2月21日,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上HopeFinance项目发生RugPull,也就是我们通常所说的“拉地毯似局”。
Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。?
BlockSec:Quaternion因QTN代币开发者使用错误条件而被黑客攻击,损失约2.546枚WETH:1月18日消息,BlockSec监测显示,NFT全栈B2B B2C服务供应商Quaternion因QTN代币开发者使用错误条件而被黑客攻击,损失约2.546枚WETH。QTN代币具有通货膨胀机制,随着QTN在Uniswap中的交易增多,QTN的总量也会随之增加。但是,QTN的开发者使用from == UniswapPair来判断是否有QTN出售,这一错误条件是导致此攻击的根本原因。BlockSec提醒注意,黑客的资金来源似乎来自BSC上的Ankr Exploiter。[2023/1/18 11:19:14]
攻击交易1:
0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb
Assets Deposit Upgrade疑似遭受黑客攻击,共造成2225枚BNB损失:10月25日消息,据Supremacy安全团队监测,Melody SGS项目的Assets Deposit Upgrade合约疑似遭受黑客攻击,攻击共造成2225枚BNB损失。
Supremacy表示,由于此次攻击事件并非是合约层面的漏洞,而是一个涉及链下模块的漏洞,因此初步怀疑是由于项目的链下签名生成模块存在漏洞,导致攻击者绕过访问控制,从而利用API漏洞生成了合法签名进而提取SGS和SNS。并通过Dex抛售被盗资金,最终获利2225BNB。[2022/10/25 16:37:52]
攻击交易2:
0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)
Gearbox Protocol 已修复白帽黑客在 Immunefi 上提出的漏洞:金色财经消息,DeFi 可组合性杠杆协议 Gearbox Protocol 在推特上宣布,目前已修复白帽黑客在 Immunefi 上提出的漏洞,协议已恢复正常使用。Gearbox 表示,此前发现的漏洞与 Uniswap V3 的适配器相关,目前已部署新的适配器,协议已恢复正常使用,此期间没有资金收到损失。此外,Gearbox 已经向白帽黑客支付了超过 15 万美元的漏洞赏金。[2022/3/27 14:21:08]
攻击交易3:
0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)
pNetwork攻击事后分析报告:黑客尝试对多个pToken桥进行攻击,仅对pBTC-on-BSC攻击成功:9月22日消息,跨链协议pNetwork针对此前攻击事件致277枚BTC被盗发布分析报告称,pNetwork系统遭到黑客攻击,该黑客对多个pToken网桥进行了攻击,包括pBTC-on-BSC、TLOS-on-BSC、PNT-on-BSC、pBTC-on-ETH、TLOS-on-ETH和pSAFEMOON-on-ETH,不过,黑客仅在pBTC-on-BSC跨链桥上攻击成功,并从pBTC-on-BSC抵押品中窃取了277枚BTC,其他pToken网桥不受影响且资金安全。另外,由于已将黑客地址报告给交易所,所以被盗资金当前仍然在黑客BTC地址上,未发生过转移。
pNetwork目前正在为受此次攻击影响的用户制定一种赔偿方案,还将为白帽引入漏洞赏金计划。pNetwork表示,在重新启动跨链桥之前,正在针对所有跨链桥详细审查类似的潜在漏洞,当前已重启pBTC-on-EOS、pBTC-on-Telos、pLTC-on-EOS、pUOS-on-Ultra跨链桥。[2021/9/22 16:56:55]
UEX交易所声明:遭遇黑客攻击,平台暂关闭充提:5月27日消息,UEX交易所官方发布关于UEX交易所调整通知,针对现状做以下公开说明:
1.5月27日20: 00开通交易对,黑客对系统进行了入侵与攻击,用增发Uex对盘面进行不计成本砸盘。
2,由于增发数据在第一时间砸盘成为USDT进行提现,在保证用户资产安全的情况下平台暂做禁止提现处理。
3.目前UEX数据库产生很大的空洞,目前在核查数据的情况与修复。
4.平台需要5天左右时间修复与核实数据,待平台核实结束,公开发布处理结果与下一步计划。
5.数据库修复期间,平台关闭充提,关闭内部转账。[2020/5/27]
在昨天的时候,BeosinTrace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。
Beosin也在第一时间提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。
有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。
该帖子声称黑客是一名名叫UgwokePascalChukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。
紧接着,有推特用户分享了地图里搜索出来的地址,直接开启“人肉”模式。
据公开资料,HopeFinance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,HopeFinance的智能合约代码已“成功通过审计”,“没有提出警告”。
这也提醒我们,找正规安全审计公司的重要性。
根据Beosin2022年的年报数据,去年2022年共发生Rugpull事件超过243起,总涉及金额达到了4.25亿美元。
243起rugpull事件中,涉及金额在千万美元以上的共8个项目。210个项目跑路金额集中在几千至几十万美元区间。
而Beosin也总结出Rugpull事件具有以下特点:
1.Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。
2多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。
3.社交媒体信息欠缺。至少有一半的rugpull项目没有完善的官网、推特账号、电报/Discord群组。
4项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。
5.蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。
也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。