DEX Clober для Ethereum и его L2-сетей был взломан, что привело к потере 133 ETH (стоимостью примерно 500 000 $). Атака была проведена на хранилище ликвидности в сети Base, хакер перевел все похищенные средства в сеть Ethereum. Clober предложили вознаграждение взломщику в размере 20% от украденных средств.
Источники:
https://x.com/PeckShieldAlert/status/1866434326596112705
https://x.com/CloberDEX/status/1866426442294469033
Topic: DeFi - "Атаки" и Безопасность (Read 10909 times)
На отдельных контрактах токенов bonding curve Syntax выявлена уязвимость, которая использовалась для изъятия примерно $200 тыс. ликвидности. После выявления проблемы были предприняты шаги для обеспечения безопасности платформы и защиты пользователей.
- Доступ к приложению Syntax временно отключен.
- Контракты приостановлены для предотвращения дальнейшего программного взаимодействия.
Источник:
https://x.com/Spectral_Labs/status/1863212410070253824
Пулы DEX Clipper на Optimism и Base были взломаны на ~$450 000 из-за уязвимости API .
Clipper приостановил свапы и депозиты во всех сетях до завершения расследования. Вывод средств по-прежнему доступен.
Источники:
https://x.com/shoucccc/status/1863105036328615958
https://x.com/Clipper_DEX/status/1863263893470003460
- Доступ к приложению Syntax временно отключен.
- Контракты приостановлены для предотвращения дальнейшего программного взаимодействия.
Источник:
https://x.com/Spectral_Labs/status/1863212410070253824
Пулы DEX Clipper на Optimism и Base были взломаны на ~$450 000 из-за уязвимости API .
Clipper приостановил свапы и депозиты во всех сетях до завершения расследования. Вывод средств по-прежнему доступен.
Источники:
https://x.com/shoucccc/status/1863105036328615958
https://x.com/Clipper_DEX/status/1863263893470003460
zasad@, ситуация неоднозначная. Да, такое могло реально произойти, но не менее реально и инсценировка с целью получения огласки. Это ведь стример, а им очень нужна аудитория. К тому же инвестиции в подобную "рекламу" копеечные, поскольку комиссии в сети Солана невысокие. Смотрю я сейчас его реакции на видео стрима и у меня все-таки закрадываются сомнения. Скорей всего - это игра. Он там и с недоуменным лицом посидел и клавиатуру побил об стол, как-то наигранно.
Вирусное видео стримера OGshoots, который потерял $100К. Он случайно(или нет) показал свою сид фразу от кошелька Phantom на стриме, и деньги через несколько минут были выведены.
https://x.com/adityabajaj23/status/1858404301942804692
"Этот криптостример потерял $100k на стриме. Он случайно показал свою seed-фразу в прямом эфире и был обчищен. Это может случиться и с вами, поэтому вот 6 способов уберечь себя от взлома. 🧵👇"
Я назову только 1 надежный способ, если заработали 100К долларов, то купите аппаратный кошелек и не храните сид фразу на рабочем пк.
https://x.com/adityabajaj23/status/1858404301942804692
"Этот криптостример потерял $100k на стриме. Он случайно показал свою seed-фразу в прямом эфире и был обчищен. Это может случиться и с вами, поэтому вот 6 способов уберечь себя от взлома. 🧵👇"
Я назову только 1 надежный способ, если заработали 100К долларов, то купите аппаратный кошелек и не храните сид фразу на рабочем пк.
Пост от Defiscamcheck. Публикую копипастой, чтобы передать чувство юмора автора.
$129М USDT было потеряно при копировании скам-адреса из истории транзакций
Юзер на трон сети: TGrS7QNCf85X2B6ddvGZY2MF9VwvFn6XAE
Должен был отправить средства на адрес THcTxQi3N8wQ13fwntF7a3M88BEi6q1bu8, а отправил на адрес TMStAjRQHDZ8b3dyXPjBv9CNR3ce6q1bu8.
Спустя 1 час были возвращены 90% средств, а еще через 4 часа возвращены и оставшиеся 10%.
Китайский блокчейн он такой, если заскамил не того, кого надо - даже баунти не сможешь оставить, не удивлюсь, если скамеры потом еще и бонус сверху не прислали за свои действия.
https://x.com/realScamSniffer/status/1859089504994554363
Источник: https://t.me/Defiscamcheck/3967
$129М USDT было потеряно при копировании скам-адреса из истории транзакций
Юзер на трон сети: TGrS7QNCf85X2B6ddvGZY2MF9VwvFn6XAE
Должен был отправить средства на адрес THcTxQi3N8wQ13fwntF7a3M88BEi6q1bu8, а отправил на адрес TMStAjRQHDZ8b3dyXPjBv9CNR3ce6q1bu8.
