KOL没有取消Hashflow废弃合约授权导致被盗1万美元！

加密货币市场投资中“钱变不见”的可能性除了合约爆仓、项目方跑路、交易所破产倒闭…等，还有一种对于不熟悉程式代码的用户来说，更难以防范的，就是黑客的恶意攻击、转帐，如果发生在拥有众多用户基础的项目，受害规模往往非常惊人。

KOL被盗超过1万USDT

近期市场氛围低迷中，有一位KOL@0xbitsun遭到黑客盗用1万美元USDT，该名KOL推文中看起来相当气愤，表示自己只是从OKX提取了10,500个USDT到Arbitrum链上，但资金在瞬间被转走了。并且强调自己该钱包已经使用很长一段时间，并且在各个区块链上都保持了良好的安全记录，因此排除了私钥泄露的可能性。

KOL检查了历史记录，发现只向odos和hashflow这两个项目授权过USDT的使用。然而，他发现Hashflow的合约在Arbiscan(Arbitrum的区块浏览器)上被标注为不明合约，并在推特上看到很多人报告了Hashflow授权被盗的情况，最后建议大家尽快取消授权。

@0xbitsun推文

据了解，Hashflow是一个去中心化的加密货币交易平台，主打跨链、无MEV、无滑点，由Jump Trading、Gsr、Wintermute等顶级做市机构融投近3,000万美元，在去年币安上线Lauchpool后，3天内涌入资金就超过了60亿美元，一举破了币安Lauchpool的纪录。

废弃合约遭到黑客调用

Hashflow官方网站在今年6月发布推文表示，去年5月有一个智能合约因为发现漏洞，遭到官方弃用，今年6月14日开始，一名白帽黑客开始无预警得从未撤销授权的钱包中转移资产，部分用户收回资产，但后续还是有黑客不肖利用，官方提醒用户记得取消授权，并表示目前使用的智能合约完全没有问题。

安全研究团队Beosin其研究员@wzxznl也在6月发布详细过程，他观察到一位受害者的钱包在2022年4月23日授权给了一个尾号Af0c对合约无限的USDT额度，该尾号Af0c的合约即是Hashflow部署的一个合约，他指出受害用户基本上在去年五月份使用该合约时，对该合约进行了大额度的授权。

“你在去年五月之前使用过Hashflow并进行了授权，那么你现在已经暴露在资产被盗的风险中!你可以进入Etherscan的授权查询界面查询你的授权，取消所有有风险的合约授权!”

最后，如果他也提醒在“去年五月”之前使用过Hashflow并进行授权的用户，记得取消授权，喊话熊市可以不赚钱但是不能丢钱！