Tweet ghim
FlashRescue(闪援)是成功率最高的资产救援团队。
致力于被盗钱包的未领取资产抢跑。作为语言与协议安全研究的深耕者,我们曾发现早期Solidity、Move语言的报表漏洞;并且总计为各大协议成功抢跑1M+资产,累计抢跑被盗钱包未领取资产金额超过50万
中文
FlashRescue
68 posts
受害者联系我们的时候,主钱包已经被盗了,钱包受到黑客控制,但是还有大约 5wu 的资产正在质押,并且正在等待分批解锁,一旦解锁就会被黑客抢走,受害者找到我们进行救援
虽然金额不多,但是我们绝不允许黑客行为在我们眼皮下发生,并且我和 @MegaKecc 博士决定,公开本次救援的技术细节
1. 构造调用数据
EXIT_SELECTOR = keccak(b"exit(uint256)")[:4]
EXIT_CALLDATA = EXIT_SELECTOR + (TIMESTAMP).to_bytes(32, "big")
编码 exit(TIMESTAMP) 作为 calldata,函数签名与参数必须完全匹配,否则后续交易即使进入区块也会直接 revert,整个流程失效。
2. 构造交易
tx = {
"from": SENDER_ADDR,
"to": LOCKING_REWARD,
"data": EXIT_CALLDATA,
"value": 0,
}
将合约调用封装为交易体,并提前模拟获取交易所需的基本gas。
3. 设置 gas 参数
block = w3.eth.get_block("latest")
base_fee = block.baseFeePerGas
priority = w3.to_wei(1, "gwei")
max_fee = base_fee * 2 + priority
tx.update({
"type": 2,
"chainId": 1,
"nonce": w3.eth.get_transaction_count(SENDER_ADDR),
"maxFeePerGas": max_fee,
"maxPriorityFeePerGas": priority,
})
EIP-1559 定价机制中,priority fee 决定排序权,max fee 决定可接受区块范围,nonce 决定交易有效性。该步骤本质是为交易购买执行优先级,定价不足将直接失去排序位置。
4. 签名并发送
signed = w3.eth.account.sign_transaction(tx, SENDER_PK)
w3.eth.send_raw_transaction(signed.raw_transaction)
交易进入 public mempool 后即具备可见性,calldata 可被复制并通过提高 gas 进行覆盖式竞争,导致原交易失去排序权。该阶段的核心约束不在“发送成功”,而在“是否被观察与替换”,因此通常通过提高 priority、并发 RPC 发送或使用 private relay / 自有节点 方式提高成功率。
我们用这项技术累计救援超过 100万美金资产,第一次披露,希望可以对行业的安全有帮助,建议收藏,以备不时之需
中文
闪援——比黑客更快一步
Darcy 资产救援⛑️@DarcyAri
受害者联系我们的时候,主钱包已经被盗了,钱包受到黑客控制,但是还有大约 5wu 的资产正在质押,并且正在等待分批解锁,一旦解锁就会被黑客抢走,受害者找到我们进行救援 虽然金额不多,但是我们绝不允许黑客行为在我们眼皮下发生,并且我和 @MegaKecc 博士决定,公开本次救援的技术细节 1. 构造调用数据 EXIT_SELECTOR = keccak(b"exit(uint256)")[:4] EXIT_CALLDATA = EXIT_SELECTOR + (TIMESTAMP).to_bytes(32, "big") 编码 exit(TIMESTAMP) 作为 calldata,函数签名与参数必须完全匹配,否则后续交易即使进入区块也会直接 revert,整个流程失效。 2. 构造交易 tx = { "from": SENDER_ADDR, "to": LOCKING_REWARD, "data": EXIT_CALLDATA, "value": 0, } 将合约调用封装为交易体,并提前模拟获取交易所需的基本gas。 3. 