2月21日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上Hope Finance项目发生Rug Pull,也就是我们通常所说的“拉地毯似局”。
Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。
慢雾首席信息安全官:美国政府称Lapsus黑客组织将SIM卡交换攻击提升到了一个新的水平:金色财经报道,据慢雾首席信息安全官23pds发推称,美国政府称Lapsus黑客组织将SIM卡交换攻击提升到了一个新的水平。近日美国政府在分析了SIM卡交换的技术后发布了一份报告,称Lapsus$黑客组织将SIM卡交换攻击提升到一个新的水平。去年受到Lapsus影响的知名公司包括微软、思科、Okta、Nvidia、T-Mobile、三星、优步等。
最近一个月不少加密货币知名平台、个人账号都同样遭受到此类攻击,大家注意防范。[2023/8/12 16:22:09]
攻击交易1:
0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb(修改router合约的攻击交易)
攻击Curve Finance的未知黑客已退回超2000万美元的资产:金色财经报道,攻击DEX?Curve Finance的未知黑客已开始退款。截至撰写本文时,他已退回价值超过2000万美元的资产。
金色财经此前报道,7月30日,一名身份不明的人利用Vyper代码中的漏洞攻击了Curve Finance的稳定币池。最初,此次黑客攻击造成的总损失估计为4700万美元。根据Defi Llama的说法,这一损失已增至6170万美元。
该事件影响了 Alchemix、JPEG'd、MetronomeDAO、Ellipsis 和 deBridge 项目。超过 450 个矿池因该错误而面临风险。[2023/8/6 16:20:57]
攻击交易2:
0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)
Paxos追回FTX黑客攻击中被盗的2000万美元PAXG代币:金色财经报道,Paxos已经收回了在FTX黑客攻击中被盗的11184个Paxos(PAXG)代币,价值2000万美元,这些代币存放在11月入侵FTX的一个未知攻击者的钱包里。安全公司PeckShield根据链上数据指出,Paxos昨天采取行动,将被Etherscan标记为“FTX Accounts Drainer”的地址中被盗的代币转移到一个空地址,并烧毁了它们。在此之后,它将相同数量的硬币铸造到另一个钱包中,从而完成回收过程。[2022/12/24 22:04:23]
攻击交易3:
0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)
FBI调查黑客攻击推特:黑客并未破坏推特系统,而是买通了一名推特员工:金色财经报道,7月17日,据媒体报道,FBI(美国联邦调查局)开始对近日发生的推特遭黑客攻击事件展开调查。据悉,7月15日,推特遭大规模黑客入侵,多位名人政要和官方账号受影响。包括奥巴马、拜登、马斯克、贝佐斯、巴菲特、苹果官方在内的一大批账号全部遭黑,这也是推特近年来遭遇最大规模的的黑客攻击。被入侵的账号全部都发布了类似的推文:给出一个链接,要求通过比特币捐款,而且给1000,返2000。“我在回馈社区。所有寄往以下地址的比特币将加倍退回!只要30分钟。”此次攻击由一群身份不明的黑客控制推特公司内部工具来劫持相关帐户。黑客获得重置这些帐户绑定电子邮箱地址的权限,然后在其帐户上发布加密货币推文。
在FBI给媒体的声明中称,黑客盗用这些账户的目的是持续化地进行加密货币。FBI表示,此次黑客攻击事件及其暴露出的推特系统漏洞,可能会给用户带来严重的安全风险。此外,有美国媒体报道,黑客并未破坏任何推特系统,而是买通了一名推特员工。推特称正在保持与FBI的沟通,并将完全配合FBI关于该事件的调查。[2020/7/17]
在昨天的时候,Beosin Trace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。
Beosin也在第一时间提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。
有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。
该帖子声称黑客是一名名叫Ugwoke Pascal Chukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。
紧接着,有推特用户分享了地图里搜索出来的地址,直接开启“人肉”模式。
据公开资料,Hope Finance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,Hope Finance的智能合约代码已“成功通过审计”,“没有提出警告”。
这也提醒我们,找正规安全审计公司的重要性。
根据Beosin2022年的年报数据,去年2022年共发生Rug pull事件超过243起,总涉及金额达到了4.25亿美元(FTX事件暂不计入)。
243起rug pull事件中,涉及金额在千万美元以上的共8个项目。210个项目(约86.4%)跑路金额集中在几千至几十万美元区间。
而Beosin也总结出Rug pull事件具有以下特点:
1. Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。
2 多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。
3. 社交媒体信息欠缺。至少有一半的rug pull项目没有完善的官网、推特账号、电报/Discord群组。
4 项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。
5. 蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。
也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。
Beosin
企业专栏
阅读更多
金色早8点
金色财经
Odaily星球日报
欧科云链
Arcane Labs
深潮TechFlow
MarsBit
澎湃新闻
BTCStudy
链得得
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。