Спустя 1 час были возвращены 90% средств, а еще через 4 часа возвращены и оставшиеся 10%.
Китайский блокчейн он такой, если заскамил не того, кого надо - даже баунти не сможешь оставить, не удивлюсь, если скамеры потом еще и бонус сверху не прислали за свои действия.
https://x.com/realScamSniffer/status/1859089504994554363
Источник: https://t.me/Defiscamcheck/3967
16 ноября был взломан dexx.ai
О точных убытках не удалось найти информацию, но по всей видимости они небольшие. Команда проекта ведет переговоры со взломщиками.
Источники: https://x.com/DEXXai_CN/status/1857735552436760774
15 ноября 2024 года в системе безопасности Thala.fi произошел сбой из-за изолированной уязвимости в последнем обновлении фарминг контрактов v1, что позволило злоумышленникам вывести токены пула ликвидности на общую сумму 25,5 млн долларов США.
Команда проекта с помощью правоохранительных органов, Seal 911, Ogle и других смогла идентифицировать хакеров и договориться о вознаграждении в размере $300 тыс. за полное восстановление пользовательских активов.
Пострадавшим пользователям не требуется никаких дальнейших действий, и позиции будут восстановлены на 100%. Однако все соответствующие контракты и интерфейс Thala останутся приостановленными до тех пор, пока не будут признаны полностью безопасными.
Источник: https://x.com/ThalaLabs/status/1857703541089120541
О точных убытках не удалось найти информацию, но по всей видимости они небольшие. Команда проекта ведет переговоры со взломщиками.
Источники: https://x.com/DEXXai_CN/status/1857735552436760774
15 ноября 2024 года в системе безопасности Thala.fi произошел сбой из-за изолированной уязвимости в последнем обновлении фарминг контрактов v1, что позволило злоумышленникам вывести токены пула ликвидности на общую сумму 25,5 млн долларов США.
Команда проекта с помощью правоохранительных органов, Seal 911, Ogle и других смогла идентифицировать хакеров и договориться о вознаграждении в размере $300 тыс. за полное восстановление пользовательских активов.
Пострадавшим пользователям не требуется никаких дальнейших действий, и позиции будут восстановлены на 100%. Однако все соответствующие контракты и интерфейс Thala останутся приостановленными до тех пор, пока не будут признаны полностью безопасными.
Источник: https://x.com/ThalaLabs/status/1857703541089120541
" 3 ноября криптоказино Metawin лишилось более $4 млн в сетях Ethereum и Solana в результате взлома кошельков. Об этом сообщил блокчейн-сыщик ZachXBT со ссылкой на заявление CEO проекта Ричарда Скелхорна в Discord.
Вывод средств после инцидента временно приостановили для оценки и обеспечения стабильности систем. На момент написания платформа функционирует в обычном режиме.
Скелхорн пообещал внедрение дополнительных элементов управления безопасностью для новых пользователей. "
Источник: https://forklog.com/news/kriptokazino-metawin-vzlomali-na-4-mln
Вывод средств после инцидента временно приостановили для оценки и обеспечения стабильности систем. На момент написания платформа функционирует в обычном режиме.
Скелхорн пообещал внедрение дополнительных элементов управления безопасностью для новых пользователей. "
Источник: https://forklog.com/news/kriptokazino-metawin-vzlomali-na-4-mln
По данным PeckShield, проведенные в октябре хакерами 20 атак привели к потерям криптоиндустрии в размере ~$88,47 млн.
Крупнейшими взломами в отрасли по итогам месяца оказались:
▪️лендингового протокола Radiant Capital на $53 млн;
▪️кошелька правительства США на $20 млн (возвращены);
▪️протокола рестейкинга EigenLayer на $5,7 млн.
Крупнейшими взломами в отрасли по итогам месяца оказались:
▪️лендингового протокола Radiant Capital на $53 млн;
▪️кошелька правительства США на $20 млн (возвращены);
▪️протокола рестейкинга EigenLayer на $5,7 млн.
^
" Хакер возвращает деньги правительству США – https://platform.arkhamintelligence.com/explorer/address/0xc9E6E51C7dA9FF1198fdC5b3369EfeDA9b19C34c
USDC, aUSDC и ETH недавно завели на кошелек «U.S. Government: Bitfinex Hacker Seized Funds».
ZachXBT: Он перевел обратно правительству США 19,200,000$. Все, за исключением активов, проданных на биржах Switchain, HitBTC, N Exchange. "
Источник: https://t.me/crypto_hd/14249
Известный блокчейн детектив zachxbt предполагает, что кошельки правительства США были взломаны, с них было переведено +-20млн. Предположительно правительство США вывели >6,5 млн USDC из Aave, а также перевели >5,8 тыс ETH с кошелька связанног со взломом Bitfinex. Комментариев со стороны органов никаких не поступало..
