Tweet Disematkan
FlashRescue(闪援)是成功率最高的资产救援团队。
致力于被盗钱包的未领取资产抢跑。作为语言与协议安全研究的深耕者,我们曾发现早期Solidity、Move语言的报表漏洞;并且总计为各大协议成功抢跑1M+资产,累计抢跑被盗钱包未领取资产金额超过50万
中文
FlashRescue
68 posts
受害者联系我们的时候,主钱包已经被盗了,钱包受到黑客控制,但是还有大约 5wu 的资产正在质押,并且正在等待分批解锁,一旦解锁就会被黑客抢走,受害者找到我们进行救援
虽然金额不多,但是我们绝不允许黑客行为在我们眼皮下发生,并且我和 @MegaKecc 博士决定,公开本次救援的技术细节
1. 构造调用数据
EXIT_SELECTOR = keccak(b"exit(uint256)")[:4]
EXIT_CALLDATA = EXIT_SELECTOR + (TIMESTAMP).to_bytes(32, "big")
编码 exit(TIMESTAMP) 作为 calldata,函数签名与参数必须完全匹配,否则后续交易即使进入区块也会直接 revert,整个流程失效。
2. 构造交易
tx = {
"from": SENDER_ADDR,
"to": LOCKING_REWARD,
"data": EXIT_CALLDATA,
"value": 0,
}
将合约调用封装为交易体,并提前模拟获取交易所需的基本gas。
3. 设置 gas 参数
block = w3.eth.get_block("latest")
base_fee = block.baseFeePerGas
priority = w3.to_wei(1, "gwei")
max_fee = base_fee * 2 + priority
tx.update({
"type": 2,
"chainId": 1,
"nonce": w3.eth.get_transaction_count(SENDER_ADDR),
"maxFeePerGas": max_fee,
"maxPriorityFeePerGas": priority,
})
EIP-1559 定价机制中,priority fee 决定排序权,max fee 决定可接受区块范围,nonce 决定交易有效性。该步骤本质是为交易购买执行优先级,定价不足将直接失去排序位置。
4. 签名并发送
signed = w3.eth.account.sign_transaction(tx, SENDER_PK)
w3.eth.send_raw_transaction(signed.raw_transaction)
交易进入 public mempool 后即具备可见性,calldata 可被复制并通过提高 gas 进行覆盖式竞争,导致原交易失去排序权。该阶段的核心约束不在“发送成功”,而在“是否被观察与替换”,因此通常通过提高 priority、并发 RPC 发送或使用 private relay / 自有节点 方式提高成功率。
我们用这项技术累计救援超过 100万美金资产,第一次披露,希望可以对行业的安全有帮助,建议收藏,以备不时之需
中文
闪援——比黑客更快一步
Darcy 资产救援⛑️@DarcyAri
受害者联系我们的时候,主钱包已经被盗了,钱包受到黑客控制,但是还有大约 5wu 的资产正在质押,并且正在等待分批解锁,一旦解锁就会被黑客抢走,受害者找到我们进行救援 虽然金额不多,但是我们绝不允许黑客行为在我们眼皮下发生,并且我和 @MegaKecc 博士决定,公开本次救援的技术细节 1. 构造调用数据 EXIT_SELECTOR = keccak(b"exit(uint256)")[:4] EXIT_CALLDATA = EXIT_SELECTOR + (TIMESTAMP).to_bytes(32, "big") 编码 exit(TIMESTAMP) 作为 calldata,函数签名与参数必须完全匹配,否则后续交易即使进入区块也会直接 revert,整个流程失效。 2. 构造交易 tx = { "from": SENDER_ADDR, "to": LOCKING_REWARD, "data": EXIT_CALLDATA, "value": 0, } 将合约调用封装为交易体,并提前模拟获取交易所需的基本gas。 3. 