圣诞节前的噩梦！ Defrost Finance被盗1300万美金被追回！

12 月 25 日，在全球充满圣诞气氛的节日里，因超过 1300 万美元的加密货币被盗，Defrost Finance 急得像热锅上的蚂蚁。 这起突发的安全事件一度被认为是项目方卷款跑路，那么黑客是如何实施攻击的呢？ 现在钱在哪里？

解冻金融

Defrost Finance 是建立在 Avalanche 链上的去中心化交易所。 它分为V1和V2版本。 在最近几天的攻击中，已经全部损坏，目前V2已经停用。

两个黑客

1.第一次攻击黑客地址：

0x7373Dca267bdC623dfBA228696C9d4E8234469f6

第一次攻击的破坏量较小，其行为与常规安全事件相似。 黑客利用合约缺少可重入锁，多次攻击共赚取约173,637 USDC，然后将USDC兑换成ETH。 随后被盗所得通过Celer Network跨链桥转移到ETH链上，最终流向知名混币平台Tornado.Cash。

具体过程如下：

然后是事件的激动人心的时刻，第二次袭击。

2、第二条黑客雪崩链相关地址：0x6F31EB634ABa6921fBf15fc9aA6E08f11348f64f

0x4E226B90aaa29e218A3904c5009b0056C0215342

黑客ETH链相关地址：0x4E226B90aaa29e218A3904c5009b0056C02153420x35170eAf1326b81217c78C793fa095ADaCD29192

0xfE71a3464c5E82074E149F6A0AA6EfC1E2911f3a

解冻财经官方地址：

0x5Ad30D7Ec1Ff9D95031E2b4ec2698Df29262867B

黑客恶意改造 Defrost Finance 的预言机，添加虚假抵押代币清算现有用户，导致 Defrost Finance 损失超过 1300 万美元。 芝帆安全团队分析发现，攻击者使用setOracleAddress函数修改预言机地址，然后使用joinAndMint函数向0x6f31地址铸造100,000,000个H20代币，最后调用liquidate函数获取大量USDT通过虚假的价格预言机。 稳定币。

在资金流向方面，黑客先是利用地址0x6F31将被盗稳定币转移到地址0x4E22，然后在地址0x4E22上整理出近1300万美元的稳定币跨链转移到ETH链上。 随后，黑客再次在ETH网络上组织起来。 首先，他将约300万美元的币兑换成近2443个ETH，并将ETH转入地址0x3517； 然后把剩下的币全部兑换成DAI，再转500万个DAI到地址0xfE71。

到目前为止，被盗资金中的2443个ETH位于地址0x3517，500万个DAI位于地址0xfE71，约491万个DAI位于地址0x4E22。

随后的发展

解冻财经第一时间在社交平台发布公告，称知悉该项目被黑盗usdt最新程序，并已采取应对措施。

并且和黑客交谈说可以将20%的赃款作为奖励，希望对方将赃款转入他提供的地址。 试图与黑客进行沟通和谈判也是最常用的追回被盗资金的方式之一。

根据虚拟货币追踪平台监测到的黑客资金流向，在官方发出赎回声明后，黑客实际上将货币直接转入了他的地址。

最终，黑客甚至将获得的代币全部转移到该地址，被盗资金追回。 官方收款地址虚拟货币详情如下：

被盗资金整体流向如下：

总结

在最近几天对融霜财经的攻击中，第二种行为更像是白帽子所为。 跨链后并没有对币进行匿名化处理盗usdt最新程序，最终将币全部返还给了项目方。 不过，由于融霜财经被曝未进行KYC，项目团队成员大多匿名，而此次事件的主角是项目中为数不多的大户之一，因此此次资金盗窃事件也被用户疑似做项目方的“防盗”。

虽然这起安全事件短短两天就迎来了一个“圆满”的结局，但其中暴露出的区块链安全问题依然不容小觑，也为区块链生态的监管敲响了警钟。

*本文部分素材来源于网络

更多干货内容请点击下方名片关注“智帆科技”区块链大数据分析专家