DeFi - "Атаки" и Безопасность - page 10.

Unsoldier

legendary

Activity: 1946

Merit: 1512

Quote from: Cryptmuster on February 17, 2023, 03:54:16 AM

DeFi-протокол Platypus на Avalanche потерял $8,5 млн в результате взлома. Стейблкоин DeFi-проекта Platypus Finance (USP) утратил привязку к доллару после атаки, в результате которой неизвестный вывел из протокола на базе Avalanche активы на $8,5 млн. Команда сообщила, что хакер воспользовался «мгновенным займом» и логической ошибкой в механизме проверки платежеспособности в контракте залога.

После потери $8,5 млн средства в основном пуле покрывают примерно 35% депозитов пользователей. Разработчики протокола обратились к нескольким компаниям, включая Binance, Tether и Circle, чтобы заморозить украденные активы. Самому взломщику они предложили обсудить возврат средств за награду. Стейблкоин проекта USP после эксплойта потерял в цене около 52%. Теоретически привязанная к доллару США монета торгуется на уровне $0,48 (CoinGecko).

В Твиттере пишут, что с помощью команды BlockSec удалось вернуть 2,4 млн USDC из атакованного контракта.

Источники: https://twitter.com/BlockSecTeam/status/1626626794966368258
https://twitter.com/Platypusdefi/status/1626625098575929344

А знаете как удалось вернуть? С помощью обратного хака или реверсивного (reverse hack), как вам угодно. Вот в этой ветке описан весь процесс: https://twitter.com/danielvf/status/1626641254531448833
Хакеров хакнули. ЛОЛ. Это крипта, ребята)))

Cryptmuster

legendary

Activity: 1904

Merit: 1176

Glory To Ukraine! Glory to the heroes!

DeFi-протокол Platypus на Avalanche потерял $8,5 млн в результате взлома. Стейблкоин DeFi-проекта Platypus Finance (USP) утратил привязку к доллару после атаки, в результате которой неизвестный вывел из протокола на базе Avalanche активы на $8,5 млн. Команда сообщила, что хакер воспользовался «мгновенным займом» и логической ошибкой в механизме проверки платежеспособности в контракте залога.

После потери $8,5 млн средства в основном пуле покрывают примерно 35% депозитов пользователей. Разработчики протокола обратились к нескольким компаниям, включая Binance, Tether и Circle, чтобы заморозить украденные активы. Самому взломщику они предложили обсудить возврат средств за награду. Стейблкоин проекта USP после эксплойта потерял в цене около 52%. Теоретически привязанная к доллару США монета торгуется на уровне $0,48 (CoinGecko).

Unsoldier

legendary

Activity: 1946

Merit: 1512

Quote from: zasad@ on April 20, 2020, 10:38:46 AM

...

Многофункциональный DeFi-протокол dForce теряет $ 25M из за эксплойта.

...

DeFi-протокол DForce подвергся атаке в результате которой хакер смог вывести средсва на 3,6 млн долларов в сети Arbitrum и Optimism. Атака, по-видимому, была вызвана уязвимостью повторного входа, которая может возникнуть, когда злоумышленник неоднократно вызывает функцию смарт-контракта и извлекает из нее активы до того, как контракт обновит свое внутреннее состояние. Это может произойти из-за ошибки в коде смарт-контракта или отсутствия надлежащих мер безопасности.

Источники: https://twitter.com/peckshield/status/1623902441992523776
https://www.theblock.co/post/210518/dforce-protocol-drained-of-3-6-million-in-reentrancy-attack

Как видно выше это уже не первая атака на DForce.

dwyane36

legendary

Activity: 3108

Merit: 2360

В сми появилась любопытная история о том, что мошенники украли 4 млн USDC у проекта Webaverse после того, как сфотографировали экран с балансом в trust wallet во время личной встречи. Честно говоря, ситуация какая-то абсурдная и мне кажется, что девы проекта либо просто решили соскамиться и выдумали эту историю, либо же они действительно так безрассудно относятся к своим средствам и пренебрегают банальной безопасностью.

