2月21日,根据区块链安全审计公司Beosin的BeoS in鹰眼安全风险监测、预警与阻断平台的监测,发现Arbitrum chain上的希望金融项目存在地毯式拉,也就是我们通常所说的“地毯式拉像骗局”。
Beosin安全团队发现,攻击者(0xdfcb)利用多重签名钱包(0x1fc2)执行修改TradingHelper契约路由器地址的交易,使得GenesisRewardPool契约使用openTrade函数借款时,在调用TradingHelper契约的SwapWETH函数进行交换后,不会通过sushiswap的原路由器进行交换,而是直接将转让的令牌发送给攻击者(0x957d)进行获利。攻击者分两次提取了约180万美元。
攻击交易1:
0x c 9 e 5 e D274A 788 f 68 a1 e 19852 CCA DDA 7 CAA 06 e 2070 e 80 FD 656 a 2882 d6b 77 EB(修改路由器合同的攻击交易)
攻击交易2:
0x 322044859 fa 8 e 000 c 300 a 193 ee 3c AC 98 e 029 a2 c 64255 de 45249 b 8610858 c 0679(447 weth)
攻击交易3:
0 x 98 a6 be 8 DCE 5b 10 b 8e 2 a 738972 e 297 da 4c 689 a1 e 77659 cdfa 982732 c 21 fa 34 CB 5(1061759 usdc)
昨天,Beosin Trace发现攻击者已经将跨链合约中的资金转移到以太网链中,最后所有资金都进入了tornado.cash。
Beosin也在第一时间提醒用户:请不要抵押0x1FC2..E56c合同,并建议取消与项目方相关的所有授权。
有趣的是,该项目似乎知道它属于谁,并直接发布攻击者的信息。
该帖子声称,黑客是一名尼日利亚人,名叫Ugwoke Pascal Chukwuebuka。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。
然后,一个Twitter用户分享了在地图中搜索到的地址,直接开启了“人肉”模式。
公开资料显示,希望金融的智能合约是由一家不知名的机构审计的。虽然标注了一些小漏洞,但平台得出的结论是希望金融的智能合约代码已经“顺利通过审核”,“无预警”。
这也提醒了我们找正规安全审计公司的重要性。
根据Beovisin 2022年年报数据,去年2022年共发生超过243起拉毯事件,涉及金额总计4.25亿美元(FTX事件暂不包括在内)。
在243起拉地毯事件中,有8个项目涉及超过1000万美元。210个项目(约86.4%)的运行金额集中在几千到几十万美元的范围内。
Beosin还总结说,地毯拉力赛具有以下特点:
1.地毯周期短。大部分项目上线后三个月内就跑路了,所以大部分资金都集中在几千到几十万美元的区间。
大多数项目都没有经过审计。一些项目在代码中隐藏了后门功能,因此普通投资者很难评估项目的安全性。
3.缺乏社交媒体信息。至少一半的rug pull项目没有完善的官网、Twitter账号和telegraph/disco群。
4.项目不规范。有些项目虽然有官网和白皮书,但是细看却有很多拼写和语法错误,有的甚至大段大段抄袭。
5.热门项目增多。去年有各种热钱跑路事件,月鸟,LUNAv2,伊丽莎白,川普等。,平时上线很快,出逃也很快。
因此,无论是项目还是用户都需要做好安全防护。有些项目开发匆忙,未经审核就上线,容易受到攻击。另外,除了合同安全、私钥/钱包安全、团队运营安全等等,还有一个薄弱的领域可能会给项目方造成巨大的损失。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信,我们会及时处理和回复。
原文地址"ctos黑客,黑客src":http://www.ljycsb.cn/qukuailian/246794.html。
微信扫描二维码投放广告
▲长按图片识别二维码