设置 gas 参数 block = w3.eth.get_block("latest") base_fee = block.baseFeePerGas priority = w3.to_wei(1, "gwei") max_fee = base_fee * 2 + priority tx.update({ "type": 2, "chainId": 1, "nonce": w3.eth.get_transaction_count(SENDER_ADDR), "maxFeePerGas": max_fee, "maxPriorityFeePerGas": priority, }) EIP-1559 定价机制中,priority fee 决定排序权,max fee 决定可接受区块范围,nonce 决定交易有效性。该步骤本质是为交易购买执行优先级,定价不足将直接失去排序位置。 4. 签名并发送 signed = w3.eth.account.sign_transaction(tx, SENDER_PK) w3.eth.send_raw_transaction(signed.raw_transaction) 交易进入 public mempool 后即具备可见性,calldata 可被复制并通过提高 gas 进行覆盖式竞争,导致原交易失去排序权。该阶段的核心约束不在“发送成功”,而在“是否被观察与替换”,因此通常通过提高 priority、并发 RPC 发送或使用 private relay / 自有节点 方式提高成功率。 我们用这项技术累计救援超过 100万美金资产,第一次披露,希望可以对行业的安全有帮助,建议收藏,以备不时之需
日本語
FlashRescue đã retweet
在过去的一年中,闪援 @FlashRescue 作为链上私人侦探,一直在为 安全公司,律所,政府做链上追溯
期间我们发现了一个重要的问题,一份完美的追溯报告,是资产追回案件推进的重要材料,但是能否成功把资金成功追回,更取决于链下的协调能力,如何与交易所,稳定币发行商,执法部门沟通将会直接影响到资产追回的成功率
在与多家合作伙伴的长期交流下, 我们很认可 Salus @salus_sec 的执行逻辑与推进的速度,Miorror @mirrorzk 老师是少数真正对工作有使命感的好 Founder ,会真正的衡量一个案件的可行性,再去定夺是否承接,可以为客户感同身受,会因为黑客的行为而感到愤怒
事最终还是要落在人身上,在资产救援行业,我们看了太多公司,为了赚调查费用,对受害者实施二次侵害,我们相信一家有使命感的公司才会对得起受害人的信任
经过我们讨论,决定接受 Salus 的收购,Darcy 将担任 Salus 的 Pre CMO,我们将同心协力,共同守护行业的安全
中文
Morelogin 被盗,救援通道开启
闪援作为专业的资产救援团队,有丰富的经验处理助记词泄露后的空投抢跑
累计抢跑救援资产:80M+
本次事件受影响的工作室 / 用户
直接 DM「救援」,我们将帮助你挽回即将发放的空投
中文
FlashRescue đã retweet
尊敬的黑客先生:
在这个科技横行的年代,您依旧保持匠心,高傲的坚信手法可以打败科学,拒绝使用混币器,选择手动将资金逐笔拆分到新的地址,再通过几次跨链试图摆脱追踪
与其继续浪费彼此的时间,不如尽快联系我们的委托人 @nyenchenn 商讨你的 bounty 🫰
陈佩佩(奶蛙版)@nyenchenn
更新链上钱包被盗120万 最新抓小偷进度: 目前最早一笔进入 OKX 的资金已被成功冻结,昨天一笔进币安资金已被币安官方处理中。 相关案件已正式立案。 我们已委托专业安全团队 闪援 进行链上追踪,相关地址正在持续监控中,一旦资金流入交易所将第一时间申请冻结。 同时警方已向 OKX 调取相关账户的 KYC 信息,正在与币安官方沟通。 此处感谢@Haiteng_okx @mia_okx @yayabinance 如果黑客认识我 愿意主动协商归还大部分资金,我们愿意在合理范围内提供一定比例的赏金,并停止进一步追查。 (我很想知道我被盗的原因 私钥咋泄漏的) 若拒绝沟通,我与@DarcyAri @MegaKecc 以及若干刑侦👮将继续通过链上追踪、交易所协查以及司法途径进行追责。 我个人tg:@ nyenchen (别几把给我发钓鱼链接 我一个也不会点) 目前资金追踪报告:drive.google.com/drive/my-drive
中文
FlashRescue đã retweet
近期我们完成了一起链上追踪案件,涉案金额约 88 W USDT。
资金经过多跳分拆与路径干扰,其中约 6 W USDT 流入 OKX。
在较短时间内,Flashrescue 团队 @FlashRescue 完成了链上资金追踪与完整证据链整理,第一时间向 OKX 提交冻结申请材料。
与黑客博弈,时间窗口极为关键。资金一旦通过 C2C 等方式快速转移,追回难度将显著上升。
