2月21日，根据区块链安全审计公司Beosin的BeoS in鹰眼安全风险监测、预警与阻断平台的监测，发现Arbitrum chain上的希望金融项目存在地毯式拉，也就是我们通常所说的“地毯式拉像骗局”。

Beosin安全团队发现，攻击者(0xdfcb)利用多重签名钱包(0x1fc2)执行修改TradingHelper契约路由器地址的交易，使得GenesisRewardPool契约使用openTrade函数借款时，在调用TradingHelper契约的SwapWETH函数进行交换后，不会通过sushiswap的原路由器进行交换，而是直接将转让的令牌发送给攻击者(0x957d)进行获利。攻击者分两次提取了约180万美元。

攻击交易1:

0x c 9 e 5 e D274A 788 f 68 a1 e 19852 CCA DDA 7 CAA 06 e 2070 e 80 FD 656 a 2882 d6b 77 EB(修改路由器合同的攻击交易)

攻击交易2:

0x 322044859 fa 8 e 000 c 300 a 193 ee 3c AC 98 e 029 a2 c 64255 de 45249 b 8610858 c 0679(447 weth)

攻击交易3:

0 x 98 a6 be 8 DCE 5b 10 b 8e 2 a 738972 e 297 da 4c 689 a1 e 77659 cdfa 982732 c 21 fa 34 CB 5(1061759 usdc)

昨天，Beosin Trace发现攻击者已经将跨链合约中的资金转移到以太网链中，最后所有资金都进入了tornado.cash。

Beosin也在第一时间提醒用户:请不要抵押0x1FC2..E56c合同，并建议取消与项目方相关的所有授权。

有趣的是，该项目似乎知道它属于谁，并直接发布攻击者的信息。

该帖子声称，黑客是一名尼日利亚人，名叫Ugwoke Pascal Chukwuebuka。尼日利亚国民参与该项目的情况尚不清楚，但他的实际身份受到社区成员的质疑。

然后，一个Twitter用户分享了在地图中搜索到的地址，直接开启了“人肉”模式。

公开资料显示，希望金融的智能合约是由一家不知名的机构审计的。虽然标注了一些小漏洞，但平台得出的结论是希望金融的智能合约代码已经“顺利通过审核”，“无预警”。

这也提醒了我们找正规安全审计公司的重要性。

根据Beovisin 2022年年报数据，去年2022年共发生超过243起拉毯事件，涉及金额总计4.25亿美元(FTX事件暂不包括在内)。

在243起拉地毯事件中，有8个项目涉及超过1000万美元。210个项目(约86.4%)的运行金额集中在几千到几十万美元的范围内。

Beosin还总结说，地毯拉力赛具有以下特点:

1.地毯周期短。大部分项目上线后三个月内就跑路了，所以大部分资金都集中在几千到几十万美元的区间。

大多数项目都没有经过审计。一些项目在代码中隐藏了后门功能，因此普通投资者很难评估项目的安全性。

3.缺乏社交媒体信息。至少一半的rug pull项目没有完善的官网、Twitter账号和telegraph/disco群。

4.项目不规范。有些项目虽然有官网和白皮书，但是细看却有很多拼写和语法错误，有的甚至大段大段抄袭。

5.热门项目增多。去年有各种热钱跑路事件，月鸟，LUNAv2，伊丽莎白，川普等。，平时上线很快，出逃也很快。

因此，无论是项目还是用户都需要做好安全防护。有些项目开发匆忙，未经审核就上线，容易受到攻击。另外，除了合同安全、私钥/钱包安全、团队运营安全等等，还有一个薄弱的领域可能会给项目方造成巨大的损失。

温馨提示：注：内容来源均采集于互联网，不要轻信任何，后果自负，本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权，请给我们来信，我们会及时处理和回复。