UMB:黑客被項目方直接“人肉”？Arbitrum鏈上Hope項目發生180萬美元Rug Pull簡析

2月21日，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Arbitrum鏈上Hope Finance項目發生Rug Pull，也就是我們通常所說的“拉地毯似騙局”。

Beosin安全團隊分析發現攻擊者(0xdfcb)利用多簽錢包(0x1fc2)執行了修改TradingHelper合約的router地址的交易，從而使GenesisRewardPool合約在使用openTrade函數進行借貸時，調用TradingHelper合約SwapWETH函數進行swap后并不會通過原本的sushiswap的router進行swap操作，而是直接將轉入的代幣發送給攻擊者(0x957d)從而獲利。攻擊者共兩次提取約180萬美金。 

BitMart黑客攻擊事件受害者仍未收到賠償:1月10日消息，BitMart加密黑客事件過去一個月后的今天，受到此事件影響的受害者仍未收到任何形式的退款，目前尚不清楚BitMart計劃如何補償所有受影響的用戶。此前報道，12月4日，加密貨幣交易所BitMart遭黑客攻擊，損失2億美元，而在黑客入侵后不久，BitMart創始人宣布將使用自己的資金來賠償受影響的用戶。（The Economic Times）[2022/1/10 8:38:19]

攻擊交易1：

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb（修改router合約的攻擊交易）

攻擊交易2：

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

DeFi預言機Umbrella：Chainswap黑客竊取超300萬枚UMB代幣，將回購價值110 ETH的UMB代幣:官方消息，DeFi預言機Umbrella Network表示，跨鏈資產橋Chainswap今天遭到黑客攻擊，許多與其合作在以太坊和幣安智能鏈之間連接代幣的項目都受到了影響，竊取10多個項目的代幣，包括Umbrella Network、Antimatter、Dafi、Option Room、Blank、Razor、Oro等。黑客在以太坊網絡從Chainswap資金庫竊取所有超300萬枚UMB代幣。黑客很可能已經出售了所有UMB代幣。作為預防措施，Chainswap已在BSC上凍結了Umbrella的UMB代幣。BSC上的UMB不能在Pancakeswap上交換或轉移到其他錢包。

為了抵消黑客向市場出售的額外UMB，Umbrella將在以太坊上回購價值110 ETH的UMB，這是黑客從中獲利的金額，將把價值110 ETH的UMB保存在一個公開披露的錢包中，并作為一個社區來決定如何處理它。一種可能的選擇是捐贈給社區選擇的一個或多個慈善機構。此外，Umbrella表示，將在不久的將來推出自己的資產橋，用于跨ETH-BSC以及其他未來支持的鏈。[2021/7/11 0:43:11]

攻擊交易3：

黑客威脅曝光明星的法律事務信息 并索要比特幣贖金:紐約一知名娛樂法律事務所遭到勒索軟件攻擊后，數十位全球大牌音樂和電影明星（包括Lady Gaga、Elton John、Robert DeNiro和麥當娜）的私人法律事務面臨曝光的風險。據報道，Grubman Shire Meiselas&Sacks已經受到REvil勒索軟件（也被稱為Sodinokibi）的攻擊，攻擊者威脅要分9次發布高達756GB的被盜數據。被盜數據包括保密合同、電話號碼、電子郵件地址、個人通信、保密協議等。犯罪分子索要的贖金數額無從得知，但要求以比特幣支付。經查詢，黑客的暗網站點已經發布了麥當娜、Christina Aguilera的法律合同以及該公司電腦文件夾系統的截圖。（Cointelegraph）[2020/5/8]

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

動態 | Binance首席執行官趙長鵬否認黑客獲取私人用戶信息:據dailyhodl消息，加密貨幣交易所Binance首席執行官趙長鵬否認黑客獲取私人用戶信息的說法。趙趙長鵬說，最近在社交媒體上流傳的關于黑客知道客戶（KYC）數據的傳聞是試圖傳播恐慌，并且交易所正在調查此事。Binance安全團隊澄清“將這些數據與我們系統中的數據進行比較時存在不一致之處。目前沒有提供證據表明任何KYC圖像是從Binance獲得的。”[2019/8/8]

在昨天的時候，Beosin Trace追蹤發現攻擊者已將資金轉入跨鏈合約至以太鏈，最終資金都已進入tornado.cash。

Beosin也在第一時間提醒用戶：請勿在0x1FC2..E56c合約進行抵押操作，建議取消所有與該項目方相關的授權。

有趣的一點是，項目方似乎知道是誰的，直接放出攻擊者的信息。

該帖子聲稱黑客是一名名叫Ugwoke Pascal Chukwuebuka的尼日利亞人。尼日利亞國民參與該項目的情況尚不清楚，但他的實際身份受到社區成員的質疑。

緊接著，有推特用戶分享了地圖里搜索出來的地址，直接開啟“人肉”模式。

據公開資料，Hope Finance的智能合約由一家不出名的機構審計。盡管標記了一些小漏洞，但該平臺得出的結論是，Hope Finance的智能合約代碼已“成功通過審計”，“沒有提出警告”。

這也提醒我們，找正規安全審計公司的重要性。

根據Beosin2022年的年報數據，去年2022年共發生Rug pull事件超過243起，總涉及金額達到了4.25億美元（FTX事件暫不計入）。

243起rug pull事件中，涉及金額在千萬美元以上的共8個項目。210個項目（約86.4%）跑路金額集中在幾千至幾十萬美元區間。

而Beosin也總結出Rug pull事件具有以下特點：

1. Rug周期時間短。大部分項目在上線后3個月內就跑路，因此大部分資金量集中在幾千至幾十萬美元區間。

2 多數項目未經審計。有些項目的代碼里暗藏后門函數，對于普通投資者而言，很難評估項目的安全性。

3. 社交媒體信息欠缺。至少有一半的rug pull項目沒有完善的官網、推特賬號、電報/Discord群組。

4 項目不規范。有些項目雖然也有官網和白皮書，但仔細一看有不少拼寫和語法錯誤，有些甚至是大段抄襲。

5. 蹭熱點項目增多。去年出現了各類蹭熱點幣種跑路事件，如Moonbird、LUNAv2、Elizabeth、TRUMP等，通常及其快速地上線又火速卷款而逃。

也因此，項目方和用戶都需要做好安全防護。部分項目開發匆忙、未經審計就上線很容易遭受攻擊。此外，除了合約安全、私鑰/錢包安全，團隊運營安全等還需要重視，有一個薄弱的領域都可能讓項目方造成巨大損失。

Beosin

企業專欄

閱讀更多

金色早8點

金色財經

Odaily星球日報

歐科云鏈

Arcane Labs

深潮TechFlow

MarsBit

澎湃新聞

BTCStudy

鏈得得

Tags：UMBSWAPANCEOSPumbo coinanyswap幣界Vesta Financeeos幣最新資訊

BNB價格