黑客被项目方直接“人肉”?Arbitrum链上Hope项目发生180万美元Rug Pull简析_TRA:sinoc币未来能涨多少倍

2月21日,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上HopeFinance项目发生RugPull,也就是我们通常所说的“拉地毯似局”。

Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。?

意博金融三递表港交所,涉风投业务参与香港首只加密货币基金:12月9日,意博金融控股有限公司再现港交所主板上市申请名单,其港股IPO招股书此前曾于2020年6月和2021年1月公开。据披露,其主要通过附属公司意博亚洲进行销售及顾问服务和资产管理业务,该主体获证券交易及资产管理业务等许可,任六只基金的投资经理和七只基金的投资顾问。意博金融声称,旗下基金主要为早期投资。值得注意的是,意博金融提供意见服务的基金中,有一只比特币基金DigiTrackers Bitcoin SP。

据意博金融披露,该基金首次募资完成后,资产管理规模为95万美元,约合741万港元。在2020年底,该基金的规模为1.26亿;截至2021年三月末,该基金的规模达1.67亿元。

第三方数据平台显示,就10月29日数据,该开放式基金一年期回报在224.52%。据香港媒体报道,意博金融创始人诸承誉透露,比特币基金上线半年后基金表现增长三倍,主要服务客户是家族办公室。意博基金披露,注册在开曼群岛的DigiTrackers SPC(Segregated Portfolio Company 独立投资组合公司),在2020年6月成立了投资于加密货币的基金DigiTrackers Bitcoin SP,主要投资于向其交易伙伴购买比特币或通过选定的加密货币交易所投资比特币,可持有少量其他加密货币。(蓝鲸财经)[2021/12/10 7:30:42]

攻击交易1:

Gitcoin将于10月3日至31日举办首届ODS黑客松活动,总奖金达18,250美元:10月3日消息,Gitcoin将于10月3日至31日举办首届开放数据科学黑客松(Open Data Science Hackathon)活动,奖金总额为18,250美元,将分配在三个类别:Sybil Slayers、Human Hackers和Dune Detectives。黑客旨在培育一个开放的数据科学社区,在保护和发展Web3创新方面发挥关键作用。[2022/10/3 18:38:13]

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb

攻击交易2:

声音 | 中科院博士:区块链现在是黑客的提款机:据雷锋网报道,从事区块链的学术研究的中科院博士赵赫近日在探讨区块链安全事件时表示:区块链的现状等于黑客的提款机,很容易变现,基本跟钱是一回事,而且很难追踪。[2018/9/11]

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

攻击交易3:

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

现场 | Jason Cohen:数据分布式存储向黑客发起挑战:据CoinTime报道,Big Data Block 的CEO Jason Cohen在“数据分布式存储更安全”的主题演讲中表示,数据的分布式存储对黑客来说是个挑战,因为数据不只在一个地方存储,对于黑客来说攻击成为了一个数量游戏,他无法通过一个单一的安全漏洞对整体造成威胁。虽然仍存在风险,但仅限于非常小的数据集,黑客几乎无法攻击1000立的机器。[2018/8/27]

在昨天的时候,BeosinTrace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。

Beosin也在第一时间提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。

有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。

该帖子声称黑客是一名名叫UgwokePascalChukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。

紧接着,有推特用户分享了地图里搜索出来的地址,直接开启“人肉”模式。

据公开资料,HopeFinance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,HopeFinance的智能合约代码已“成功通过审计”,“没有提出警告”。

这也提醒我们,找正规安全审计公司的重要性。

根据Beosin2022年的年报数据,去年2022年共发生Rugpull事件超过243起,总涉及金额达到了4.25亿美元。

243起rugpull事件中,涉及金额在千万美元以上的共8个项目。210个项目跑路金额集中在几千至几十万美元区间。

而Beosin也总结出Rugpull事件具有以下特点:

1.Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。

2多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。

3.社交媒体信息欠缺。至少有一半的rugpull项目没有完善的官网、推特账号、电报/Discord群组。

4项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。

5.蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。

也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:0ms0-8:379ms