在收到完整材料后,OKX 团队按照合规流程迅速响应并采取相应风险控制措施。
本案资金归属清晰,我们正在帮助受害人,持续推进后续的追回工作。
感谢 OKX 的专业协作,共同守护行业秩序与用户权益。成熟的合规体系与清晰的风险控制机制,是行业长期稳健运行的基础。
@okxchinese @star_okx @Haiteng_okx @mia_okx
中文
FlashRescue đã retweet
Polymarket 上的严重漏洞 🚨
有人正在掏空 negrisk 机器人,几乎进行无风险套利。
他们在链下订单簿上被成交,但在链上故意让交易失败。
利用方式—— 一种 nonce 操纵技巧。
API 会显示交易成功,但实际上链上交易是失败的。
这个钱包在一天内已经盈利 1.6 万美元,而且显然还没有停手。
PolymarketHistory@PolymarketStory
🚨 BE CAREFUL A CRITICAL bug may be live on Polymarket If you run clawdbots pause them now before it’s too late… $16k+ has already been drained and number is still climbing Suspect: @0x6E7E227507569cAead21e5Cd32420197a6297282-1771437664429?via=history" target="_blank" rel="nofollow noopener">polymarket.com/@0x6E7E2275075…
中文
FlashRescue 比黑客更快一步的安全团队
Darcy 资产救援⛑️@DarcyAri
钱包被盗后先别绝望!FlashRescue 帮你从黑客手里抢跑资产 很多时候钱包私钥被盗以后,还会有质押的资产,或者未领取的空投,大多数人都会选择放弃 @Lx0927zyLx 私钥被盗以后,还有2000u资产正在质押需要领取,gas费一转入,就被黑客抢走了 原本以为没有办法了,最终他抱着试试的态度,联系到了FlashRescue @FlashRescue 经过周密的策略部署,我和 @MegaKecc 博士用 1 毫秒,抢在黑客之前,抢跑出了全部质押资产 FlashRescue 比黑客更快一步的安全团队🫡 #资产救援 #白帽
日本語
FlashRescue đã retweet
MEV 抢跑,对抗黑客 救援成功!
一个紧急的求助:
“Darcy,我们的一个空投领取地址,被换成了未知地址,这不像是黑客干的,一点也不专业,如果真的是黑客,现在应该已经一分钱都不剩了”
“最让我奇怪的是,我的合伙人应该也看到了,正常来说应该会和我商量对策,但他没提,并且我们前段时间因为项目有严重的分歧”
“现在我最害怕的就是,我的合伙人就是那个黑客”
“这笔空投金额很大,可以让我们自由了,虽然我们很多年的交情,但我实在不敢赌人性,我觉得我们现在心知肚明,只是隔着窗户纸,没有点破,他很懂技术,他万一找了和你们一样的安全团队抢跑,那我可就完了”
“我也考虑过,真的发生了,再去报警,但是能把钱找回来的希望很渺茫,并且我也不想走到那一步”
“现在我真的不知道该怎么办了,所以想找你们抢跑救援,到时候我再和他分钱,你们可以作为监督方”
了解完详细的情况,我们对这一批账号制定了抢跑的方案
最终在攻击交易生效前,用时 0.1秒 ,通过 MEV 优先执行改变链上状态,使其攻击行为失效。成功抢跑到了全部资产。
#黑客 #白帽 #MEV抢跑 #资产救援 #被盗
中文
FlashRescue đã retweet
Flashrescue Team:
随着我们的进步,我们对为我们发展有很大帮助的精神股东们,送出了我们的第二份心意( 广西融安的金桔果王 )
希望在未来的日子里,可以为我们的每一位朋友,都送上我们最诚挚的祝福!
Wishing our most precious friend a very happy new year!
#黑客 #白帽 #抢跑 #资产救援 #被盗
中文
We are pleased to become a security partner of BOSagora @BOSAGORA1
BOSagora is an optimized blockchain platform designed for seamless integration with everyday life, providing a wide range of benefits to all Congress Network members through its platform.
