2月21日,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上HopeFinance项目发生RugPull,也就是我们通常所说的“拉地毯似局”。
Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。?
ZigZag:Discord已被黑客入侵,请勿点击网络钓鱼链接:6月27日消息,ZK Rollup订单簿DEX协议ZigZag在推特上表示,我们的Discord已被黑客入侵,请注意,ZigZag目前没有空投活动,请勿点击网络钓鱼链接。我们正在努力解决这个问题,当重新获得控制权时将提供更新。[2023/6/27 22:02:29]
攻击交易1:
0xc9ee5ed274a788f68a1e19852ccaadda7caa06e2070f80efd656a2882d6b77eb
攻击交易2:
0x322044859fa8e000c300a193ee3cac98e029a2c64255de45249b8610858c0679(447WETH)
成都链安:国内天穹数藏宣称遭黑客攻击,黑客利用虚假余额购买盗取用户的藏品:5月17日消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,天穹数藏宣称遭黑客攻击,藏品售价异常高达近千万元。根据平台公告称:平台数据遭遇大量恶意攻击,黑客利用虚假余额购买盗取用户的藏品,导致数据异常,目前已恢复,平台已第一时间报警处理。成都链安安全团队初步分析,导致本次攻击的原因猜测为:攻击者通过传统网络安全攻破了平台方数据库,恶意篡改账户余额,导致大量用户高价挂单仍可成交,最终导致数据异常。成都链安安全团队建议:
1、 国内数字藏品平台方在设计、实现和部署的过程中,要关注通信与网络安全、主机安全、数据库安全、移动安全等传统安全领域,做好安全防护;
2、 国内数字藏品平台方在运维的过程中,要做好金融风控的设计和实施,避免出现大规模资金异动而不自知的情况;
3、 数字藏品消费者在选择交易平台时,需要关注平台合规风险,注意保障自身财产安全;
4、 数字藏品消费者警惕炒作风险和市场泡沫,避免泡沫破裂时造成财产损失。[2022/5/17 3:22:51]
攻击交易3:
EOS网络基金会成立Recover+核心工作组,建立完善黑客攻击危机处理框架:1月5日消息,EOS网络基金会领导者Yves La Rose宣布成立第六个核心工作组,该工作组命名为Recover+,由EOS生态DeFi项目Pizza领导,旨在建立危机处理框架,通过制定紧急联络、反应机制、DAO保险和白帽奖励等措施,帮助EOS项目方在遭遇黑客攻击后以更合理有效的方式应对危机及追回丢失资产。
12月8日,黑客利用溢出漏洞攻击Pizza,并在短时间内创建了一百三十余万个账户分散资金。Pizza联合慢雾、各大节点、交易所共同进行追查,于12月12日与黑客达成和解。
此前,EOS网络基金会已资助成立API+、Wallet+、Core+、Audit+和EVM+五个核心工作组。五个工作组将于2022年第一季度各自提交一份黄皮书,帮助完善EOS网络基础设施和规划未来发展蓝图,助力EOS网络成为开发者首选开发平台。[2022/1/5 8:27:42]
0x98a6be8dce5b10b8e2a738972e297da4c689a1e77659cdfa982732c21fa34cb5(1061759USDC)
动态 | 黑客利用谷歌广告系统勒索比特币:近日,KrebsOnSecurity组织揭露了一起新的比特币赎金局。该局利用谷歌AdSense广告系统,威胁发布者和网站,黑客称如果不按期交钱,将用机器人生成的视图充斥整个网站,以触发Google的反欺诈措施。
据KrebsOnSecurity披露,一些利用Google AdSense网络投放横幅广告的网站最近收到了通过电子邮件进行勒索的试探。搞破坏的黑客要求提供5000美元的等价比特币,才能免于遭受AdSense攻击。
谷歌对此回复称,这种破坏活动实际上极为罕见,表示谷歌拥有检测机制,可以主动检测潜在的破坏活动并将其纳入执法系统。同时,谷歌还表示,无效流量通常会在广告商和发布商受到影响之前就会被过滤掉。(新浪科技)[2020/2/20]
动态 | 匿名黑客悬赏10万美元比特币以获得全球知名企业信息:金色财经报道,匿名黑客Phineas Fisher将向黑客支付高达10万美元的比特币,以收集有关全球知名企业的一些破坏性信息。该赏金计划针对大公司,包括以色列间谍软件供应商NSO Group和美国石油公司Halliburton 。该计划的目的是向其他出于动机对企业进行黑客攻击的黑客支付报酬。据报道,其他目标还包括南美的采矿和畜牧公司。[2019/11/19]
在昨天的时候,BeosinTrace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。
Beosin也在第一时间提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。
有趣的一点是,项目方似乎知道是谁的,直接放出攻击者的信息。
该帖子声称黑客是一名名叫UgwokePascalChukwuebuka的尼日利亚人。尼日利亚国民参与该项目的情况尚不清楚,但他的实际身份受到社区成员的质疑。
紧接着,有推特用户分享了地图里搜索出来的地址,直接开启“人肉”模式。
据公开资料,HopeFinance的智能合约由一家不出名的机构审计。尽管标记了一些小漏洞,但该平台得出的结论是,HopeFinance的智能合约代码已“成功通过审计”,“没有提出警告”。
这也提醒我们,找正规安全审计公司的重要性。
根据Beosin2022年的年报数据,去年2022年共发生Rugpull事件超过243起,总涉及金额达到了4.25亿美元。
243起rugpull事件中,涉及金额在千万美元以上的共8个项目。210个项目跑路金额集中在几千至几十万美元区间。
而Beosin也总结出Rugpull事件具有以下特点:
1.Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。
2多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。
3.社交媒体信息欠缺。至少有一半的rugpull项目没有完善的官网、推特账号、电报/Discord群组。
4项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。
5.蹭热点项目增多。去年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。
也因此,项目方和用户都需要做好安全防护。部分项目开发匆忙、未经审计就上线很容易遭受攻击。此外,除了合约安全、私钥/钱包安全,团队运营安全等还需要重视,有一个薄弱的领域都可能让项目方造成巨大损失。
在2017年,ICO以及公链百花齐放成为加密牛市期间最为重要的叙事,众多开发者和资金进入市场,推动区块链技术快速发展迭代;2020年,DeFi、NFT以及元宇宙等再次成为加密市场的新叙事.
1900/1/1 0:00:00撰文:Ariel、Sho,分别为TokenomicsDAO和BNBChain贡献者编译:aididiaojp.eth.
1900/1/1 0:00:00谈到近期有关NFT的热门话题,就绕不开比特币Ordinals协议。根据加密分析平台Glassnode的数据,Ordinals协议的推出使非零比特币地址的数量达到了4400万个的历史新高.
1900/1/1 0:00:002?月?16?号,ZK?系L2扩容解决方案?zkSync?宣布了?2.0?版本的上线,并将此版本称为?Era,?1.0?版本将更名为?lite,两者将长期并存,承担不同的任务类型.
1900/1/1 0:00:00社交媒体已经改变了我们的沟通方式,但不是每个人都认为这些变化总是积极的。许多社交媒体平台都因没有适当调整内容而受到批评,导致虚假信息的传播.
1900/1/1 0:00:00发力AI近十年,百度正在迎来最好的机遇。2月22日晚间,百度发布2022年Q4及全年未经审计的财务报告.
1900/1/1 0:00:00