Unsoldier

legendary

Activity: 1946

Merit: 1512

Cow Swap — децентрализованная биржа с функциями DEX-агрегатора на базе Gnosis Protocol v2 (GPv2) признал несанкционированный вывод криптовалют на $166 000 в результате эксплойта. Взлом обнаружили ончейн-аналитики. По данным PeckShield, ущерб составил $180 000: $123 000 в DAI, $50 000 в BNB, $7400 в ETH, которые распределили по двум кошелькам.

Подробнее о взломе на форклог: https://forklog.com/news/detsentralizovannaya-birzha-cow-swap-poteryala-iz-za-vzloma-166-000

Ответ от Cow Swap: https://twitter.com/CoWSwap/status/1622885833782054913

Altryist

legendary

Activity: 2100

Merit: 1340

DeFi-проект Orion Protocol взломали на $3 млн
Неизвестный совершил атаку на децентрализованную платформу Orion Protocol, работающую на базе Ethereum и BNB Chain. Хакеру удалось заполучить $3 млн. По словам специалистов из PeckShield, была реализована атака повторного входа. Соответствующая уязвимость возникает, когда злоумышленник многократно вызывает функцию и извлекает активы из смарт-контракта до обновления внутреннего состояния последнего. Подобные инциденты возможны при наличии ошибок в коде и недостатков системы безопасности протокола. Команда Orion Protocol признала факт хакерской атаки и приостановила функцию депонирования.

CEO проекта Алексей Колосков подчеркнул, что пользователи не потеряли средства — пострадали лишь активы компании:

«Мы хотим заверить наших пользователей, что ни один из них не понес ущерб во время этого инцидента».

Unsoldier

legendary

Activity: 1946

Merit: 1512

Протокол BonqDAO подвергся взлому ценового оракула, в результате чего понес убытки в размере 120 миллионов долларов. BonqDAO сообщили в Твиттере, что их протокол Bonq подвергся эксплойту, который позволил взломщику манипулировать ценой токена AllianceBlock (ALBT). Большая часть крупномасштабных транзакций происходила в сети Polygon. Сейчас протокол приостановил свою работу.

Источники:
https://cointelegraph.com/news/bonqdao-protocol-suffers-120m-loss-after-oracle-hack
https://twitter.com/BonqDAO/status/1620908233761378304
https://twitter.com/peckshield/status/1620917292514299904

zasad@

legendary

Activity: 2002

Merit: 4743

https://cointelegraph.com/news/hackers-takeover-azuki-s-twitter-account-steal-over-750k-in-less-than-30-minutes
Хакеры взломали аккаунт Azuki в Твиттере и похитили 758 тысяч долларов за 30 минут.
Большая часть украденных средств была из одного кошелька, при этом 751 321,80 долларов США в долларах США были украдены с использованием вредоносной ссылки.
Аккаунт Azuki, популярного проекта невзаимозаменяемых токенов (NFT), был скомпрометирован 27 января, что привело к краже USD Coin на сумму более 750 000 долларов.

Cryptmuster

legendary

Activity: 1904

Merit: 1176

Glory To Ukraine! Glory to the heroes!

DeFi-проект Friktion на Solana прекратит обслуживание пользователей. Площадка перевела свои доходные криптовалютные продукты под маркой Volt в режим «только вывод средств». Согласно сайту, инвестиционные решения стартапа обещали инвесторам от 2% до 27% годовых.

