2月21日,據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示,Arbitrum鏈上HopeFinance項目發生RugPull,也就是我們通常所說的“拉地毯似騙局”。
Beosin安全團隊分析發現攻擊者(0xdfcb)利用多簽錢包(0x1fc2)執行了修改TradingHelper合約的router地址的交易,從而使GenesisRewardPool合約在使用openTrade函數進行借貸時,調用TradingHelper合約SwapWETH函數進行swap后并不會通過原本的sushiswap的router進行swap操作,而是直接將轉入的代幣發送給攻擊者(0x957d)從而獲利。攻擊者共兩次提取約180萬美金。?
黑客在多個Worldcoin Orb運營商的設備上安裝了竊取密碼的惡意軟件:金色財經報道,黑客在多個Worldcoin Orb運營商的設備上安裝了竊取密碼的惡意軟件,使他們能夠完全訪問Worldcoin運營商的儀表板。Worldcoin發言人Jannick Preiwisch表示,“一項內部調查得出結論,沒有敏感或個人用戶數據被訪問或泄露。Orb操作員永遠無法訪問任何敏感數據,并且任何生物識別數據捕獲在靜態和傳輸中都是加密的。”
Preiwisch補充說,“我們認真對待有關我們系統安全性和完整性的任何和所有索賠,并在收到對此類問題的詢問后立即進行調查,出于“高度謹慎”,該公司已重置Worldcoin運營商的所有登錄信息,并加快了Worldcoin運營商應用程序2FA的推出。”[2023/5/13 15:00:27]
攻擊交易1:
安全團隊:算法穩定幣項目Beanstalk Farms遭黑客攻擊,損失超過8000萬美元:4月17日消息,據派盾推特消息,算法穩定幣項目Beanstalk Farms遭黑客攻擊,損失超過8000萬美元,包括 24830 ETH 和 3600 萬 BEAN。
另據Etherscan瀏覽器顯示,標記為“Beanstalk Flashloan Exploiter”的地址已經通過Tornado Cash將上千個 ETH 轉入混幣池。[2022/4/18 14:30:08]
0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb
攻擊交易2:
動態 | ETC硬分叉Aztlan未應用 EIP-1884,有可能遭黑客攻擊:Parity的Rust 開發者 Wei Tang稱,一些社區成員正在進行一項名為 Aztlan 的太坊經典 ETC 硬分叉,認為這不是一個很好的硬分叉,并且會引起爭議,因為未應用 EIP-1884 實際上使攻擊向量處于一種敞開的狀態。而真正讓人擔心的是,描述該攻擊的論文實際上也是公開的。攻擊者找到它只是時間問題,攻擊者只要花幾千美元就可能破壞網絡的吞吐量。[2019/11/30]
0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)
攻擊交易3:
動態 | 白帽黑客在過去7周通過修復加密貨幣項目漏洞賺取超32150美元:據thenextweb報道,在過去的七周里,白帽黑客通過修復加密貨幣項目和區塊鏈平臺(如TRON、Brave、EOS和Coinbase)的安全漏洞,至少賺取了32150美元。根據Hard Fork的數據,在3月28日至5月16日期間,共15家區塊鏈相關公司向安全研究人員支付了獎金,其中包括共30份公開發布的漏洞報告。[2019/5/20]
0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)
在昨天的時候,BeosinTrace追蹤發現攻擊者已將資金轉入跨鏈合約至以太鏈,最終資金都已進入tornado.cash。
Beosin也在第一時間提醒用戶:請勿在0x1FC2..E56c合約進行抵押操作,建議取消所有與該項目方相關的授權。
有趣的一點是,項目方似乎知道是誰的,直接放出攻擊者的信息。
該帖子聲稱黑客是一名名叫UgwokePascalChukwuebuka的尼日利亞人。尼日利亞國民參與該項目的情況尚不清楚,但他的實際身份受到社區成員的質疑。
緊接著,有推特用戶分享了地圖里搜索出來的地址,直接開啟“人肉”模式。
據公開資料,HopeFinance的智能合約由一家不出名的機構審計。盡管標記了一些小漏洞,但該平臺得出的結論是,HopeFinance的智能合約代碼已“成功通過審計”,“沒有提出警告”。
這也提醒我們,找正規安全審計公司的重要性。
根據Beosin2022年的年報數據,去年2022年共發生Rugpull事件超過243起,總涉及金額達到了4.25億美元。
243起rugpull事件中,涉及金額在千萬美元以上的共8個項目。210個項目跑路金額集中在幾千至幾十萬美元區間。
而Beosin也總結出Rugpull事件具有以下特點:
1.Rug周期時間短。大部分項目在上線后3個月內就跑路,因此大部分資金量集中在幾千至幾十萬美元區間。
2多數項目未經審計。有些項目的代碼里暗藏后門函數,對于普通投資者而言,很難評估項目的安全性。
3.社交媒體信息欠缺。至少有一半的rugpull項目沒有完善的官網、推特賬號、電報/Discord群組。
4項目不規范。有些項目雖然也有官網和白皮書,但仔細一看有不少拼寫和語法錯誤,有些甚至是大段抄襲。
5.蹭熱點項目增多。去年出現了各類蹭熱點幣種跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上線又火速卷款而逃。
也因此,項目方和用戶都需要做好安全防護。部分項目開發匆忙、未經審計就上線很容易遭受攻擊。此外,除了合約安全、私鑰/錢包安全,團隊運營安全等還需要重視,有一個薄弱的領域都可能讓項目方造成巨大損失。
Tags:EOSCOISINCOINEOS VenezuelaCoinExethnographyinbusinesscoinbase幣單
頭條 ▌破產律師稱FTX資產“嚴重短缺”金色財經報道,根據一份新聞稿,FTX的資產“嚴重短缺”,該新聞稿詳細介紹了將于周四在破產加密貨幣交易所中提交的一份報告.
1900/1/1 0:00:00文章作者:LiJin、MasonNystrom、TinaDai自5個月前公開發布以來,Blur已經成為了行業的頂級NFT市場和交易平臺,在2023年2月空投之前.
1900/1/1 0:00:00撰文:BenGiove 編譯:DeFi之道 基于費用的DeFi應用程序一直在這個熊市中掙扎。像Aave和Curve這樣的頂級協議正在尋找協議內的穩定幣,以建立新的收入來源并擴大其野心.
1900/1/1 0:00:00原文:HowsomeofVitalik’s$1bnforCovidreliefwentthroughanAlamedawalletandaPuertoRicanbankaccount作者:Isa.
1900/1/1 0:00:00自從ChatGPT在春節期間走紅之后,人們對AIGC的討論越來越多。在Web3領域,也出現不少AIGC相關的研究性文章,但總感覺理論豐滿而實踐不足,本篇文章盤點了當下能夠使用的AIGC相關的工具.
1900/1/1 0:00:00來源:bankless 長期以來,比特幣持有者的口號之一是將BTC作為貨幣的唯一用途。隨著比特幣NFT的興起,這種觀點似乎正在改變,本文將介紹如何在比特幣網絡上鑄造屬于你自己的NFT.
1900/1/1 0:00:00