设置 gas 参数 block = w3.eth.get_block("latest") base_fee = block.baseFeePerGas priority = w3.to_wei(1, "gwei") max_fee = base_fee * 2 + priority tx.update({ "type": 2, "chainId": 1, "nonce": w3.eth.get_transaction_count(SENDER_ADDR), "maxFeePerGas": max_fee, "maxPriorityFeePerGas": priority, }) EIP-1559 定价机制中,priority fee 决定排序权,max fee 决定可接受区块范围,nonce 决定交易有效性。该步骤本质是为交易购买执行优先级,定价不足将直接失去排序位置。 4. 签名并发送 signed = w3.eth.account.sign_transaction(tx, SENDER_PK) w3.eth.send_raw_transaction(signed.raw_transaction) 交易进入 public mempool 后即具备可见性,calldata 可被复制并通过提高 gas 进行覆盖式竞争,导致原交易失去排序权。该阶段的核心约束不在“发送成功”,而在“是否被观察与替换”,因此通常通过提高 priority、并发 RPC 发送或使用 private relay / 自有节点 方式提高成功率。 我们用这项技术累计救援超过 100万美金资产,第一次披露,希望可以对行业的安全有帮助,建议收藏,以备不时之需
日本語
FlashRescue me-retweet
在过去的一年中,闪援 @FlashRescue 作为链上私人侦探,一直在为 安全公司,律所,政府做链上追溯
期间我们发现了一个重要的问题,一份完美的追溯报告,是资产追回案件推进的重要材料,但是能否成功把资金成功追回,更取决于链下的协调能力,如何与交易所,稳定币发行商,执法部门沟通将会直接影响到资产追回的成功率
在与多家合作伙伴的长期交流下, 我们很认可 Salus @salus_sec 的执行逻辑与推进的速度,Miorror @mirrorzk 老师是少数真正对工作有使命感的好 Founder ,会真正的衡量一个案件的可行性,再去定夺是否承接,可以为客户感同身受,会因为黑客的行为而感到愤怒
事最终还是要落在人身上,在资产救援行业,我们看了太多公司,为了赚调查费用,对受害者实施二次侵害,我们相信一家有使命感的公司才会对得起受害人的信任
经过我们讨论,决定接受 Salus 的收购,Darcy 将担任 Salus 的 Pre CMO,我们将同心协力,共同守护行业的安全
中文
Morelogin 被盗,救援通道开启
闪援作为专业的资产救援团队,有丰富的经验处理助记词泄露后的空投抢跑
累计抢跑救援资产:80M+
本次事件受影响的工作室 / 用户
直接 DM「救援」,我们将帮助你挽回即将发放的空投
中文
FlashRescue me-retweet
尊敬的黑客先生:
在这个科技横行的年代,您依旧保持匠心,高傲的坚信手法可以打败科学,拒绝使用混币器,选择手动将资金逐笔拆分到新的地址,再通过几次跨链试图摆脱追踪
与其继续浪费彼此的时间,不如尽快联系我们的委托人 @nyenchenn 商讨你的 bounty 🫰
陈佩佩(奶蛙版)@nyenchenn
更新链上钱包被盗120万 最新抓小偷进度: 目前最早一笔进入 OKX 的资金已被成功冻结,昨天一笔进币安资金已被币安官方处理中。 相关案件已正式立案。 我们已委托专业安全团队 闪援 进行链上追踪,相关地址正在持续监控中,一旦资金流入交易所将第一时间申请冻结。 同时警方已向 OKX 调取相关账户的 KYC 信息,正在与币安官方沟通。 此处感谢@Haiteng_okx @mia_okx @yayabinance 如果黑客认识我 愿意主动协商归还大部分资金,我们愿意在合理范围内提供一定比例的赏金,并停止进一步追查。 (我很想知道我被盗的原因 私钥咋泄漏的) 若拒绝沟通,我与@DarcyAri @MegaKecc 以及若干刑侦👮将继续通过链上追踪、交易所协查以及司法途径进行追责。 我个人tg:@ nyenchen (别几把给我发钓鱼链接 我一个也不会点) 目前资金追踪报告:drive.google.com/drive/my-drive
中文
FlashRescue me-retweet
近期我们完成了一起链上追踪案件,涉案金额约 88 W USDT。
资金经过多跳分拆与路径干扰,其中约 6 W USDT 流入 OKX。
在较短时间内,Flashrescue 团队 @FlashRescue 完成了链上资金追踪与完整证据链整理,第一时间向 OKX 提交冻结申请材料。
与黑客博弈,时间窗口极为关键。资金一旦通过 C2C 等方式快速转移,追回难度将显著上升。