В Friktion назвали решение «сложным» и отметили, что приняли его, справившись в прошлом году с последствиями крахов Terra и FTX, а также преодолев трудности с несколькими сбоями в сети.

zasad@

legendary

Activity: 2002

Merit: 4743

https://www.forbes.com/sites/ninabambysheva/2022/12/28/over-3-billion-stolen-in-crypto-heists-here-are-the-eight-biggest/?sh=2b2b493c699f
Более 3 миллиардов долларов украдено в ходе крипто ограблений: восемь крупнейших
Ronin Network: $625М
Wormhole Network: $325М
Nomad: примерно $190М
Beanstalk Farms: $182М
Wintermute: $160М
Mango Markets: $112М
BNB BNB +0.1% Smart Chain XCN2 -5.6%: $110М
Harmony Horizon Bridge: $100М

Polkeins

legendary

Activity: 1540

Merit: 1457

Quote from: zasad@ on December 27, 2022, 07:01:16 AM

https://cryptorank.io/categories/defi
Свежая статистика, экосистема сильно мельчает. Но на рынке появились стабильные лидеры.

Видимо не только мельчает, но и как положено моно-олигополизируется.
Оно и раньше так было, когда был UNI, Maker, Sushi и остальные, но на медвежке просто эти процессы еще сильнее видны, когда просевший капитал начинает концентрироваться в еще живых проектах.
Объемы кстати действительно сильно упали и плюс кроме Lido и Юнисвап миллиардников по капе нет, ну ААVE еще близок, но все равно не густо.
Год назад все сильно бодрее было.

zasad@

legendary

Activity: 2002

Merit: 4743

https://cryptorank.io/categories/defi
Свежая статистика, экосистема сильно мельчает. Но на рынке появились стабильные лидеры.

Cryptmuster

legendary

Activity: 1904

Merit: 1176

Glory To Ukraine! Glory to the heroes!

Defrost Finance взломали на $12 млн. Команда заявила о возврате средств. 23 декабря команда DeFi-протокола Defrost Finance заявила о взломе. В PeckShield предупредили о возможной реализации мошеннической схемы rug pull. Потери превысили $12 млн. Первоначально разработчики проекта сообщили об атаке на вторую версию протокола V2 с использованием «мгновенного займа». По данным PeckShiel, хакер использовал отсутствие блокировки повторного входа. За счет манипулирования ценой в пуле ликвидности LSWUSDC его добычей стали около $173 000. Согласно Defrost Finance, повторную атаку злоумышленник провел на протокол V1 с использованием полученного ключа владельца. Команда не озвучила сумму ущерба, в PeckShield ее оценили в более чем $12 млн.

Эксперты компании на основании сообщений пользователей заявили о возможной реализации схемы rug pull. Команда проекта сама сообщила о взломе и предложила хакерам вернуть активы за вознаграждение в 20% стоимости. Однако ни один из ее представителей не ответил на запросы специалистов компании блокчейн-безопасности CertiK.

Unsoldier

legendary

Activity: 1946

Merit: 1512

Кроссчейн-агрегатор Rubic подвергся взлому почти на 1,4 млн. долларов. 1100 ETH уже переведены в Tornado Cash. Взлом стал возможен благодаря ошибочному добавлению USDC в поддерживаемые маршрутизаторы. Сами Rubic пишут в своём Твиттере, что постараются компенсировать убытки пострадавшим от взлома.

https://twitter.com/peckshield/status/1606937055761952770

Unsoldier

legendary

Activity: 1946

Merit: 1512

Defrost Finance - децентрализованная платформа на Avalanche подверглась взлому. В результате чего злоумышлениик смог вывести средства в размере 173 тысяч долларов. Взлом стал возможен благодаря отсутствию блокировки повторного входа для функций flashloan()/deposit(), которая использовалась хакером для манипулирования ценой пары LSWUSDC.

Источник: https://twitter.com/peckshieldalert/status/1606276020276891650

Unsoldier

legendary

Activity: 1946

Merit: 1512

DeFi-протокол Ankr на основе сети BNB-chain подвергся эксплойту. Злоумышленник смог создать 20 триллионов токенов aBNBc которые можно получить за стейкинг BNB в протоколе и продал их на PancakeSwap.