18 октября был взломан контракт Tapioca DAO в экосистеме Arbitrum и было выведено токенов на сумму 25млн. Хакер продал токены на сумму 1.5млн, очевидно, что ликвидности не хватило, это привело к дампу на 90%. Команда смогла восстановить в какой-то степени ликвидность.
Взлом произошел через контракт вестинга, где была вызвана функция "аварийного спасения", что привело к переводу 11 млн токенов. В связи с чем даже не знаю есть ли смысл надеяться на восстановление проекта с такими серьезными дырами.
Взлом произошел через контракт вестинга, где была вызвана функция "аварийного спасения", что привело к переводу 11 млн токенов. В связи с чем даже не знаю есть ли смысл надеяться на восстановление проекта с такими серьезными дырами.
Интересную мысль сегодня услышал в еженедельном подкасте Форклога. Суть следующая: поднимался вопрос, а что так много взломов в индустрии вообще, неужели софт у всех такой кривой и квалификация плохая? Ответ был таков, что когда на рынке идет бычий цикл, то во многих компаниях идет сильная текуча технических кадров, поскольку разработчики начинают требовать больше денег за свой труд. Так вот в период этой текучки есть хитрецы-мудрецы, которые устраиваются в компании специально, чтобы оставить в софте бекдоры. То есть много дырок не находятся хакерами в процессе исследования, а закладываются в программное обеспечение изначально.
Radiant Capital взломали на более чем $50 млн
Лендинговый протокол Radiant Capital подвергся взлому в сетях BNB Chain и Arbitrum. Команда призвала отозвать разрешения для затронутых контрактов с помощью сервиса Revoke. Как утверждается злоумышленник заполучил закрытые ключи трех из 11 подписей и изменил смарт-контракты. По данным Ancilia, общая сумма убытков превысила $50 млн.
Источник: https://forklog.com/news/radiant-capital-vzlomali-na-bolee-chem-50-mln
Лендинговый протокол Radiant Capital подвергся взлому в сетях BNB Chain и Arbitrum. Команда призвала отозвать разрешения для затронутых контрактов с помощью сервиса Revoke. Как утверждается злоумышленник заполучил закрытые ключи трех из 11 подписей и изменил смарт-контракты. По данным Ancilia, общая сумма убытков превысила $50 млн.
Источник: https://forklog.com/news/radiant-capital-vzlomali-na-bolee-chem-50-mln
FP91G, у Эфириум в принципе самая масштабная экосистема (даже в плане различных актуальных defi и других инструментов), поэтому неудивительно, что большинство правонарушений (и количество инцидентов и объем средств) зафиксировано именно в этой сети. По количеству инцидентов второе место занимает экосистема Binance Smart Chain, а третье Солана. А по объему украденных средств на втором месте биткойн за счет одного крупного инцидента, когда были украдены сразу 4064 биткойна.
Я и не удивляюсь, нажал кнопку, потерял $1.3M!
https://x.com/lookonchain/status/1845638555324043273
Кто-то подписал фишинговую подпись «permit2», и его кошелек был опустошен, потеря в $1,3 млн!
FP91G, у Эфириум в принципе самая масштабная экосистема (даже в плане различных актуальных defi и других инструментов), поэтому неудивительно, что большинство правонарушений (и количество инцидентов и объем средств) зафиксировано именно в этой сети. По количеству инцидентов второе место занимает экосистема Binance Smart Chain, а третье Солана. А по объему украденных средств на втором месте биткойн за счет одного крупного инцидента, когда были украдены сразу 4064 биткойна.
Хакеры украли $750 млн в третьем квартале 2024 года, убытки выросли на 9,5% — CertiK
В третьем квартале 2024 года количество взломов криптовалют снизилось, однако стоимость украденных активов резко возросла: в 155 инцидентах было потеряно 753 миллиона долларов.
В третьем квартале 2024 года наблюдалось снижение общего числа зарегистрированных взломов криптовалют, но резкий рост стоимости украденных активов.
Согласно отчету компании CertiK, занимающейся кибербезопасностью, от 1 октября, общий финансовый ущерб вырос примерно на 9,5%, а общая сумма убытков инвесторов в ходе 155 инцидентов составила 753 миллиона долларов.
Больше всего инцидентов безопасности произошло в сети Ethereum: зафиксировано 86 взломов, мошенничеств и эксплойтов, на общую сумму более 387 миллионов долларов.
https://cointelegraph.com/news/crypto-hackers-steal-750-million-q3-2024-certik
В третьем квартале 2024 года количество взломов криптовалют снизилось, однако стоимость украденных активов резко возросла: в 155 инцидентах было потеряно 753 миллиона долларов.
В третьем квартале 2024 года наблюдалось снижение общего числа зарегистрированных взломов криптовалют, но резкий рост стоимости украденных активов.