在收到完整材料后,OKX 团队按照合规流程迅速响应并采取相应风险控制措施。
本案资金归属清晰,我们正在帮助受害人,持续推进后续的追回工作。
感谢 OKX 的专业协作,共同守护行业秩序与用户权益。成熟的合规体系与清晰的风险控制机制,是行业长期稳健运行的基础。
@okxchinese @star_okx @Haiteng_okx @mia_okx
中文
FlashRescue me-retweet
Polymarket 上的严重漏洞 🚨
有人正在掏空 negrisk 机器人,几乎进行无风险套利。
他们在链下订单簿上被成交,但在链上故意让交易失败。
利用方式—— 一种 nonce 操纵技巧。
API 会显示交易成功,但实际上链上交易是失败的。
这个钱包在一天内已经盈利 1.6 万美元,而且显然还没有停手。
PolymarketHistory@PolymarketStory
🚨 BE CAREFUL A CRITICAL bug may be live on Polymarket If you run clawdbots pause them now before it’s too late… $16k+ has already been drained and number is still climbing Suspect: @0x6E7E227507569cAead21e5Cd32420197a6297282-1771437664429?via=history" target="_blank" rel="nofollow noopener">polymarket.com/@0x6E7E2275075…
中文
FlashRescue 比黑客更快一步的安全团队
Darcy 资产救援⛑️@DarcyAri
钱包被盗后先别绝望!FlashRescue 帮你从黑客手里抢跑资产 很多时候钱包私钥被盗以后,还会有质押的资产,或者未领取的空投,大多数人都会选择放弃 @Lx0927zyLx 私钥被盗以后,还有2000u资产正在质押需要领取,gas费一转入,就被黑客抢走了 原本以为没有办法了,最终他抱着试试的态度,联系到了FlashRescue @FlashRescue 经过周密的策略部署,我和 @MegaKecc 博士用 1 毫秒,抢在黑客之前,抢跑出了全部质押资产 FlashRescue 比黑客更快一步的安全团队🫡 #资产救援 #白帽
日本語
FlashRescue me-retweet
MEV 抢跑,对抗黑客 救援成功!
一个紧急的求助:
“Darcy,我们的一个空投领取地址,被换成了未知地址,这不像是黑客干的,一点也不专业,如果真的是黑客,现在应该已经一分钱都不剩了”
“最让我奇怪的是,我的合伙人应该也看到了,正常来说应该会和我商量对策,但他没提,并且我们前段时间因为项目有严重的分歧”
“现在我最害怕的就是,我的合伙人就是那个黑客”
“这笔空投金额很大,可以让我们自由了,虽然我们很多年的交情,但我实在不敢赌人性,我觉得我们现在心知肚明,只是隔着窗户纸,没有点破,他很懂技术,他万一找了和你们一样的安全团队抢跑,那我可就完了”
“我也考虑过,真的发生了,再去报警,但是能把钱找回来的希望很渺茫,并且我也不想走到那一步”
“现在我真的不知道该怎么办了,所以想找你们抢跑救援,到时候我再和他分钱,你们可以作为监督方”
了解完详细的情况,我们对这一批账号制定了抢跑的方案
最终在攻击交易生效前,用时 0.1秒 ,通过 MEV 优先执行改变链上状态,使其攻击行为失效。成功抢跑到了全部资产。
#黑客 #白帽 #MEV抢跑 #资产救援 #被盗
中文
FlashRescue me-retweet
Flashrescue Team:
随着我们的进步,我们对为我们发展有很大帮助的精神股东们,送出了我们的第二份心意( 广西融安的金桔果王 )
希望在未来的日子里,可以为我们的每一位朋友,都送上我们最诚挚的祝福!
Wishing our most precious friend a very happy new year!
#黑客 #白帽 #抢跑 #资产救援 #被盗
中文
We are pleased to become a security partner of BOSagora @BOSAGORA1
BOSagora is an optimized blockchain platform designed for seamless integration with everyday life, providing a wide range of benefits to all Congress Network members through its platform.
