EOS:黑客被項目方直接“人肉”？Arbitrum鏈上Hope項目發生180萬美元Rug Pull簡析

2月21日，據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示，Arbitrum鏈上HopeFinance項目發生RugPull，也就是我們通常所說的“拉地毯似騙局”。

Beosin安全團隊分析發現攻擊者(0xdfcb)利用多簽錢包(0x1fc2)執行了修改TradingHelper合約的router地址的交易，從而使GenesisRewardPool合約在使用openTrade函數進行借貸時，調用TradingHelper合約SwapWETH函數進行swap后并不會通過原本的sushiswap的router進行swap操作，而是直接將轉入的代幣發送給攻擊者(0x957d)從而獲利。攻擊者共兩次提取約180萬美金。?

安全團隊：TrustSwap項目遭受黑客攻擊，影響金額至少約779萬美元:金色財經報道，據Beosin平臺檢測顯示，TrustSwap項目遭受黑客攻擊，影響金額至少約779萬美元（ETH 880.2554，DAI 6,429,327.65），此外本次攻擊還盜取了CAW和TSUKA代幣，價值約550萬美元。[2022/10/27 11:49:25]

攻擊交易1：

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb

攻擊交易2：

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

Gitcoin將于8月8日至8月23日舉辦線上黑客松Money Legos Hackathon:7月28日消息，Gitcoin宣布將于8月8日至8月23日舉辦線上黑客松Money Legos Hackathon，旨在幫助構建去中心化的未來，讓Web3公司重新構想保險和貸款等領域讓資金發揮作用，同時加速開發者生態系統的發展等。[2022/7/28 2:43:33]

攻擊交易3：

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

法官駁回Bithumb用戶的兩項索賠請求，涉及2017年黑客事件:首爾中央地方法院一名法官駁回用戶針對交易所Bithumb的兩項索賠請求。這些人分別要求12.6萬美元和3.8萬美元的損失賠償，涉及2017年發生的一次數據泄露事件。

據Fn News報道，原告Hong和Seo（均以姓氏命名）表示，他們因網絡釣魚攻擊（該攻擊使用在Bithumb黑客攻擊中提取的私人數據）而蒙受損失。第三名索賠人Jang獲得5000美元，以彌補全部損失。這一數額比他最初索賠的27200美元低得多。在這三起案件中，法院都表示，交易所存在過失，因為它們本可以在安全方面分配更多資源，以防止大規模數據泄露事件。

然而，法官認為Bithumb和Jang都負有部分責任，并指出受害者提供的細節并未包含在最初從交易所流出的數據中。為了實施攻擊，網絡罪犯冒充Bithumb客戶中心的代理人，向Jang提供了他認為只有Bithumb員工才能有的信息。黑客隨后告訴Jang，其賬戶上有一次可疑的登錄嘗試，需要向其電話號碼發送一個驗證碼，以幫助阻止可疑的訪問。一旦獲得許可，這位黑客就著手將Jang持有的XRP和ETH轉化為法幣。（Cointelegraph）[2020/9/4]

聲音 | 慢霧創始人余弦：優秀的公鏈是敬畏黑客 但又不懼黑客的:區塊鏈安全公司慢霧創始人余弦在線上表示，至少有四個理由表明黑客攻擊事件多的公鏈反而更可能快速發展：1、只要不會出現超巨額不可挽救損失，積極的社區治理總能渡過難關，而且可以大大提高公鏈的知名度；2、公鏈如果關注度低或價值低，攻擊者也不一定會感興趣，機會成本的問題，除非攻擊者本身就屬于這條公鏈生態的一部分或可以輕易了解這條公鏈；3、越偏應用層的攻擊會越多，比如 DApp 越多，原則上被攻擊成功的數量也會多，這可能會造成一種假象：這條公鏈似乎很不安全，但真相可能恰恰相反；4、類比早期的 Windows XP，安全問題極多，但卻奠定了個人電腦操作系統生態的霸主地位。與此同時，余弦總結道：持續黑客攻擊導致破產倒閉、低價被收購的血淋淋案例。所以優秀的公鏈是敬畏黑客，但又不懼黑客的。[2019/3/5]

在昨天的時候，BeosinTrace追蹤發現攻擊者已將資金轉入跨鏈合約至以太鏈，最終資金都已進入tornado.cash。

Beosin也在第一時間提醒用戶：請勿在0x1FC2..E56c合約進行抵押操作，建議取消所有與該項目方相關的授權。

有趣的一點是，項目方似乎知道是誰的，直接放出攻擊者的信息。

該帖子聲稱黑客是一名名叫UgwokePascalChukwuebuka的尼日利亞人。尼日利亞國民參與該項目的情況尚不清楚，但他的實際身份受到社區成員的質疑。

緊接著，有推特用戶分享了地圖里搜索出來的地址，直接開啟“人肉”模式。

據公開資料，HopeFinance的智能合約由一家不出名的機構審計。盡管標記了一些小漏洞，但該平臺得出的結論是，HopeFinance的智能合約代碼已“成功通過審計”，“沒有提出警告”。

這也提醒我們，找正規安全審計公司的重要性。

根據Beosin2022年的年報數據，去年2022年共發生Rugpull事件超過243起，總涉及金額達到了4.25億美元。

243起rugpull事件中，涉及金額在千萬美元以上的共8個項目。210個項目跑路金額集中在幾千至幾十萬美元區間。

而Beosin也總結出Rugpull事件具有以下特點：

1.Rug周期時間短。大部分項目在上線后3個月內就跑路，因此大部分資金量集中在幾千至幾十萬美元區間。

2多數項目未經審計。有些項目的代碼里暗藏后門函數，對于普通投資者而言，很難評估項目的安全性。

3.社交媒體信息欠缺。至少有一半的rugpull項目沒有完善的官網、推特賬號、電報/Discord群組。

4項目不規范。有些項目雖然也有官網和白皮書，但仔細一看有不少拼寫和語法錯誤，有些甚至是大段抄襲。

5.蹭熱點項目增多。去年出現了各類蹭熱點幣種跑路事件，如Moonbird、LUNAv2、Elizabeth、TRUMP等，通常及其快速地上線又火速卷款而逃。

也因此，項目方和用戶都需要做好安全防護。部分項目開發匆忙、未經審計就上線很容易遭受攻擊。此外，除了合約安全、私鑰/錢包安全，團隊運營安全等還需要重視，有一個薄弱的領域都可能讓項目方造成巨大損失。

Tags：EOSSINBITUMBeos幣有價值嗎sinoc幣官網NMEEBITSNumbers Chain

火幣APP