2月21日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上Hope Finance项目发生Rug Pull,也就是我们通常所说的“拉地毯似局”。
Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。
报告:第二季度Web3协议因黑客和攻击造成的损失从去年同期略有下降:金色财经报道,据CertiK报告,第二季度Web3协议因黑客和攻击造成的损失从去年同期的7.45亿美元下降到3.135亿美元,下降了58%。CertiK在一份声明中表示,网络安全漏洞造成的资金损失的减少表明Web3行业的技术防御和安全协议正在变得更加有效。加密货币交易所、区块链网络和个人开发者可能会实施更强大的安全措施,并在威胁检测、漏洞管理和事件响应等领域进行投资。与今年第一季度相比,总亏损额为3.3亿美元,略有下降。[2023/7/6 22:19:55]
攻击交易1:
0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb(修改router合约的攻击交易)
ETHShanghai 2023开发者峰会现已开启预报名,黑客松将于下月同期举办:5月29日消息,由 Mask Network 主办的 ETHShanghai 2023 将于 6 月 25 日到 6 月 30 日期间举办,活动将分为线下五天黑客松(25 日 - 29 日)和线下两天主会场(29 日 - 30 日)两部分。ETHShanghai 2023 现已开启预报名,开发者访问官网即可进行注册。
本届开发者峰会将围绕以太坊开源技术生态展开,关注区块链技术的底层基建、去中心化存储、链上数据处理、Layer 2、零知识证明技术、DID 、开发者工具以及 Web3 和 AI 结合等众多技术主题方向,从 Web3 数字经济,去中心化社交的未来与亚洲Web3开发者等多个话题上进行深度探讨。据悉,本次 ETHShanghai 2023 的筹办由社区核心成员 Mask Network 牵头,成员包括THUBA 清华区块链协会、ChainIDE 和 Moonshot Common登月工坊等。[2023/5/29 9:48:51]
攻击交易2:
3Commas承认:黑客窃取了API密钥:金色财经报道,一位匿名的推特用户近日公布了一组据称从 3Commas 加密货币交易平台获得的 10000 个 API 密钥。3Commas 机器人程序使用这些 API 密钥,通过与诸多加密货币交易所进行交互为客户创造利润,不需要帐户凭据,即可代表用户执行自动化的投资和交易操作。
这名推特用户声称,泄露的 API 密钥只是他们持有的 10 万个 API 密钥当中的 10%,并表示他们计划在接下来的几天悉数公布。3Commas 调查了泄露的数据,近日确认文件包含有效的 API 密钥。因此,该平台现在敦促所有支持的交易所吊销所有与 3Commas 关联的密钥,包括库币(Kucoin)、Coinbase 和币安(Binance)。[2023/1/6 10:24:06]
0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)
FIL Wallet入选Filecoin格兰特黑客马拉松并获得2142票支持:据官方消息,Filecoin Grant Hackathon于7月18日结束了投票期。来自美国、中国、印度、欧洲和非洲的45个团队通过DoraHacks的开源开发者平台HackerLink提交了申请。Filecoin去中心化数字资产钱包FILWallet得到矿工的高度支持,并获得2142票社区投票。
FIL Wallet是专注于FIL生态的去中心化数字资产钱包,实现简单交互、安全易用、多重签名;为Filecoin生态的参与者提供最专业、安全的数字资产服务。[2021/8/2 1:29:20]
攻击交易3:
0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)
在昨天的时候,Beosin Trace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。
Beosin也在第一时间提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。
有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。
该帖子声称黑客是一名名叫Ugwoke Pascal Chukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。
紧接着,有推特用户分享了地图里搜索出来的地址,直接开启“人肉”模式。
据公开资料,Hope Finance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,Hope Finance的智能合约代码已“成功通过审计”,“没有提出警告”。
这也提醒我们,找正规安全审计公司的重要性。
根据Beosin2022年的年报数据,去年2022年共发生Rug pull事件超过243起,总涉及金额达到了4.25亿美元(FTX事件暂不计入)。
243起rug pull事件中,涉及金额在千万美元以上的共8个项目。210个项目(约86.4%)跑路金额集中在几千至几十万美元区间。
而Beosin也总结出Rug pull事件具有以下特点:
1. Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。
2 多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。
3. 社交媒体信息欠缺。至少有一半的rug pull项目没有完善的官网、推特账号、电报/Discord群组。
4 项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。
5. 蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。
也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。
Beosin
企业专栏
阅读更多
金色早8点
金色财经
Odaily星球日报
欧科云链
Arcane Labs
深潮TechFlow
MarsBit
澎湃新闻
BTCStudy
链得得
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。