最近,DeFi流动性挖矿火热,各类项目层出不穷,蔬菜、水果、动植物等各种名字都不够用了。“古典老韭菜”也陆续入场。
DeFi热潮最后会以何种方式谢幕,其中之一便是代码不行,引来黑客攻击,或项目方留了后门,最终导致币价暴跌。
没想到这么快就有了实例。上周,EOS上的DeFi挖矿项目EMD跑路,并留下放肆宣言,可没想到最后项目方又“认怂”,归还了部分被盗资产。
联想到今年年初DForce事件黑客同样归还资金,以及近期Sushiswap创始人套现后归还资产,不少人感叹:这届黑客和项目不行,跑路都不硬气。
实际上,黑客或项目方还钱,并非良心发现,而是现实压力所逼。
事件回顾:IP地址暴露导致身份泄露
BSC生态Rabbit Finance代码存在漏洞,或有跑路嫌疑:Medium用户Anonymous Dev发布文章称,BSC生态Rabbit Finance代码存在大量漏洞,或有跑路嫌疑。漏洞包括:1. 代币RABBIT的总供应量不是团队所称的203,000,000的硬顶;2. Rabbit's FairLaunch的拥有者可以随时无限量发行RABBIT代币;3. 100%的仓位可以随时被清算,资金随时会被盗,可配置的协议参数没有最大限制;4. 平台的所有资金都可能被盗;Rabbit的EOA账户可以随时升级执行合约据悉,Rabbit Finance是BSC生态杠杆流动性挖矿协议Alpaca Finance的竞争者,TVL约4.8亿美元,且经过了Certik和Chains Guard的安全审计。当前,代币RABBIT报0.27美元,24H跌幅近65%。另外,官方未对此事作出回应。[2021/7/14 0:50:17]
9月9日,慢雾安全团队发布提醒称,EOSDeFi挖矿EMD疑似跑路,并卷走了转移了78万USDT、49万EOS、5.6万DFS。
币安智能链又一“土狗”项目Multi Financial跑路 上线1天卷走5000BNB:据币安智能链投资者对吴说区块链反馈,2月1日BSC上又有一“土狗”项目Multi Financial跑路,仅上线一天卷走约5000BNB。受损害的投资者表示已经报告币安封锁项目方地址,并向报警。近期BSC上出现多个跑路事件,popcornswap项目方卷走近48000个BNB,数日内还有三个项目(Zap Finance和Tin Finance、SharkYield)跑路,目前SharkYield跑路疑似带走了6000个BNB。币安方面此前表示,BSC是与以太坊一样的公链,不应该为上面的项目负责,希望用户务必谨慎投资,选择优质的头部项目参与。(吴说区块链)[2021/2/1 18:35:56]
项目方还嚣张地给受害者留言:经过社区投票,你被冻结了。EOS就是可以这么为所欲为。回头是岸吧,送外卖才能获得快乐。
区块链资金盘“硅谷区块鸡”疑似跑路 涉案金额或达百亿:近日,有举报者反映,一款名为“硅谷区块鸡”的区块链资金盘疑似崩盘跑路,相关App已无法登录。大量投资者损失数几十万元到几百万元不等本金。据部分投资者估算,“硅谷区块鸡”及其相关资金盘整体涉案金额或高达百亿元。据悉,“硅谷区块鸡”的运营主体为辽宁浩洋科技有限公司,公司实际控制人为关馨。目前,关馨已被辽宁省葫芦岛连山区人民法院列为失信被执行人。(腾讯网)[2020/3/30]
不死心的受害者们,还是给黑客地址留言,希望能归还被盗代币。但无论是威逼,还是利诱,通通不好使,跑路的黑客始终无动于衷。????
动态 | 西安高新区一公司借区块链项目取百万元投资后跑路:据陕西都市快报消息,西安高新区一家名为名为陕西红杉区块链研究院的公司,通过与陕西红杉农林开发有限公司合作,宣传“红豆杉项目”,即吸引投资者用钱财投资虚拟货币,实际上投资红豆杉及种植土地等,待投资者将资金投入后跑路,金额高达五六百万元。据悉, 陕西红杉农林开发有限责任公司和陕西红杉区块链研究院有限公司已被西安市工商高新分局列入企业经营异常名录。[2019/4/7]
此时,TokenPocket钱包站出来发声,称掌握了黑客曾经的IP地址。由于跑路的EMD项目曾使用过TokenPocket钱包,因此留下了IP地址以及移动设备等信息,并被TokenPocket定位到。再加上受害者开始报警,进行追查,黑客慌了。
Savedroid:跑路实为局 意在推广ICO:据CCN报道,Savedroid在一段视频中透露,创始人ICO后疑似跑路事件其实是一个精心制作的诡计,该公司意在以此推广新的ICO咨询服务。“我们希望通过它传递这样一种信息,即使我们作为一个受到高度监管的德国股票公司也可能会逃走,并且用所有的资金完成了一次退出局”。“当然,我们没有那样做,我们只是想传达这个信息。”此前,Savedroid用南方公园的“Aaand it s gone”模型取代了它的网站,而创始人Yassin Hankir在推文“Over and Out”中发布了一些图片,显示他逃离了该国,并且躲藏在偏远的海滩。[2018/4/22]
9月11日下午,EMD项目方在转账备注中表示,愿意归还被盗资产,但是必须停止现在所做的一切活动,否则将销毁私钥。随后归还了26万余枚EOS及5.6万枚DFS,但并未全部归还被盗资产。
