北京时间2022年2月14日23时6分,CertiK安全技术团队监测到某合约所有者/开发者(0x9b74fde50f3fcd3a02fafea6a187092630d6eb8f)在交易https://bscscan.com/tx/0x749215ebe457aa681194684401257fe8fb44daecb9f50a077b12c71e83cf9414中从未经认证的Bnb42合约(0x7c8ffcfefff2e62a77bfa82bdba730cc0e8129cf)转移了约6,445枚BNB。
合约所有者分8个地址转移了该RugPull的BNB。
这是继上周的BabyMusk价格跳水式下跌,又一RugPull事件的出现。
欺诈者地址
青岛市博物馆首发数字藏品:金色财经报道,据青岛市博物馆官方公众号,青岛市博物馆今日发布以“印记时间”为主题的馆藏印章文创数字藏品,共计六款,首发量款清代“御赐赞元介景”螭纽象牙印章和汉龟钮铜方印,每款限量2000份。[2022/5/18 3:25:53]
欺诈者地址:
https://bscscan.com/address/0x9b74fde50f3fcd3a02fafea6a187092630d6eb8f
RugPullBNB的第一笔转移地址:https://bscscan.com/address/0xeccc6b23401099eb912c4bb1021f4b04995614cc
RugPullBNB的第二笔转移地址:?https://bscscan.com/address/0xb77b672cfd045d29b09d0eca336f2311d147b46e
乾坤数藏4月14日首发圆明园十二生肖兽首人身铜像数字藏品:金色财经报道,乾坤数藏将联手中国文物交流中心和北京圆明畅和文化发展有限公司,在中国画院的监修下于4月14日首发\"圆明园海晏堂铜版画\"及\"圆明园十二生肖兽首人身铜像数字藏品。
此前消息,港股上市公司疯狂体育推出数字藏品平台“乾坤数藏”,正式进军数字藏品领域。(新华社客户端)[2022/4/7 14:11:10]
第三:?https://bscscan.com/address/0x9d6fab1206dda7443869e6837678f5fc9a089938
第四:?https://bscscan.com/address/0x3bca51032e61ab6adffce2079952e628daea5b8f
第五:?https://bscscan.com/address/0x21274ca4e26e2e231d7231f4ad131970a57e09e7
链游社区ParagonsDAO公布首发PDT细节:1月17日,链游社区 ParagonsDAO 公布社区首发 PDT 细节。社区将于北京时间 1 月 18 日 0 点起同时开启 Initial Bonding Event 和 Copper Launch LBP。其中 Initial Bonding Event 允许用户出售可用的 Parallel 卡来交易获取 PDT,该活动将分发 810 万枚 PDT,售完为止。Copper Launch LBP 将持续 72 小时,该活动将分发 3750 万枚 PDT,拍卖初始价格为 0.34 DAI/PDT。
此前,团队宣布将原定于 15 日的首发活动推迟三天,为将社区的一些优秀反馈和建议反映到发布体验中[2022/1/17 8:53:35]
第六:?https://bscscan.com/address/0x6a433937fd0b4dec7dc2f332c55f43a1ee380a3e
Gate.io Startup首发项目TARA认购结果及上线交易:据官方公告,Gate.io Startup 首发项目Taraxa (TARA)已于2021年3月20日12:00认购成功。Gate.io将根据每个人的下单情况和每个下单币种的认购系数进行TARA分发,并将于3月23日21:00开通TARA交易并随后开通提现服务。据悉,此次认购6小时内下单同等对待,共有12,876人下单,下单总价值超过1,000万美金,认购系数约为0.0109。[2021/3/21 19:04:38]
第七:?https://bscscan.com/address/0xf6d4933afa07c20dac9d6917c89e91656bcf54eb
第八:?https://bscscan.com/address/0x12a0a80f3418c87a671fe790c37de8709d16c66f
欺诈者地址
ZG.COM于2月19日16:00首发上线优质挖矿项目HFI:据官方公告,ZG.COM于2021年2月19日10:00开放HFI的充币业务,于2月20日10:00开放HFI的提币业务,于2月19日16:00开启HFI/USDT交易对。
HFI是一个基于生态链的去中心化聚合挖矿平台。HFI为用户严格甄选链上安全的挖矿项目,自动将用户存入的钱放入到收益最高的挖矿池中,将收益的定期发放并且附带给予 HFI(HecoFI的平台激励通证)奖励。[2021/2/19 17:29:13]
欺诈者地址:
https://bscscan.com/address/0x9b74fde50f3fcd3a02fafea6a187092630d6eb8f
RugPullBNB的第一笔转移地址:https://bscscan.com/address/0xeccc6b23401099eb912c4bb1021f4b04995614cc
RugPullBNB的第二笔转移地址:?https://bscscan.com/address/0xb77b672cfd045d29b09d0eca336f2311d147b46e
第三:?https://bscscan.com/address/0x9d6fab1206dda7443869e6837678f5fc9a089938
第四:?https://bscscan.com/address/0x3bca51032e61ab6adffce2079952e628daea5b8f
第五:?https://bscscan.com/address/0x21274ca4e26e2e231d7231f4ad131970a57e09e7
第六:?https://bscscan.com/address/0x6a433937fd0b4dec7dc2f332c55f43a1ee380a3e
第七:?https://bscscan.com/address/0xf6d4933afa07c20dac9d6917c89e91656bcf54eb
第八:?https://bscscan.com/address/0x12a0a80f3418c87a671fe790c37de8709d16c66f
RugPull交易
RugPull交易:?
https://bscscan.com/tx/0x749215ebe457aa681194684401257fe8fb44daecb9f50a077b12c71e83cf9414
RugPull操作步骤
1.合约所有者0x9b74fde50f3fcd3a02fafea6a187092630d6eb8f在该交易0x749215ebe457aa681194684401257fe8fb44daecb9f50a077b12c71e83cf9414当中,调用了withdraw函数来转移6,445.424785656563617736BNB到自己的地址。
2.合约所有者转移了BNB到8个以上列出的不同地址。
3.8个地址中的BNB,通过TornadoCash将钱的来路洗白。
为何定义为RugPull
1.合约的所有者部署了一个未经认证的合约,其中函数withdraw只允许所有者提取所有BNB(eth.balance(this.address)wei)到所有者的地址。
2.反编译的Bnb42合约部署在0x7c8ffcfefff2e62a77bfa82bdba730cc0e8129cf
3.合约的所有者(0x9b74fde50f3fcd3a02fafea6a187092630d6eb8f)将BNBRug到自己的地址交易。
合约漏洞分析
该RugPull问题属于中心化风险。
在CertiK整理编撰的2021年DeFi安全报告中,详细地描述了该类风险于2021年导致的资产损失及相关起因。
资产去向
合约所有者总共Rug了6,445.424785656563617736单位的BNB。
审计能发现问题吗
可以。同时,CertiK的安全专家建议:遇到未经验证的合约,投资时需要谨慎。
本次事件的预警已于第一时间在CertiK官方推特进行了播报。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了2500家企业客户的认可,保护了超过3110亿美元的数字资免受损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。