English
FlashRescue me-retweet
一毫秒掏了黑客 2.75wu,我们在和黑客抢屎吃
一位私钥泄露的盘圈的大户,找到了我们,告诉我们他已经被盗了7wu
还有2.75wu 存在“奥拉丁”的合约里,需要我们进行救援
,从合约中安全转移
详细了解奥拉丁的规则过后我们才知道
想要取得合约中的5000个币,还要购买充值2500个币进去
并且取出的5000币,要在24小时后才能到账
充值进去的2500个币,要在180天内以小时为单位,线性解锁,平均一小时解锁5次
看着黑客密密麻麻的链上记录我们陷入了沉思,“他怎么连屎都吃”
这不是我们遇到的最大的案例,却是最恶心的案例
作为深耕安全领域的科学家,我们以前玩的都是各种套利策略
对于这种恶心人的项目看都不会看一眼,但是没有办法,我们还是向资本屈服了
我们强忍着恶心,制定好了策略最终在一个区块内打包了所有的交易,用时不到一毫秒,成功抢回了 A6资产
@MegaKecc 博士原本不同意发这篇 Pr
他说从某种意义上看,我们公开了和黑客抢屎吃的黑历史
中文
FlashRescue me-retweet
FlashRescue me-retweet
Trust Wallet 资产,白帽紧急救援
如果您的被盗钱包还有所属资产正在质押,或是空投还未领取
请立即联系我们团队 @FlashRescue 进行安全救援,我们将和全体受害者站在统一战线 向黑客宣战,把损失降到最低
FlashRescue 是专业的资产救援团队,有大量相关案例的成功处理经验,总计帮助被盗用户 救援资产超过 50w 美金
请求诸位扩散 ! !
Cos(余弦)😶🌫️@evilcos
Trust Wallet 浏览器扩展带后门版本是 2.68.0,修复后的是 2.69.0,对比了下,正常代码和后门代码的代码差异,如图。 后门代码增加了个 PostHog 来采集钱包用户的各种隐私信息(包括助记词),并发送到攻击者服务器 api.metrics-trustwallet[.]com。 预估时间线:攻击者至少 12.8 开始做的准备,12.22 成功植入后门,12.25 圣诞节开始转移资金,于是被发现。据 @zachxbt 的统计,用户损失超 $6m... cc @SlowMist_Team @MistTrack_io
中文
FlashRescue me-retweet
我的谷歌账号跟了我五年了
从未有过被盗或者被封的经历
以下是要点
1️⃣每年更换密码,不要向他人提供密码
2️⃣使用常用手机号来注册谷歌账号
3️⃣绑定辅助邮箱和开启手机号两步验证
4️⃣刚注册尽量少多端登录,保持IP稳定
Darcy 资产救援⛑️@DarcyAri
代充 GPT 的第三天,被清空所有钱包 被盗客户找到我们做质押资产救援的时候,请求我们帮助调查被盗原因 经链上交易分析,未发现任何异常合约交互、恶意授权或钓鱼签名行为,排除了常见的链上攻击路径 我们开始进行更深入的交流,结合账户时间线、邮箱与云服务访问记录,确认在第三方代充操作后,受害者 Google 账号出现异常登录,其密码管理器与云存储在同一时间段被访问。 综合链上与链下证据,判断攻击者通过获取云端存储的助记词完成钱包导入,从而导致资产被转移。 对于曾经通过第三方代充的用户: 我们建议将其视为一次身份安全暴露事件,需同步检查邮箱、密码管理器及云端存储的安全状态,并在存在任何不确定性的情况下迁移钱包资产,以彻底消除潜在风险
中文
FlashRescue me-retweet
代充 GPT 的第三天,被清空所有钱包
被盗客户找到我们做质押资产救援的时候,请求我们帮助调查被盗原因
经链上交易分析,未发现任何异常合约交互、恶意授权或钓鱼签名行为,排除了常见的链上攻击路径
我们开始进行更深入的交流,结合账户时间线、邮箱与云服务访问记录,确认在第三方代充操作后,受害者 Google 账号出现异常登录,其密码管理器与云存储在同一时间段被访问。
综合链上与链下证据,判断攻击者通过获取云端存储的助记词完成钱包导入,从而导致资产被转移。
对于曾经通过第三方代充的用户:
我们建议将其视为一次身份安全暴露事件,需同步检查邮箱、密码管理器及云端存储的安全状态,并在存在任何不确定性的情况下迁移钱包资产,以彻底消除潜在风险
中文