项目方和用户都需要做好安全防护!
封面:Photo by Towfiqu barbhuiya on Unsplash
2 月 21 日,据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,Arbitrum 链上 Hope Finance 项目发生 Rug Pull,也就是我们通常所说的 “拉地毯似骗局”。
Beosin 安全团队分析发现攻击者 (0xdfcb) 利用多签钱包 (0x1fc2) 执行了修改 TradingHelper 合约的 router 地址的交易,从而使 GenesisRewardPool 合约在使用 openTrade 函数进行借贷时,调用 TradingHelper 合约 SwapWETH 函数进行 swap 后并不会通过原本的 sushiswap 的 router 进行 swap 操作,而是直接将转入的代币发送给攻击者 (0x957d) 从而获利。攻击者共两次提取约 180 万美金。
攻击交易 1:
0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb(修改 router 合约的攻击交易)
攻击交易 2:
0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)
攻击交易 3:
0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)
在昨天的时候,Beosin Trace 追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入 tornado.cash。
Beosin 也在第一时间提醒用户:请勿在 0x1FC2..E56c 合约进行抵押操作,建议取消所有与该项目方相关的授权。
有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。
该帖子声称黑客是一名名叫 Ugwoke Pascal Chukwuebuka 的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。
紧接着,有推特用户分享了地图里搜索出来的地址,直接开启 “人肉” 模式。
据公开资料,Hope Finance 的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,Hope Finance 的智能合约代码已 “成功通过审计”,“没有提出警告”。
这也提醒我们,找正规安全审计公司的重要性。
根据 Beosin2022 年的年报数据,去年 2022 年共发生 Rug pull 事件超过 243 起,总涉及金额达到了 4.25 亿美元(FTX 事件暂不计入)。
243 起 rug pull 事件中,涉及金额在千万美元以上的共 8 个项目。210 个项目(约 86.4%)跑路金额集中在几千至几十万美元区间。
而 Beosin 也总结出 Rug pull 事件具有以下特点:
1. Rug 周期时间短。大部分项目在上线后 3 个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。
2 多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。
3. 社交媒体信息欠缺。至少有一半的 rug pull 项目没有完善的官网、推特账号、电报/Discord 群组。
4 项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。
5. 蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如 Moonbird、LUNAv2、Elizabeth、TRUMP 等,通常及其快速地上线又火速卷款而逃。
也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。
免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。
