据 Cointelegraph 报道,BaseBros Fi 是 Base 区块链上的一个收益优化 DeFi 协议,该协议在通过未经审计的智能合约窃取用户投资后从互联网上消失。
9月13日,BaseBros 删除了其官方网站和在 X 和 Telegram 上的社交媒体账户。区块链安全公司 Chain Audits 发现,该 DeFi 项目通过“未经审计和未经验证的 Vault 合约”策划了一次 Rug Pull。
BaseBros 在消失前在 X 上有大约 2000 名粉丝,在 Telegram 上有超过 3300 名成员。
Chain Audits 声称其审计了 BaseBros 项目使用的五个智能合约中的四个,并补充道:“不幸的是,促成 Rug Pull 的合约(Vault 合约)不在我们的审计范围内,也未在区块链上验证。”
未经审计的合约包含一个后门漏洞,允许公司所有者提取存入“Strategy”合约的资金。
Rug Pull 事件最初被错误地认为影响了 Seamless 协议。区块链调查员 Cyvers 表示,攻击者通过 Tornado Cash 加密混合服务转移了价值 13 万美元的被盗资金。
Seamless 进行了内部调查,宣布协议及其投资者资金未受到任何攻击。Chain Audits 也确认 BaseBros Fi 是唯一受影响的协议,多个资金池的资金被盗。
据Odaily星球日报报道,据 PeckShield 监测,WazirX 黑客标记地址通过 Tornado Cash 清洗额外 2700 枚 ETH,价值 625 万美元。
据 ChainCatcher 报道,据 Lookonchain 监测,9 月 3 日至 5 日期间,三名黑客共向匿名混币协议 Tornado Cash 存入 17800 枚 ETH,价值约 4270 万美元。其中:Penpie 攻击者存入 9600 枚 ETH(约 2300 万美元);WazirX 攻击者存入 7200 枚 ETH(约 1730 万美元);曾攻击分布式资本创始人 Bo Shen 的黑客存入 1000 枚 ETH(约 240 万美元)。
据 Foresight News 报道,PeckShield 监测显示,Penpie 攻击者标记地址已将 1000 ETH(价值约 244 万美元)转移到 TornadoCash。
当前约 101.1 万被盗 ETH(约 2470 万美元)仍停留在地址 0x2f2d...1C39。
据 ChainCatcher 报道,Van Loon 原告于 9 月 2 日在第五巡回法院上诉,起诉美国财政部将 Tornado Cash 列入特别指定国民(SDN)名单的决定。原告认为,财政部在没有明确指导方针的情况下对这一开源项目实施制裁,可能威胁到程序员的第一修正案权利。Van Loon 及其团队于 2023 年 9 月起诉财政部,指责其超越权力。
Tornado Cash 因被指控涉及洗钱活动而遭到制裁,政府声称自 2019 年以来该平台涉及超过 70 亿美元的非法资金。电子前沿基金会(EFF)支持此诉讼,担心政府的制裁会对开源软件开发产生寒蝉效应。此前地方法院已驳回诉讼,认为制裁仅限于涉及 Tornado Cash 智能合约的交易,不影响开源代码的开发和讨论。然而,EFF 和其他数字权利倡导者依然对案件的广泛影响保持关注,强调保护程序员权利的重要性。