”。
Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。?
ABCDE Capital首届夏季黑客松今日正式开启,总奖金池已达6万美元:8月14日消息,ABCDE Capital推出的首届夏季黑客松于今日正式开启,本届黑客松将为参赛者提供于zkSync生态&开发者社区和其他黑客松合作伙伴及支持者进行技术交流和项目展示的机会。
比赛涵盖三个方向:ZK基础设施与工具、ZK应用、其他与ZK相关的主题,总奖金池目前达到6万美元,最终比赛结果将于9月15号新加坡Demo Day上公布于展示,获胜团队将有机会获得来自ABCDE的投资。[2023/8/14 16:25:01]
攻击交易1:
0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb
攻击交易2:
Beosin:QANplatform跨链桥遭受黑客攻击,涉及金额约189万美元:10月11日消息,据Beosin EagleEye Web3安全预警与监控平台监测显示,QANplatform跨链桥项目遭受黑客攻击。攻击交易为以下两笔0xf93047e41433d73ddf983cfa008aeb356ec89803c0a92b0e97ccdc6c42a13f51(bsc),
0x048a1a71fd41102c72427cc1d251f4ecbf70558562564306e919f66fd451fe82(eth)。
Beosin安全团队分析发现攻击者首先使用0x68e8198d5b3b3639372358542b92eb997c5c314地址(因为0x68e819是创建跨链桥地址,所以该地址应该属于项目方。)调用跨链桥合约中的bridgeWithdraw函数提取QANX代币,然后把QANX代币兑换为相应平台币。存放在攻击者地址上(0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11)。目前被盗资金中还存放在攻击者地址,Beosin安全团队将持续跟踪。Beosin Trace将对被盗资金进行持续追踪。[2022/10/11 10:31:06]
0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)
LMEX联交所声明:平台遭黑客入侵被盗15万USDT,平台目前资不低债:5月27日,LMEX联交所在社群发布关于交易所运营调整通知:
社群的伙伴们,首先感谢社区用户的一直陪伴与支持,平台的快速发展,远远超出了平台计划。超出平台系统的负荷,昨天上线交易对,本该是平台与大家最期待的一天,但计划赶不上变化,针对昨天与现在进行公开以下说明:
1.昨天开通交易对,大量会员涌进登陆,导致APP卡顿严重,同时黑客还系统进行了入侵与攻击。
2.由于充值与提现过于庞大,平台区块掉线,形成充值与提现未能及时到账。
3.目前平台数据库产生很大的LB空洞,目前在核查数据的情况与修复。
4.昨天平台黑客入侵被盗USDT,核实大概是15万USDT,单币最大52000USDT。
5.目前平台市场恐慌严重,平台目前资不低债。
6.平台需要5天左右时间修复与核实数据,待平台核实结束,公开发布处理结果与下一步计划。
7.目前期间,平台关闭充提。[2020/5/27]
攻击交易3:
一黑客因DDoS攻击导致紧急通讯“瘫痪”被判20个月监禁:据gizmodo消息,美国亚利桑那州一名名为Randall Charles Tucker的黑客因分布式拒绝服务(DDos)攻击威斯康辛州麦迪逊市的计算机网络而被判入狱。根据司法部的说法,这次袭击使该市的应急通信系统瘫痪,导致“紧急救援人员呼叫911时出现延迟和中断”。另外,他还承认在2015年曾对包括麦迪逊在内的城市网站发动了数次DDoS攻击,包括俄克拉荷马州的警察系统,IRC聊天室和儿童医院。[2018/6/21]
0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)
黑客获得比特币黄金(BTG)钱包的Github存储库访问权限 :据了解,BTG发送了一个重要警告,称部分Windows版本的Github中存在一个可疑的原始文件。BTG警告用户:“除非我们了解这个文件的作用,否则所有的用户都应该假定这个文件是恶意的,可以窃取加密货币和/或用户信息。虽然该文件不会触发反病/反恶意软件软件,但不要认为该文件是安全的。”[2017/11/27]
在昨天的时候,BeosinTrace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。
Beosin也在第一时间提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。
有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。
该帖子声称黑客是一名名叫UgwokePascalChukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。
紧接着,有推特用户分享了地图里搜索出来的地址,直接开启“人肉”模式。
据公开资料,HopeFinance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,HopeFinance的智能合约代码已“成功通过审计”,“没有提出警告”。
这也提醒我们,找正规安全审计公司的重要性。
根据Beosin2022年的年报数据,去年2022年共发生Rugpull事件超过243起,总涉及金额达到了4.25亿美元。
243起rugpull事件中,涉及金额在千万美元以上的共8个项目。210个项目跑路金额集中在几千至几十万美元区间。
而Beosin也总结出Rugpull事件具有以下特点:
1.Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。
2多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。
3.社交媒体信息欠缺。至少有一半的rugpull项目没有完善的官网、推特账号、电报/Discord群组。
4项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。
5.蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。
也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。