EOS:黑客被项目方直接“人肉”？Arbitrum链上Hope项目发生180万美元Rug Pull简析_RUG

2月21日，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Arbitrum链上Hope Finance项目发生Rug Pull，也就是我们通常所说的“拉地毯似局”。

Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易，从而使GenesisRewardPool合约在使用openTrade函数进行借贷时，调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作，而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。 

报告：朝鲜黑客自2017年以来已从日本窃取7.21亿美元加密资产:5月15日消息，根据Elliptic一项研究报告，自2017年以来，与朝鲜有关联的黑客组织从日本窃取了7.21亿美元的加密资产，这相当于全球此类损失总数的30%。据Elliptic称，从2017年到2022年底，朝鲜共从企业窃取了价值23亿美元的加密货币。其中，日本所占比例最大，其次是越南（5.4亿美元）、美国（4.97亿美元）和中国香港（2.81亿美元）。[2023/5/15 15:03:42]

攻击交易1：

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb（修改router合约的攻击交易）

攻击交易2：

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

FTX黑客地址今晨转出18万枚ETH，价值超1.98亿美元:金色财经报道，据OKLink多链浏览器数据显示，被标记为FTX Accounts Drainer的地址（以 0x59a 开头）今晨00:10:59开始，以 15000ETH 为单位进行了12笔大额资金转移，累计转出18万枚ETH，价值超1.98亿美元。截至目前，该地址还持有约 5,735 枚 ETH，约合630万美元。[2022/11/22 7:54:46]

攻击交易3：

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

Bitfinex黑客再次转移12枚比特币:Whale Alert数据显示，北京时间8月3日22:13，11.91枚Bitfinex于2016年被盗的比特币被转入3CUaHy开头未知钱包地址。[2020/8/4]

在昨天的时候，Beosin Trace追踪发现攻击者已将资金转入跨链合约至以太链，最终资金都已进入tornado.cash。

Beosin也在第一时间提醒用户：请勿在0x1FC2..E56c合约进行抵押操作，建议取消所有与该项目方相关的授权。

声音 | PeckShield安全公司: EOS竞猜游戏FFgame遭黑客攻击 损失1,331个EOS:据PeckShield态势感知平台数据显示：11月8日凌晨1点，EOS公链上又一款竞猜类游戏FFgame遭遇了黑客攻击，黑客账户jk2uslllkjfd向FFgame游戏合约 (eoswallet415）发起多达304次攻击，共计获利1,331.2922个EOS，随后于1点36分将1,330个EOS转移到火币交易所。

PeckShield安全人员跟踪发现，该黑客账户jk2uslllkjfd为PeckShield的重点监控黑名单账户，其创建于10月30日，曾于11月4日凌晨3点，攻击过另一款EOS竞猜类游戏EOSDice (eosbocai2222), 共获利2,545.1135个EOS。这两次攻击都是通过写合约代码计算出游戏中奖规律实施攻击，值得注意的是，该黑客习惯于凌晨实施攻击，且每次攻击完都会立刻修改攻击合约，发送“hi”的垃圾数据用以掩饰攻击信息。另外，攻击所得EOS都是立刻转移到火币交易所。目前被攻击 FFgame（eoswallet415）账号余额里还有81.0105个EOS，并且攻击后合约没有更新，漏洞还未被修复。[2018/11/8]

有趣的一点是，项目方似乎知道是谁的，直接放出攻击者的信息。

该帖子声称黑客是一名名叫Ugwoke Pascal Chukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚，但他的实际身份受到社区成员的质疑。

紧接着，有推特用户分享了地图里搜索出来的地址，直接开启“人肉”模式。

据公开资料，Hope Finance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞，但该平台得出的结论是，Hope Finance的智能合约代码已“成功通过审计”，“没有提出警告”。

这也提醒我们，找正规安全审计公司的重要性。

根据Beosin2022年的年报数据，去年2022年共发生Rug pull事件超过243起，总涉及金额达到了4.25亿美元（FTX事件暂不计入）。

243起rug pull事件中，涉及金额在千万美元以上的共8个项目。210个项目（约86.4%）跑路金额集中在几千至几十万美元区间。

而Beosin也总结出Rug pull事件具有以下特点：

1. Rug周期时间短。大部分项目在上线后3个月内就跑路，因此大部分资金量集中在几千至几十万美元区间。

2 多数项目未经审计。有些项目的代码里暗藏后门函数，对于普通投资者而言，很难评估项目的安全性。

3. 社交媒体信息欠缺。至少有一半的rug pull项目没有完善的官网、推特账号、电报/Discord群组。

4 项目不规范。有些项目虽然也有官网和白皮书，但仔细一看有不少拼写和语法错误，有些甚至是大段抄袭。

5. 蹭热点项目增多。去年出现了各类蹭热点币种跑路事件，如Moonbird、LUNAv2、Elizabeth、TRUMP等，通常及其快速地上线又火速卷款而逃。

也因此，项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外，除了合约安全、私钥/钱包安全，团队运营安全等还需要重视，有一个薄弱的领域都可能让项目方造成巨大损失。

Beosin

企业专栏

阅读更多

金色早8点

金色财经

Odaily星球日报

欧科云链

Arcane Labs

深潮TechFlow

MarsBit

澎湃新闻

BTCStudy

链得得

标签：EOSSINETHRUGZEOSkingsinbatogetherbnb几个女主RUG币

币安交易所app下载热门资讯