ETH:被盗约1700万美元 DeFi 世界的乐高Dego Finance就这样“塌了”吗？

2月10日，成都链安链必应-区块链安全态势感知平台舆情监测显示，DeFi应用Dego Finance遭到黑客攻击，UniSwap 和 PancakeSwap 上的 DEGO 流动性已被耗尽。关于本次攻击，成都链安技术团队第一时间进行了资金流向分析。

据悉，Dego Finance于2020年9月启动，以打造可持续性和实用性的NFT生态系统为目标，打造了NFT+DeFi平台。有人说，在DeFi的世界里，DEGO就相当于乐高。将每一个DeFi协议当作是一块砖，包括稳定币(DAI)、借贷?(Aave, Compound)、去中心化交易所DEX (Uniswap and Balancer)、衍生品(Synthetix)和保险(Nexus Mutual)等等。

2月10日，Dego Finance官方推特发布公告称被黑客攻击，DeFi 世界的乐高就这样“塌了”！

Swapos被盗事件关联地址将110枚ETH转至Tornado Cash:金色财经报道，据CertiK监测，与4月19日Swapos被盗事件关联的EOA地址0x73d8c将110枚ETH（约20.56万美元）转至Tornado Cash。[2023/4/26 14:27:20]

本次攻击涉及多个账户地址私钥泄露，黑客利用私钥提取了多个链上的资产，具体分析请接着往下阅读。

我们以ETH链上攻击为例，对Dego项目方其中一个地址的资金流向做了详细分析。

首先，项目方私钥泄露的DEGO.Finance: Deployer地址为：

安全团队：疑似BXH 9月21日被盗资金出现异动，1865 ETH转移到Tornado Cash:金色财经消息，据慢雾安全团队，根据BXH笨小孩团队9月23日的通告，前天（9月21日）晚被盗共计价值250万美元的资产以及3800万BXH代币。

慢雾MistTrack分析评估，BXH VaultPool合约原owner的私钥疑似被盗，调用inCaseTokensGetStuck函数转移合约中资金到黑客地址，黑客地址为0x158f...e345。

截止目前，黑客已将被盗资金跨链兑换到ETH链，并进一步将全部被盗资金转移到Tornado Cash，转移额共计1865 ETH。慢雾MistTrack将持续跟进被盗资金的转移。[2022/9/24 7:18:31]

0x20FE4B1eD95911487499e53355BB8f14a881D735

动态 | 唯链基金会公开回购地址被盗事件进展情况：7.27亿VET已被冻结:唯链基金披露回购地址11亿枚VET代币被盗事件的进展情况。公告显示，目前回购地址被盗事件已得到有效控制。具体事件进展整理如下：

1.被盗事件发生后，对基金会其他钱包进行检查，排除异常，确保安全；

2.通知主要交易所，采取一切必要措施；

3.唯链社区项目VeChainStats主动提出部署一个黑名单以便实时追踪被盗数字资产；

4.Hacken团队与2000余名白帽黑客共同合作，追踪被盗数字资产；

5.12月18日，开发团队发布了唯链雷神区块链 v1.1.5版本，所有超级权益节点可以选择完成版本升级以对黑名单中的窃贼地址进行暂时性的拦截。目前，所有超级权益节点已经同意进行版本更新。在此情况下，被盗数字资产将无法进行转移；

6.目前，超级权益节点已对黑名单中469个与窃贼相关的地址进行了拦截，从而冻结共计约7.27亿VET；

7.基金会将根据最新生效的治理模型，针对此次特殊事件发起所有相关权益者的投票。此次投票有关是否同意将黑名单永久写入唯链雷神区块链中。投票通过后，469个在黑名单中的地址将被永久锁定（相当于地址上的7.27亿个VET将被销毁，并从总供应量和流通量中永远减去）。具体投票规则不日将正式公布；

8.对窃贼的调查工作，目前正在与专业的网络安全服务公司合作，同时，正在进行严密交叉取证，一旦获得确凿证据将会上报。

内部管理及调整方面，唯链基金会运营委员会负责人张杰作为财务部门的负责人对此负有管理责任。张杰将卸任首席财务官的职位，并由财务总监暂代。同时，张杰先生已放弃第二届唯链基金会战略决策委员会的被选举资格以及2020年50%的全年薪酬。作为最终负责人的唯链首席执行官陆扬也将承担相应责任，并同样自愿放弃2020年50%的全年薪酬。[2019/12/23]

攻击者地址为：

声音 | 筑波大学专家：Zaif被盗加密货币已经转入超3万个地址 或已无法追踪:据virtualmoney消息，距离Zaif加密货币交易所被盗已半月有余，事件进展较为缓慢，对此筑波大学研究小组的专家表示，由于犯罪分子使用了“mixing”的方法，因此在被盗虚拟货币转移途中已经无法追踪其去处，并称如果能够及时进行检测到异常并立刻采取行动，其实是可以成功追踪的。据悉，这些虚拟货币已经被转入超过3万个地址。[2018/10/7]

0x118203B0f2A3ef9e749D871C8fEF5e5e55ef5C91

攻击者通过私钥，使用minter权限分别向DEGO.Finance: Deployer账户和0x118账户铸造了592,582.35个dego代币。

之后移除ETH-dego交易池的流动性。

攻击者通过DEGO.Finance: Deployer账户移除流动性获取了269,502个dego代币和378个ETH。

然后将DEGO.Finance: Deployer账户获取的378个ETH转给了0x118地址。

同时，该黑客转移原本属于项目方地址的441个yvWETH给0x118地址。

此时0x118账户上有获利的（371.6+378.75）750.37个ETH和其他转入的7.10个ETH一共757.4个。

截止目前发文，在Ethereum链上，攻击者在0x118地址将441个yv WETH转入 Zapper.Fi: Yearn yVault Zap Out 兑换了445 个ETH，获取共1202个ETH，转入Tornado.Cash: Proxy 400 ETH。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址转入202个ETH。

在Cronos链上，在0x118地址获取了196256.7个USDT和199401.9个USD Coin，还未转出。

在BSC链上，获取3736.17个BNB，通过代币兑换获取9188个BNB。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址转入了12,741个BNB。

三条链上0x118地址总计约17,627,676美元，目前，官方称正在调查原因并试图挽回损失。

随着DeFi的不断发展，DeFi项目的安全问题也愈发紧急。对比于传统金融，DeFi的底层靠的是智能合约，本质上是程序，程序拥有传统金融不可比拟的高效性和便捷性，但也存在传统金融无需考虑的代码漏洞问题。所以成都链安建议大家，对未公开智能合约和审计报告的项目，要保持警惕。

标签：ETHDEGEGODEGOethereum-classicDEGAI价格Lego Coin V2Dego Finance

AVAX热门资讯