RUG:黑客被項目方直接“人肉”？Arbitrum鏈上Hope項目發生180萬美元Rug Pull簡析_MARSINU價格

2月21日，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Arbitrum鏈上Hope Finance項目發生Rug Pull，也就是我們通常所說的“拉地毯似騙局”。

Beosin安全團隊分析發現攻擊者(0xdfcb)利用多簽錢包(0x1fc2)執行了修改TradingHelper合約的router地址的交易，從而使GenesisRewardPool合約在使用openTrade函數進行借貸時，調用TradingHelper合約SwapWETH函數進行swap后并不會通過原本的sushiswap的router進行swap操作，而是直接將轉入的代幣發送給攻擊者(0x957d)從而獲利。攻擊者共兩次提取約180萬美金。 

首屆哈佛區塊鏈實驗室黑客松在DoraHacks.io正式啟動:12月3日，據官方消息，Harvard Blockchain Disrupt Hackathon活動報名入口在開發者激勵平臺DoraHacks.io開啟。本次活動由哈佛區塊鏈實驗室主辦，由30名哈佛本科生組成。項目提交時間為12月3日至12月5日，總獎金池為7000美元。作為首屆哈佛區塊鏈實驗室黑客松活動，Disrupt Hackathon旨在為學生團隊提供鏈上搭建的實踐機會，通過MVP幫助學生展示他們在學期中的學習成果。[2022/12/3 21:19:48]

攻擊交易1：

0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb（修改router合約的攻擊交易）

動態 | 攻擊BetDice的黑客團伙再現 競猜游戲LuckyMe正遭攻擊:據 PeckShield 態勢感知平臺12月28日數據顯示：自今天凌晨01:24起至發稿前， 黑客正在向LuckyMe游戲合約(luckymedice1)持續發起攻擊，目前已獲利數千個EOS。PeckShield 安全人員追蹤數據發現，該黑客和12月19日接連對BetDice、BigGame等4款競猜游戲實施攻擊的黑客為同一團伙，此前該黑客組織攻擊獲利價值500萬元的EOS并分攤至7,791個帳號，暫時成功逃離了ECAF的追蹤。此次攻擊LuckyMe已獲利的數千EOS，又被該黑客組織以同樣大批量創建子賬號的方式分攤至138個賬號實施銷贓。PeckShield在此提醒ECAF官方和各大交易所，應盡快對該類黑客實施攻擊和銷贓的行為采取有效應對舉措，也希望廣大游戲開發者玩家時刻警惕安全風險。[2018/12/28]

攻擊交易2：

動態 | 黑客利用惡意軟件攻擊DOGE用戶:據cryptoglobe報道，網絡安全公司 Dr. Web最近發布的一篇文章稱，一名網絡犯罪分子利用惡意軟件攻擊Dogecoin（DOGE）用戶。研究顯示，黑客為了打入用戶的機器，還使用了虛擬網絡計算（VNC）協議 ，其允許用戶遠程訪問圖形用戶界面（GUI），例如Windows操作系統界面系統（OS）。[2018/10/21]

0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)

攻擊交易3：

0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)

動態 | 韓國黑客接連襲擊交易所致保險業區塊鏈業保險態度消極:接連發生的韓國交易所遭到黑客襲擊事件，甚至影響到了韓國區塊鏈行業的保險業務。為了防止萬一，眾多虛擬貨幣交易所加入的韓國區塊鏈協會一直在努力引進保險業的承保。對于當初承保的保險公司來說，參與區塊鏈行業的保險業務可能會成為商機，但在見證了虛擬貨幣交易的不穩定事件后，保險公司紛紛持消極觀望態度。[2018/6/29]

在昨天的時候，Beosin Trace追蹤發現攻擊者已將資金轉入跨鏈合約至以太鏈，最終資金都已進入tornado.cash。

Beosin也在第一時間提醒用戶：請勿在0x1FC2..E56c合約進行抵押操作，建議取消所有與該項目方相關的授權。

有趣的一點是，項目方似乎知道是誰的，直接放出攻擊者的信息。

該帖子聲稱黑客是一名名叫Ugwoke Pascal Chukwuebuka的尼日利亞人。尼日利亞國民參與該項目的情況尚不清楚，但他的實際身份受到社區成員的質疑。

緊接著，有推特用戶分享了地圖里搜索出來的地址，直接開啟“人肉”模式。

據公開資料，Hope Finance的智能合約由一家不出名的機構審計。盡管標記了一些小漏洞，但該平臺得出的結論是，Hope Finance的智能合約代碼已“成功通過審計”，“沒有提出警告”。

這也提醒我們，找正規安全審計公司的重要性。

根據Beosin2022年的年報數據，去年2022年共發生Rug pull事件超過243起，總涉及金額達到了4.25億美元（FTX事件暫不計入）。

243起rug pull事件中，涉及金額在千萬美元以上的共8個項目。210個項目（約86.4%）跑路金額集中在幾千至幾十萬美元區間。

而Beosin也總結出Rug pull事件具有以下特點：

1. Rug周期時間短。大部分項目在上線后3個月內就跑路，因此大部分資金量集中在幾千至幾十萬美元區間。

2 多數項目未經審計。有些項目的代碼里暗藏后門函數，對于普通投資者而言，很難評估項目的安全性。

3. 社交媒體信息欠缺。至少有一半的rug pull項目沒有完善的官網、推特賬號、電報/Discord群組。

4 項目不規范。有些項目雖然也有官網和白皮書，但仔細一看有不少拼寫和語法錯誤，有些甚至是大段抄襲。

5. 蹭熱點項目增多。去年出現了各類蹭熱點幣種跑路事件，如Moonbird、LUNAv2、Elizabeth、TRUMP等，通常及其快速地上線又火速卷款而逃。

也因此，項目方和用戶都需要做好安全防護。部分項目開發匆忙、未經審計就上線很容易遭受攻擊。此外，除了合約安全、私鑰/錢包安全，團隊運營安全等還需要重視，有一個薄弱的領域都可能讓項目方造成巨大損失。

Beosin

企業專欄

閱讀更多

金色早8點

金色財經

Odaily星球日報

歐科云鏈

Arcane Labs

深潮TechFlow

MarsBit

澎湃新聞

BTCStudy

鏈得得

Tags：EOS區塊鏈SINRUGleos幣雷石鏈區塊鏈dapp開發白富美MARSINU價格RUG幣

比特幣最新價格