最近,DeFi流動性挖礦火熱,各類項目層出不窮,蔬菜、水果、動植物等各種名字都不夠用了。“古典老韭菜”也陸續入場。
Odaily編輯部也曾探討過,DeFi熱潮最后會以何種方式謝幕,其中之一便是代碼不行,引來黑客攻擊,或項目方留了后門,最終導致幣價暴跌。
沒想到這么快就有了實例。上周,EOS上的DeFi挖礦項目EMD?跑路,并留下放肆宣言,可沒想到最后項目方又“認慫”,歸還了部分被盜資產。
聯想到今年年初DForce事件黑客同樣歸還資金,以及近期Sushiswap創始人套現后歸還資產,不少人感嘆:這屆黑客和項目不行,跑路都不硬氣。
實際上,黑客或項目方還錢,并非良心發現,而是現實壓力所逼。
事件回顧:IP地址暴露導致身份泄露
9月9日,慢霧安全團隊發布提醒稱,EOSDeFi挖礦EMD疑似跑路,并卷走了轉移了78萬USDT、49萬EOS、5.6萬DFS。
加密投資機構BitLucky董事與聯創疑似跑路,逾7500萬美元客戶資金受損:5月21日消息,克羅地亞加密貨幣投資機構BitLucky董事Luka Burazer在5月19日發給客戶的一封電子郵件中表示:“由于一系列糟糕的交易和決策,公司現在面臨危機。我們將在接下來的幾天里提供更多信息”。但之后,他和公司聯合創始人便徹底失聯并刪除了社交媒體。該公司的一位秘書在電話中解釋道,“董事花光了所有的錢”。據稱,這些損失涉及名義上價值7000萬歐元(約7570萬美元)的加密資產,受影響用戶至少達700人。據悉,BitLucky稱將把客戶的錢投資于加密貨幣,并承諾每月盈利5%-25%。[2023/5/21 15:16:32]
項目方還囂張地給受害者留言:經過社區投票,你被凍結了。EOS就是可以這么為所欲為。回頭是岸吧,送外賣才能獲得快樂。
不死心的受害者們,還是給黑客地址留言,希望能歸還被盜代幣。但無論是威逼,還是利誘,通通不好使,跑路的黑客始終無動于衷。
BSC生態Rabbit Finance代碼存在漏洞,或有跑路嫌疑:Medium用戶Anonymous Dev發布文章稱,BSC生態Rabbit Finance代碼存在大量漏洞,或有跑路嫌疑。漏洞包括:1. 代幣RABBIT的總供應量不是團隊所稱的203,000,000的硬頂;2. Rabbit's FairLaunch的擁有者可以隨時無限量發行RABBIT代幣;3. 100%的倉位可以隨時被清算,資金隨時會被盜,可配置的協議參數沒有最大限制;4. 平臺的所有資金都可能被盜;Rabbit的EOA賬戶可以隨時升級執行合約據悉,Rabbit Finance是BSC生態杠桿流動性挖礦協議Alpaca Finance的競爭者,TVL約4.8億美元,且經過了Certik和Chains Guard的安全審計。當前,代幣RABBIT報0.27美元,24H跌幅近65%。另外,官方未對此事作出回應。[2021/7/14 0:50:17]
此時,TokenPocket錢包站出來發聲,稱掌握了黑客曾經的IP地址。由于跑路的EMD項目曾使用過TokenPocket錢包,因此留下了IP地址以及移動設備等信息,并被TokenPocket定位到。再加上受害者開始報警,進行追查,黑客慌了。
聲音 | EOS原力創始人孤矢:社區不應該老是關注BM跑路不跑路的問題:EOS原力創始人孤矢剛剛在朋友圈表示:“BM這次要做的那條新鏈是有完整的聊天記錄的,別媒體之間轉來轉去就搞成跑路了。社區不應該老是關注BM跑路不跑路的問題,社區早就該自己把開發的活兒當成自己的事兒,EOSIO還是有很大的改進空間。BM的愿景是讓人類通過自由市場獲得自由掌握自己的命運,意味著他不會all in到某條鏈上,甚至都不一定一直 All in區塊鏈,沒必要拴著他。不管BM跑不跑路,他的開發實力和創新能力都是碾壓那些還在白皮書階段的所謂國際頂級團隊的。這次描述那條新鏈是有真實需求,也有實現路徑。BM說新的鏈甚至可能不是區塊鏈,這是非常正確的做事方式,他開發新鏈的目的不是做區塊鏈也不是要去中心化,是要解決他愿景里遇到的實際問題。本來從學術上講EOSIO也沒那么區塊鏈,但最后大家還是覺得好用接受了。”[2018/11/29]
9月11日下午,EMD項目方在轉賬備注中表示,愿意歸還被盜資產,但是必須停止現在所做的一切活動,否則將銷毀私鑰。隨后歸還了26萬余枚EOS及5.6萬枚DFS,但并未全部歸還被盜資產。
幣安聯合創始人何一深夜發微博回應“大額代投跑路”事件:昨天由于優先處理一起“大額代投跑路”事件,對一位疑心自己沒有掛單卻成交的用戶不夠耐心,回應不夠及時也確實怪我沒看到7千多條信息中這一條:,后續引來部分幣圈自媒體紛紛關注;經查自媒體提到的兩位賬號幣種發生變動,一位用戶是賬號被盜后黑客欲賣出提走,因為風控黑客未能成功將代幣提出;一位確實賬號無異常,確認其賬號一直沒有下線過,IP無變化,且在賣出后到今天該幣種持續下跌,幣安雖然提供止盈止損的功能,但不會主動替您止損;雖然因為我的不夠耐心引來風波,所幸代投將1000多萬全數歸還給用戶。[2018/1/8]