English
FlashRescue đã retweet
一毫秒掏了黑客 2.75wu,我们在和黑客抢屎吃
一位私钥泄露的盘圈的大户,找到了我们,告诉我们他已经被盗了7wu
还有2.75wu 存在“奥拉丁”的合约里,需要我们进行救援
,从合约中安全转移
详细了解奥拉丁的规则过后我们才知道
想要取得合约中的5000个币,还要购买充值2500个币进去
并且取出的5000币,要在24小时后才能到账
充值进去的2500个币,要在180天内以小时为单位,线性解锁,平均一小时解锁5次
看着黑客密密麻麻的链上记录我们陷入了沉思,“他怎么连屎都吃”
这不是我们遇到的最大的案例,却是最恶心的案例
作为深耕安全领域的科学家,我们以前玩的都是各种套利策略
对于这种恶心人的项目看都不会看一眼,但是没有办法,我们还是向资本屈服了
我们强忍着恶心,制定好了策略最终在一个区块内打包了所有的交易,用时不到一毫秒,成功抢回了 A6资产
@MegaKecc 博士原本不同意发这篇 Pr
他说从某种意义上看,我们公开了和黑客抢屎吃的黑历史
中文
FlashRescue đã retweet
FlashRescue đã retweet
Trust Wallet 资产,白帽紧急救援
如果您的被盗钱包还有所属资产正在质押,或是空投还未领取
请立即联系我们团队 @FlashRescue 进行安全救援,我们将和全体受害者站在统一战线 向黑客宣战,把损失降到最低
FlashRescue 是专业的资产救援团队,有大量相关案例的成功处理经验,总计帮助被盗用户 救援资产超过 50w 美金
请求诸位扩散 ! !
Cos(余弦)😶🌫️@evilcos
Trust Wallet 浏览器扩展带后门版本是 2.68.0,修复后的是 2.69.0,对比了下,正常代码和后门代码的代码差异,如图。 后门代码增加了个 PostHog 来采集钱包用户的各种隐私信息(包括助记词),并发送到攻击者服务器 api.metrics-trustwallet[.]com。 预估时间线:攻击者至少 12.8 开始做的准备,12.22 成功植入后门,12.25 圣诞节开始转移资金,于是被发现。据 @zachxbt 的统计,用户损失超 $6m... cc @SlowMist_Team @MistTrack_io
中文
FlashRescue đã retweet
我的谷歌账号跟了我五年了
从未有过被盗或者被封的经历
以下是要点
1️⃣每年更换密码,不要向他人提供密码
2️⃣使用常用手机号来注册谷歌账号
3️⃣绑定辅助邮箱和开启手机号两步验证
4️⃣刚注册尽量少多端登录,保持IP稳定
Darcy 资产救援⛑️@DarcyAri
代充 GPT 的第三天,被清空所有钱包 被盗客户找到我们做质押资产救援的时候,请求我们帮助调查被盗原因 经链上交易分析,未发现任何异常合约交互、恶意授权或钓鱼签名行为,排除了常见的链上攻击路径 我们开始进行更深入的交流,结合账户时间线、邮箱与云服务访问记录,确认在第三方代充操作后,受害者 Google 账号出现异常登录,其密码管理器与云存储在同一时间段被访问。 综合链上与链下证据,判断攻击者通过获取云端存储的助记词完成钱包导入,从而导致资产被转移。 对于曾经通过第三方代充的用户: 我们建议将其视为一次身份安全暴露事件,需同步检查邮箱、密码管理器及云端存储的安全状态,并在存在任何不确定性的情况下迁移钱包资产,以彻底消除潜在风险
中文
FlashRescue đã retweet
代充 GPT 的第三天,被清空所有钱包
被盗客户找到我们做质押资产救援的时候,请求我们帮助调查被盗原因
经链上交易分析,未发现任何异常合约交互、恶意授权或钓鱼签名行为,排除了常见的链上攻击路径
我们开始进行更深入的交流,结合账户时间线、邮箱与云服务访问记录,确认在第三方代充操作后,受害者 Google 账号出现异常登录,其密码管理器与云存储在同一时间段被访问。
综合链上与链下证据,判断攻击者通过获取云端存储的助记词完成钱包导入,从而导致资产被转移。
对于曾经通过第三方代充的用户:
我们建议将其视为一次身份安全暴露事件,需同步检查邮箱、密码管理器及云端存储的安全状态,并在存在任何不确定性的情况下迁移钱包资产,以彻底消除潜在风险
中文