Источники:
https://cointelegraph.com/news/ankr-confirms-exploit-asks-for-immediate-trading-halt
https://twitter.com/wublockchain/status/1598501768588992512
https://twitter.com/lookonchain/status/1598499855412121600

Cryptmuster

legendary

Activity: 1904

Merit: 1176

Glory To Ukraine! Glory to the heroes!

DeFi-проект Flare на BNB Chain взломали на $17,9 млн. Неизвестный вывел из DeFi-протокола Flare на BNB Chain активы на $17,9 млн. Токен протокола обвалился до нуля, обратили внимание специалисты PeckShield. Эксперты подчеркнули, что речь не идет об инфраструктурном проекте Flare Networks. Добычей злоумышленника стали примерно $17 млн BUSD и 4000 BNB. Часть активов взломщик отправил в сервис микширования Tornado Cash. В PeckShield допустили возможность реализации разработчиками мошеннической схемы rug pull, поскольку 3,9 млрд токенов FLARE вывели из протокола через функцию withdrawProfit неверифицированного смарт-контракта.

Хакер также вступил в переписку с командой через транзакции.

«Не могли бы вы прислать мне немного информации о вашем проекте? Если это не скам, может быть мы сможем поговорить», — говорится в его сообщении.

Данные: BSC Scan.
Разработчики в ответ заверили, что для них в приоритете «спасти потери пользователей экосистемы», и предложили в качестве дальнейшего канала коммуникации электронную почту.

«Разумеется, мы надеемся, что сможем решить проблему по-дружески», — заявили они.

Unsoldier

legendary

Activity: 1946

Merit: 1512

Децентрализованный протокол обмена стейблкоинов с привязкой к фиату, DFX Finance подвергся хакерской атаке. Злоумышленник вывел из DFX средства на сумму около 7,5 миллионов долларов.

Команда DFX Finance признала эксплойт системы безопасности и заявила, что приостановила все свои смарт-контракты, чтобы устранить проблему.

Источник: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked

dwyane36

legendary

Activity: 3108

Merit: 2360

Quote from: ?? on ??

Хорошая была возможность, но многие спали. Хотя почти все биржи заблокировали функции ввода GALA, на хуоби она еще работала. Те, кто наблюдал эту движуху в режиме реального времени, очень быстро начали скупать дно на панкейке и сливать на хуоби, тем самым умножая свои бабки в 5-50 раз. Многие чаты ночью и утром гудели на эту тему и делились результатами. Самый лучший из мною замеченных +50к баксов за ночь.

Также сообщается что будет выпущен новый токен pGALA взмен старого скомпрометированного и его разошлют тем, у кого был pGALA до взлома.

Чувак рассказывает, как можно было заработать за час лям баксов на арбитраже: https://twitter.com/rektfencer/status/1588352433176002560

Я не знаю, сколько работал ввод GALA на Huobi и как быстро биржа обрабатывала заявки в тот момент времени, но возможность для арбитража действительно была отличная, хотя заранее предугадать такую ситуацию почти нереально. Наверное, в идеале больше всего повезло тем, у кого работали собственные программы для арбитража с уже настроенным api Huobi. В таком случае профит был бы еще более колоссальным.

dwyane36

legendary

Activity: 3108

Merit: 2360

Пишут, что неизвестные вывели из моста pNetwork в сети BNB токены GALA на сумму 2.2 млрд баксов, затем часть из этих токенов были проданы на Pancakeswap (примерно на 13k BNB). Позже разработчики pNetwork отметили, что это было якобы намеренное перераспределение токенов и опустошение пула ликвидности из-за неправильной конфигурации моста. Так это или нет, но данная ситуация усугубилась еще из-за того, что обычные трейдеры воспользовались просадкой курса и стали арбитражить, тем самым еще сильнее обрушив курс токена на бирже Huobi.

Topic: DeFi - "Атаки" и Безопасность - page 10. (Read 10973 times)