熊市可以不賺錢但是不能丟錢!近期一名 KOL 沒有取消在 Hashflow 廢棄合約的授權,被駭客盜走 1 萬美金,研究員也提醒「去年五月」之前使用的用戶記得查看授權狀況。
(前情提要:Hashflow今晚9點上架幣安、Coinbase;幣安Launchpad礦池已破60億美元 )
(背景補充:Revoke打詐騙》新功能「錢包簽名儀表板」,20秒取消惡意授權)
加密貨幣市場投資中「錢變不見」的可能性除了合約爆倉、項目方跑路、交易所破產倒閉…..等,還有一種對於不熟悉程式代碼的用戶來說,更難以防範的,就是駭客的惡意攻擊、轉帳,如果發生在擁有眾多用戶基礎的項目,受害規模往往非常驚人。
KOL 被盜超過 1 萬USDT
近期市場氛圍低迷中,有一位 KOL @0xbitsun 遭到駭客盜用 1 萬美元 USDT,該名 KOL 推文中看起來相當氣憤,表示自己只是從 OKX 提取了 10,500個 USDT 到 Arbitrum 鏈上,但資金在瞬間被轉走了。並且強調自己該錢包已經使用很長一段時間,並且在各個區塊鏈上都保持了良好的安全記錄,因此排除了私鑰泄露的可能性。
KOL 檢查了歷史記錄,發現只向 odos 和 hashflow 這兩個項目授權過 USDT 的使用。然而,他發現 Hashflow 的合約在 Arbiscan(Arbitrum的區塊瀏覽器)上被標註為不明合約,並在推特上看到很多人報告了 Hashflow 授權被盜的情況,最後建議大家盡快取消授權。
據了解,Hashflow 是一個去中心化的加密貨幣交易平台,主打跨鏈、無 MEV、無滑點,由 Jump Trading、Gsr、Wintermute 等頂級做市機構融投近 3,000 萬美元,在去年幣安上線 Lauchpool 後,3 天內湧入資金就超過了 60 億美元,一舉破了幣安 Lauchpool 的紀錄。
延伸閱讀:觀測|幣安新幣挖礦 Hashflow,主打鏈下流動性聚合DEX + 遊戲化DAO
廢棄合約遭到駭客調用
Hashflow 官方網站在今年 6 月發布推文表示,去年 5 月有一個智能合約因為發現漏洞,遭到官方棄用,今年 6 月14 日開始,一名白帽黑客開始無預警得從未撤銷授權的錢包中轉移資產,部分用戶收回資產,但後續還是有駭客不肖利用,官方提醒用戶記得取消授權,並表示目前使用的智能合約完全沒有問題。
In regards to yesterday’s issue identified by @peckshield, below is a post-mortem for visibility and transparency:
1. Impacted router contracts were deprecated by Hashflow on May 3, 2022.
2. Hashflow made an official announcement on social channels the same day, notifying all…
— hashflow (@hashflow) June 15, 2023
安全研究團隊 Beosin 其研究員 @wzxznl 也在 6 月發布詳細過程,他觀察到一位受害者的錢包在 2022 年 4 月 23 日授權給了一個尾號 Af0c 對合約無限的 USDT 額度, 該尾號 Af0c 的合約即是 Hashflow 部署的一個合約,他指出受害用戶基本上在去年五月份使用該合約時,對該合約進行了大額度的授權。
你在去年五月之前使用過Hashflow並進行了授權,那麽你現在已經暴露在資產被盜的風險中!你可以進入Etherscan的授權查詢界面查詢你的授權,取消所有有風險的合約授權!
最後,如果他也提醒在「去年五月」之前使用過 Hashflow 並進行授權的用戶,記得取消授權,喊話熊市可以不賺錢但是不能丟錢!
