RUG:黑客被项目方直接“人肉”？Arbitrum链上Hope项目发生180万美元Rug Pull简析

2月21日，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，Arbitrum链上HopeFinance项目发生RugPull，也就是我们通常所说的“拉地毯似局”。

Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易，从而使GenesisRewardPool合约在使用openTrade函数进行借贷时，调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作，而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。?

黑客再次通过“Vanity Adress”漏洞中获得价值近100万美元的ETH:金色财经报道，一名“0x9731F”的黑客再次通过以太坊“虚名地址（Vanity Adress）”漏洞中获得价值近 100万美元的 ETH。据悉，黑客使用了一个名为“Profanity”的工具生成以太坊“虚名地址”，手段与此前对做市商 Wintermute 的 1.6 亿美元攻击手法极为相似。另据 PeckShield 披露数据，该黑客于 9 月 25 日 窃取了 732 枚 ETH，然后将资金直接转移到现已获准的加密货币混合器 Tornado Cash。不过，攻击发生之后 Profanity 开发人员已采取措施确保没有人继续使用该工具，相关代码已被开发人员置于不可编译的状态且未设置为接收更多更新，存储库也已被归档。[2022/9/26 22:30:52]

攻击交易1：

Filecoin开发人员：有477名黑客 225个项目活跃在HackFS中:7月22日，在北京时间9：00开始的Filecoin矿工社区电话会议上，Filecoin开发人员表示，在前些时间开始的HackFS活动中，有477名黑客，225个项目参与。[2020/7/22]

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb

攻击交易2：

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

攻击交易3：

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

毕马威：2017年以来黑客已至少窃取98亿美元加密货币:金色财经报道，根据毕马威周一发布的最新报告，自2017年以来，由于对安全松懈或代码编写不当，黑客已至少盗窃了98亿美元的加密货币。毕马威表示，在BTC达到2万美元的历史新高之后，比特币和以太坊等加密资产已在机构投资者中广受欢迎。因此，毕马威敦促对冲基金保持谨慎，因为网络犯罪分子会以各种形式和规模窃取加密货币。[2020/3/3]

动态 | 韩国保险公司为数字货币交易所提供保险 以防黑客攻击损失:据News.Bitcoin消息，韩国保险公司Hanwha Insurance本月推出了一种新型网络保险产品，旨在为国内的数字货币因被黑客损害提供赔偿。Hanwha Insurance称，如果没有提供足够的补偿或保险费太高，交易所可能不愿意购买保险。该公司补充说，即使交易所想加入，也还需要很多协调。[2018/9/7]

在昨天的时候，BeosinTrace追踪发现攻击者已将资金转入跨链合约至以太链，最终资金都已进入tornado.cash。

黑客利用漏洞用名为Kitty的代码开采门罗币:据cryptovest报道，黑客利用漏洞将名为Kitty的远程代码植入Drupal系统，即使管理员从Drupal中删除，代码还是继续运行。这种特殊攻击是Drupalgeddon 2.0系列攻击的一个变种，其中300多台运行Drupal的服务器（包括圣地亚哥动物园和墨西哥奇瓦瓦州政府等网站）被迫为黑客攻击门罗币。[2018/5/25]

Beosin也在第一时间提醒用户：请勿在0x1FC2..E56c合约进行抵押操作，建议取消所有与该项目方相关的授权。

有趣的一点是，项目方似乎知道是谁的，直接放出攻击者的信息。

该帖子声称黑客是一名名叫UgwokePascalChukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚，但他的实际身份受到社区成员的质疑。

紧接着，有推特用户分享了地图里搜索出来的地址，直接开启“人肉”模式。

据公开资料，HopeFinance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞，但该平台得出的结论是，HopeFinance的智能合约代码已“成功通过审计”，“没有提出警告”。

这也提醒我们，找正规安全审计公司的重要性。

根据Beosin2022年的年报数据，去年2022年共发生Rugpull事件超过243起，总涉及金额达到了4.25亿美元。

243起rugpull事件中，涉及金额在千万美元以上的共8个项目。210个项目跑路金额集中在几千至几十万美元区间。

而Beosin也总结出Rugpull事件具有以下特点：

1.Rug周期时间短。大部分项目在上线后3个月内就跑路，因此大部分资金量集中在几千至几十万美元区间。

2多数项目未经审计。有些项目的代码里暗藏后门函数，对于普通投资者而言，很难评估项目的安全性。

3.社交媒体信息欠缺。至少有一半的rugpull项目没有完善的官网、推特账号、电报/Discord群组。

4项目不规范。有些项目虽然也有官网和白皮书，但仔细一看有不少拼写和语法错误，有些甚至是大段抄袭。

5.蹭热点项目增多。去年出现了各类蹭热点币种跑路事件，如Moonbird、LUNAv2、Elizabeth、TRUMP等，通常及其快速地上线又火速卷款而逃。

也因此，项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外，除了合约安全、私钥/钱包安全，团队运营安全等还需要重视，有一个薄弱的领域都可能让项目方造成巨大损失。

标签：EOSSINRUGETHEOS柚子币官网SINGHrug币怎么样ETH官网

Luna热门资讯