2023年2月21日,CertiK發現了2023年迄今為止Arbitrum上最大的退出騙局。一個最近推出的名為HopeFinance的項目,號稱在騙局中損失了180萬美元。然而經過調查后發現,這場騙局竟與該項目團隊自身的相關錢包有關。該錢包地址在策劃了一個獲取存款的后門后,抽走了GenesisRewardsPool獎池的大量資金,造成了該起騙局。
事件過程
HopeFinance于2月1日開始宣傳他們的項目,并宣布預計在UTC時間2月20日下午兩點啟動。然而,啟動沒多久,一個外部地址很快就耗盡了該項目的GenesisRewardsPool獎金池。
起初來看,HopeFinance項目似乎是被黑客發現漏洞并利用了。然而在檢查該團隊的一些錢包活動后,CertiK專家發現該項目是一個退出騙局。
聲音 | 分析師:若BTC再次失去關鍵支撐位 XRP或將跌至0.15美元附近:加密貨幣分析師Magic發推稱,如果比特幣再次失去關鍵支撐位,XRP或將跌至0.15美元附近。[2019/12/26]
當然,并非所有與HopeFinance公司有關的團隊成員都參與了該起退出騙局。事后,該項目的推特賬戶發布了一張他們聲稱“騙局負責人”的圖片,同時還附上其身份證等信息。
被指控的人員是一名尼日利亞學生,大家很快找到其Linkedin賬號,盡管沒有發表過任何動態,但仍可確認該Linkedin賬號屬于該學生。
聲音 | 楊作興:如果意見稿通過 中國將失去一次重要的產業機會:據聰日報消息,比特微創始人楊作興在接受采訪時表示,虛擬貨幣是一個新興的朝陽行業,他個人認為應該在一定范圍內讓它發展。挖礦作為虛擬貨幣最重要的實體保證,他個人認為也應該在一定范圍內讓它存在。如果意見稿通過,挖礦會走向海外,中國將失去一次重要的產業機會。此前4月8日消息,國家發改委發布《產業結構調整指導目錄》,將虛擬貨幣“挖礦”活動歸類于淘汰類產業。[2019/4/14]
CertiK安全專家發現,一旦外部地址EOA0x...9113調用含有關鍵漏洞的OpenTrade函數,GenesisRewardsPool合約的資金就會被抽走。總價值186萬美元的被盜資金在被橋接到了以太坊之后存入到了TornadoCash。
北京大學匯豐商學院金融學教授巴曙松:比特幣“礦難”會讓人們失去對區塊鏈的信心:北京大學匯豐商學院金融學教授巴曙松表示:“比特幣作為區塊鏈技術的代表,如果一旦出現比暴跌更可怕的“礦難”,投資者對區塊鏈技術失去信心,嚴重影響投資者對科技股的估值,勢必出現恐慌性拋售,有可能出現類似2000年科技股泡沫破裂的危機。”“但是它的損害程度和蔓延能力遠遠不及次貸危機,所以比特幣危機還不能與2008年金融危機相提并論。”[2017/12/27]
為了抽走GenesisRewardsPool資金池的資金,EOA0x...9113創建了一個假的路由器合約,并將這個地址更新為GenesisRewardsPool資金池內的SwapHelper。
雖然這會帶來私鑰泄露的嫌疑,但它也意味著,需要多簽錢包四個所有者中的三個得到確認。即:任何外部黑客都必須在任何資金被盜之前破壞三個外部地址。雖然這不是完全不可能,但是概率很小。
英國金融監管機構的負責人警告說 投資比特幣需做好失去全部資金的準備:英國金融市場行為管理局(Financial Conduct Authority)負責人安德魯?貝利(Andrew Bailey)告訴英國廣播公司(BBC),央行和政府都不支持“比特幣”,因此這不是一個安全的投資。購買比特幣與賭博類似,而且具有相同的風險水平。“如果你想在比特幣上投資,就要準備好損失你的錢 - 這將是我的嚴重警告。”[2017/12/15]
當檢查0x8EBd0所有者EOA時,我們可以看到EOA0x11a9b和0xe1c37沒有交易歷史。一個錢包是獎池創建者,另一個錢包最初由Binance資助。
鏈上分析
①該事件是從0x4481A創建了一個未經驗證的假路由器合約開始。
②然后GenesisRewardPool被用來更新SwapHelper,將路由器地址改為第一步創建的假地址。這個setRouter更新需要多簽錢包0x8ebd的四個所有者中三個所有者的批準。
對setRouter的更新進行多簽批準
③0x4481A調用了假的路由器合約,并調用0x3c6455ac函數用以更新_swapExactTokenForTokens和_USDC兩個參數,其中第一個參數被設置為0x957D,第二個留了空白。
④0x4481A兩次調用OpenTrade,用于借入資金,一次用于Pool0(WETH),另一次用于Pool1(USDC)。兩次OpenTrade調用,總共向0x957D轉移了477枚WETH和1,061,759枚USDC。
對于Pool0,OpenTrade的調用觸發了477枚WETH轉移到HopeTradingHelper。此時,WETH會被正常的發送到swap地址并轉換為USDC。
另外一邊,在對0x1994函數反編譯后,我們可以看到變量`v9`被賦值為`address(varg2)`,也就是交換`path`中的第一個token,即WETH。同時變量`v2`被賦值為預先設定的接收地址,即0x957D。而`v17`被賦值為`TradingHelper`地址,該地址存儲了所有的WETH。
下圖的一行代碼,仍然是在_swapExactTokensForTokens函數中,將'v56'地址的477WETH從msg.sender的v17轉移到了接收地址0x957D。
⑤兩次OpenTrade調用,總共向0x957D轉移了477枚WETH和1,061,759枚USDC。這些資金通過CelrBridge橋接到以太坊,并轉換為總共1,095個ETH,然后被發送到TornadoCash。
原文作者:MarcoManoppo這個系列文章將研究有趣的公司或協議,評估他們如何產生收入,估算他們的支出并分析其利潤.
1900/1/1 0:00:00文/Ignas,DeFi研究員;譯/金色財經xiaozouTerraUST的崩潰給去中心化的穩定幣生態系統蒙上了一層陰影.
1900/1/1 0:00:002022年,從引爆AI作畫領域的DALL-E2、StableDiffusion等AI模型,到以ChatGPT為代表的接近人類水平的對話機器人,AIGC不斷刷爆網絡.
1900/1/1 0:00:00撰文:TengYan 編譯:Kate,Marsbit注:本文來自@0xPrismatic推特,MarsBit整理如下:看到很多關于@blur_io如何吞噬OpenSea/Blur擁有最好的產品/.
1900/1/1 0:00:00感受到那個藍點了嗎?在Coinbase發布了一個神秘的短視頻?,指定當天為Bigday后,CT一時間充斥著藍點熱潮.
1900/1/1 0:00:00來源:財聯社 記者徐賜豪 美東時間22日,加密貨幣交易所Coinbase在盤后發布了2022財年第四季度財報.
1900/1/1 0:00:00