TokenPocket方面猜測,團伙已經分錢,團隊里有人退回被盜資產,有人沒有,因此目前受害者仍然沒有消案,也在繼續追查;并且,TokenPocket已和進行交涉并提交了黑客相關材料,具體細節不便公布。
從EMD事件可以看出,項目方因為身份信息暴露,擔心遭受法律制裁,最終還款。
無獨有偶,今年4月19日,dForce的去中心化借貸協議Lendf.Me遭到黑客攻擊,價值約2500萬美金的加密數字資產被盜。案件發生后,dForce團隊曾表達了想與黑客協商溝通的意愿,但遭到無視,dForce遂向新加坡報案。
案件最終得到解決,同樣是因黑客在去中心化交易所1inch上泄漏了自己的IP地址。1inch配合新加坡以及dForce團隊向黑客施壓,迫使其歸還贓款。
除了上述兩個案例,近期流動性挖礦項目SushiSwap創始人?ChefNomi?也因為承受不住壓力,最終將自己套現的ETH歸還社區。
ChefNomi的壓力主要來自于兩方面:
一是其真實身份可能被曝光。曾有猜測說,ChefNomi可能是Band聯合創始人SorawitSuriyakarn,不過遭到后者否認;另外,另一位疑似SushiSwap團隊的推特用戶「0xMaki」曾發文表示,要曝光所有事情,包括ChefNomi身份。
二是來自法律的壓力。由于ChefNomi套現導致SUSHI大幅下跌,投資者損失慘重,選擇維權。福布斯?刊文稱,多名SUSHI持有者對ChefNomi發起了集體訴訟。雖然ChefNomi一直保持匿名,但隨著FBI和IRS的介入,在Twitter上留下IP地址的ChefNomi勢必難逃。
綜上所述,如果不是走頭無路,害怕真實身份被曝光,這些黑客以及跑路的項目方,根本不會對受害者報以任何同情,也不會歸還自己的「成果」。?
黑客能逃掉嗎?
上述三個案例,其實都有一個共同點,即留下IP或者相關證據,能夠直接與其實體相對應。
雖然錢被追回來了,但大家不應該抱有僥幸心理。因為,這些黑客,只是沒有經驗的入門選手。
“他應該是一名優秀的程序員,但卻是沒有經驗的黑客。“?1inch創始人SergejKunz表示。
頂級黑客會怎么做?
首先,黑客訪問某個網址,并不會使用我們常見的、會留下IP地址的瀏覽器。他們會使用代理服務器來滿足匿名需求,避免被追蹤。洋蔥路由器是所有工具中級別最高的,也是最常見的選擇。
在盜竊成功后,黑客也不會直接把幣轉至大型交易所,因為這些交易所的反洗錢措施相對比較完善,已標記過大量地址,很容易追查至實體賬戶。
因此,黑客要做的就是“洗錢”。一般有幾種操作:
一是將被標記黑客賬戶資金打散至多個小賬戶,多次轉移,最終匯聚到一個個不需要KYC認證的小交易所變現。
二是將贓款通過混幣平臺進行洗白。這類平臺不僅支持Tor訪問,而且向用戶承諾沒有操作日志,不會記錄用戶交易數據。
最終,贓款經過多次重洗,流入黑客自己的賬戶,無論是還是第三方公司,都很難追查。
來自慢霧的數據顯示,過去十來年,加密市場已經發生了289起黑客攻擊事件,共造成損失130.395億美元。但回顧這些攻擊事件,破案者寥寥可數,這也是黑客一直猖獗的原因。
如何防范?
雖然黑客橫行,但并不意味著我們無能為力,任人宰割。投資者可以從以下方面進行防范:
一是選擇有安全審計公司審計過的項目。慢霧安全團隊提醒,投資者在參與EOSDeFi項目時應注意相關風險,要注意項目方權限是否為多簽,由于EOS本身的特性,非多簽的EOS合約賬號可轉移合約內的資金。
二是出現被盜后,不要再次向黑客轉賬,第一時間報警,警察會聯系相關單位進行配合調查,盡可能減少損失。
最后,祝大家遠離黑客,早日財務自由。
作者|秦曉峰
編輯|郝方舟
Tags:EOSBITRABBITCHEeos幣為什么漲不起來bitmart理財Moon RabbitDrachen Lord
尊敬的用戶: Hotbit即將開啟NYAN(Nyan.finance)數字資產服務,并開放NYAN理財產品。預計年化收益:10%;計息:T1.
1900/1/1 0:00:00親愛的用戶: DigiFinex將于2020年9月15日19:00(GMT8)上線DawnProtocol(DAWN)并同步開啟充幣服務.
1900/1/1 0:00:00尊敬的ZT用戶: 因ERC-20鏈的節點維護,ZT現已暫停ERC-20鏈USDT的提幣業務,由此給您帶來的不便敬請諒解.
1900/1/1 0:00:00Swerve的配料成分:配方:代碼分叉自市場里的定級項目Curve口味差異:1.Swerve的分發將100%通過挖礦完成,不存在Curve的預挖及提前分配;2.挖礦池中不需要添加yUSD.
1900/1/1 0:00:00DeFi被認為是一場“新金融革命運動”DeFi是個較為寬泛的概念,包括:貨幣發行、貨幣交易、借貸、資產交易、投融資等.
1900/1/1 0:00:00為了與用戶更好地溝通,讓用戶簡單快捷地獲取平臺動態,我們特別設置了“運營周報”欄目:總結平臺上周熱點,讓您在短時間內迅速了解近期平臺信息,呈現最真實透明的LOEx給您.
1900/1/1 0:00:00