TokenPocket方面猜测,团伙已经分钱,团队里有人退回被盗资产,有人没有,因此目前受害者仍然没有消案,也在继续追查;并且,TokenPocket已和进行交涉并提交了黑客相关材料,具体细节不便公布。
从EMD事件可以看出,项目方因为身份信息暴露,担心遭受法律制裁,最终还款。
无独有偶,今年4月19日,dForce的去中心化借贷协议Lendf.Me遭到黑客攻击,价值约2500万美金的加密数字资产被盗。案件发生后,dForce团队曾表达了想与黑客协商沟通的意愿,但遭到无视,dForce遂向新加坡报案。
案件最终得到解决,同样是因黑客在去中心化交易所1inch上泄漏了自己的IP地址。1inch配合新加坡以及dForce团队向黑客施压,迫使其归还赃款。
除了上述两个案例,近期流动性挖矿项目SushiSwap创始人ChefNomi也因为承受不住压力,最终将自己套现的ETH归还社区。
ChefNomi的压力主要来自于两方面:
一是其真实身份可能被曝光。曾有猜测说,ChefNomi可能是Band联合创始人SorawitSuriyakarn,不过遭到后者否认;另外,另一位疑似SushiSwap团队的推特用户「0xMaki」曾发文表示,要曝光所有事情,包括ChefNomi身份。
二是来自法律的压力。由于ChefNomi套现导致SUSHI大幅下跌,投资者损失惨重,选择维权。福布斯刊文称,多名SUSHI持有者对ChefNomi发起了集体诉讼。虽然ChefNomi一直保持匿名,但随着FBI和IRS的介入,在Twitter上留下IP地址的ChefNomi势必难逃。
综上所述,如果不是走头无路,害怕真实身份被曝光,这些黑客以及跑路的项目方,根本不会对受害者报以任何同情,也不会归还自己的「成果」。?
黑客能逃掉吗?
上述三个案例,其实都有一个共同点,即留下IP或者相关证据,能够直接与其实体相对应。
虽然钱被追回来了,但大家不应该抱有侥幸心理。因为,这些黑客,只是没有经验的入门选手。
“他应该是一名优秀的程序员,但却是没有经验的黑客。“?1inch创始人SergejKunz表示。
顶级黑客会怎么做?
首先,黑客访问某个网址,并不会使用我们常见的、会留下IP地址的浏览器。他们会使用代理服务器来满足匿名需求,避免被追踪。洋葱路由器是所有工具中级别最高的,也是最常见的选择。
在盗窃成功后,黑客也不会直接把币转至大型交易所,因为这些交易所的反措施相对比较完善,已标记过大量地址,很容易追查至实体账户。
因此,黑客要做的就是“”。一般有几种操作:
一是将被标记黑客账户资金打散至多个小账户,多次转移,最终汇聚到一个个不需要KYC认证的小交易所变现。
二是将赃款通过混币平台进行洗白。这类平台不仅支持Tor访问,而且向用户承诺没有操作日志,不会记录用户交易数据。
最终,赃款经过多次重洗,流入黑客自己的账户,无论是还是第三方公司,都很难追查。
来自慢雾的数据显示,过去十来年,加密市场已经发生了289起黑客攻击事件,共造成损失130.395亿美元。但回顾这些攻击事件,破案者寥寥可数,这也是黑客一直猖獗的原因。
如何防范?
虽然黑客横行,但并不意味着我们无能为力,任人宰割。投资者可以从以下方面进行防范:
一是选择有安全审计公司审计过的项目。慢雾安全团队提醒,投资者在参与EOSDeFi项目时应注意相关风险,要注意项目方权限是否为多签,由于EOS本身的特性,非多签的EOS合约账号可转移合约内的资金。
二是出现被盗后,不要再次向黑客转账,第一时间报警,警察会联系相关单位进行配合调查,尽可能减少损失。
最后,祝大家远离黑客,早日财务自由。
标签:RABCHENANFINAScarab Toolscoincheck交易所多久成立的BitBlocks FinanceSupersonic Finance
作者|哈希派分析团队灰度将ADA列入其数字大盘基金中 份额占比为4.26%:据官方消息,灰度投资(GrayscaleInvestment)将Cardano代币ADA列入其数字大盘基金(Grays.
1900/1/1 0:00:00DeFi板块集体崩盘下,对于这个领域的下一步,开始弥散着迷茫和怀疑。尽管如此,DeFi热度依然不减,一系列自救行动轮番上阵:SushiSwap将项目治理权移交给社区,开始多重签名管理;头部交易所.
1900/1/1 0:00:009月12日,由巴比特、链节点和时戳资本联合主办的Chainge技术沙龙·波卡生态全国行首站活动在杭州举行.
1900/1/1 0:00:00“走,一起去挖矿。”自今年6月开始,Jason就叫嚣着让大家快上车。果不其然,今年夏天,币圈开启了一场抢DeFi“头矿”的盛宴.
1900/1/1 0:00:00根据Ambcrypto9月29日报道,基于Ripple的数字支付平台Wirex通过发行证券筹集了120万英镑.
1900/1/1 0:00:00Cocos-BCX生态第一个DeFi项目自昨晚至今最高取得631%涨幅!该项目为CFS,全称CocosFinancialShare.
1900/1/1 0:00:00