Согласно отчету компании CertiK, занимающейся кибербезопасностью, от 1 октября, общий финансовый ущерб вырос примерно на 9,5%, а общая сумма убытков инвесторов в ходе 155 инцидентов составила 753 миллиона долларов.
Больше всего инцидентов безопасности произошло в сети Ethereum: зафиксировано 86 взломов, мошенничеств и эксплойтов, на общую сумму более 387 миллионов долларов.
https://cointelegraph.com/news/crypto-hackers-steal-750-million-q3-2024-certik
26 сентября DeFi-протокол Onyx подвергся атаке и лишился $3,8 млн. Это второй за год взлом платформы, в котором применялся один и тот же эксплойт.
Согласно Peck Shield, хакеры использовали известную ошибку в коде Compound Finance v2 и применили уязвимость в контракте ликвидации NFT.
1 ноября 2023 года неизвестные вывели из Onyx примерно $2,1 млн благодаря аналогичному методу атаки.
Источник: https://forklog.com/news/hakery-primenili-staryj-eksplojt-dlya-povtornogo-vzloma-onyx-na-3-8-mln
Согласно Peck Shield, хакеры использовали известную ошибку в коде Compound Finance v2 и применили уязвимость в контракте ликвидации NFT.
1 ноября 2023 года неизвестные вывели из Onyx примерно $2,1 млн благодаря аналогичному методу атаки.
Источник: https://forklog.com/news/hakery-primenili-staryj-eksplojt-dlya-povtornogo-vzloma-onyx-na-3-8-mln
Из протокола рестейкинга биткоина Bedrock украли $2 млн. Хакеры воспользовались уязвимостью в синтетическом токене uniBTC.
Протокол временно приостановил взаимодействия с контрактом uniBTC. По словам представителей Bedrock, удар пришелся на пулы ликвидности DEX.
Bedrock сотрудничает с аудиторскими группами и белыми хакерами для возвращения утраченных средств. Компания также пообещала предоставить подтверждение резервов после завершения расследования.
Протокол временно приостановил взаимодействия с контрактом uniBTC. По словам представителей Bedrock, удар пришелся на пулы ликвидности DEX.
Bedrock сотрудничает с аудиторскими группами и белыми хакерами для возвращения утраченных средств. Компания также пообещала предоставить подтверждение резервов после завершения расследования.
В 2024 году было украдено более $1,2 млрд в криптовалюте (большую часть из этой суммы увели через DeFi)
В текущем году было зафиксировано 154 случая успешных хакерских атак и мошенничества по схеме Rug Pull. Большая часть инцидентов пришлась на сектор децентрализованных финансов (DeFi). Однако большая часть потерь в 2024 году связана с атаками на централизованные финансовые системы (CeFi), которые хоть и происходят реже, но приводят к более значительным финансовым потерям.
Напомним, в мошеннических схемах «забоя свиней» все чаще используются вредоносные DeFi-приложения, которые позволяют мошенникам не использовать сложные методы социальной инженерии. Так что важно следить еще за тенденциями взломщиков...
В текущем году было зафиксировано 154 случая успешных хакерских атак и мошенничества по схеме Rug Pull. Большая часть инцидентов пришлась на сектор децентрализованных финансов (DeFi). Однако большая часть потерь в 2024 году связана с атаками на централизованные финансовые системы (CeFi), которые хоть и происходят реже, но приводят к более значительным финансовым потерям.
Напомним, в мошеннических схемах «забоя свиней» все чаще используются вредоносные DeFi-приложения, которые позволяют мошенникам не использовать сложные методы социальной инженерии. Так что важно следить еще за тенденциями взломщиков...
Криптовалютный кредитор Shezmu (https://www.shezmu.io/) вернул почти 5 миллионов долларов украденных средств в течение нескольких часов после успешных переговоров с хакером. Вайт хэт в результате переговоров получил 20% от суммы выведенных с платформы средств в качестве баунти.
21 сентября Чаофан Шоу, соучредитель аналитической компании Fuzzland, специализирующейся на блокчейне, сообщил о взломе хранилища, принадлежащего Shezmu. Не зная, был ли этот инцидент rug pull (мошенничеством со стороны команды проекта) или настоящим взломом, Шоу подтвердил, что в процессе было похищено криптовалюты на сумму около 4,9 миллиона долларов.
21 сентября Чаофан Шоу, соучредитель аналитической компании Fuzzland, специализирующейся на блокчейне, сообщил о взломе хранилища, принадлежащего Shezmu. Не зная, был ли этот инцидент rug pull (мошенничеством со стороны команды проекта) или настоящим взломом, Шоу подтвердил, что в процессе было похищено криптовалюты на сумму около 4,9 миллиона долларов.
Jump to: