QuickSwap (DEX на Polygon) потеряла 220 тыс. долларов в результате эксплойта.
Биржа заявила, что эксплойт на 220к был осуществлен с помощью уязвимости в Curve Oracle на мгновенных займах, который использовал Market XYZ. Сообщается, что только рынок лендинга Market XYZ был скопрометирован. QuickSwap призывает своих пользователей вывести средства задействованные на Market XYZ.
Источники: https://twitter.com/QuickswapDEX/status/1584524584984145922
https://chainsecurity.com/curve-lp-oracle-manipulation-post-mortem/
https://www.theblock.co/post/179333/decentralized-exchange-quickswap-exploited-for-220k-plans-to-close-lending-markets
Topic: DeFi - "Атаки" и Безопасность - page 11. (Read 10854 times)
Хакеры вывели из DeFi-протокола Moola Market свыше 8 млн долларов.
Злоумышленники атаковали DeFi-платформу Moola Market на базе блокчейна Celo. Ущерб составил около $8,4 млн в нескольких токенах.
Хакеры перевели в протокол 243 000 CELO с Binance. Они использовали средства, чтобы занять 1,8 млн нативных токенов MOO. Искусственно завысив цену монеты, они смогли под ее залог набрать кредиты в других активах и вывести их.
Команда Moola Market приостановила работу платформы и начала расследование. Она обратилась к злоумышленникам, предупредив, что привлекла правоохранителей для блокирования ликвидации украденных средств.
После этого неизвестные вернули 93,1% выведенных активов.
Полностью статью можно прочитать по ссылке:
https://forklog.com/news/hakery-vyveli-iz-defi-protokola-moola-market-svyshe-8-mln
Злоумышленники атаковали DeFi-платформу Moola Market на базе блокчейна Celo. Ущерб составил около $8,4 млн в нескольких токенах.
Хакеры перевели в протокол 243 000 CELO с Binance. Они использовали средства, чтобы занять 1,8 млн нативных токенов MOO. Искусственно завысив цену монеты, они смогли под ее залог набрать кредиты в других активах и вывести их.
Команда Moola Market приостановила работу платформы и начала расследование. Она обратилась к злоумышленникам, предупредив, что привлекла правоохранителей для блокирования ликвидации украденных средств.
После этого неизвестные вернули 93,1% выведенных активов.
Полностью статью можно прочитать по ссылке:
https://forklog.com/news/hakery-vyveli-iz-defi-protokola-moola-market-svyshe-8-mln
^
" Взломщик Mango считает свои действия законными
На прошлой неделе DeFi-платформа Mango потеряла более $100 млн, но позднее, хакер вернул часть средств с условием, что их распределят между клиентами биржи. На следующий день, 15 октября, пользователь Twitter по имени Авраам Айзенберг взял на себя ответственность за произошедшее.
Со слов эксплойтера, они с командой прибегнули к "высокодоходной стратегии", и их действия были полностью легальны. При этом он отрицает факт взлома оракула, поскольку протокол использовался в соответствии с его предназначением.
В конце серии твитов эксплойтер заявил, что мировое соглашение было жестом доброй воли. Именно благодаря этому биржа осталась платежеспособной, и пользователи смогут вывести хотя бы часть своих средств. "
Источник: https://t.me/incrypted/15452
" Mango хакер присвоил $47M, команда не планирует легальных действий против него
https://cryptobriefing.com/mango-dao-agrees-to-pay-hacker-47-million/
«Mango Markets одобрила предложение на говернанс форуме, которое позволит злоумышленнику сохранить часть средств, украденных в среду.
Злоумышленник оставит у себя $47М из первоначально украденных $113M, а оставшуюся часть вернет.
Mango Markets также удовлетворит требования хакера и погасит безнадежный долг, возникший в результате отдельного инцидента.
Предложение набрало 272 миллиона голосов за и 4,6 миллиона голосов против, 98,5% голосов за.
«Голосуя за это предложение, держатели токенов Mango соглашаются погасить безнадежный долг перед казначейством», — говорится в предложении.
Возвращенные средства «будут использованы для покрытия любого оставшегося безнадежного долга в протоколе» и что «все вкладчики Mango будут возмещены».
На данный момент хакер вернул украденные активы на сумму 8 миллионов долларов, включая биткойны (BTC), Ethereum (ETH), Serum (SRM), FTX Token (FTT), Binance Coin (BNB), STEPN (GMT), Raydium (RAY) и Avalanche (AVAX) по запросу.
Команда Mango Markets также заявила, что не будет возбуждать уголовные дела против злоумышленника и не будет замораживать какие-либо средства».
На текущий момент:
- известна личность преступника, резидент США, штата Нью-Йорк
- преступник пополнял кошельки на Mango с KYC аккаунта на FTX
- хакер вывел часть средств через мост Circle на свой аккаунт в эфирной сети
Один из юристов в твиттере так объяснил удачный исход для хакера:
- манипуляция рынками активов (памп $MNGO к 90 центам и займ на $113М) - не являются компьютерным фраудом, т е украденные средства были получены не в результате злонамеренного завладения неправомерным доступам к внутренним системам декс биржи
- хакера можно было бы обвинить во взломе, если бы денежные средства были получены в результате компрометации приватных ключей
- хакер вероятно нарушил security fraud закон, за который привлечь к ответственности чрезвычайно тяжело.
Скорость принятия решения о выплате $47M в качестве баг-баунти вполне может указывать на то, что команда могла иметь непубличные связи с инициатором атаки и совместно совершить таким образом обкешивание казначейства проекта. "
Источник: https://t.me/Defiscamcheck/2842
https://cryptobriefing.com/mango-dao-agrees-to-pay-hacker-47-million/
«Mango Markets одобрила предложение на говернанс форуме, которое позволит злоумышленнику сохранить часть средств, украденных в среду.
Злоумышленник оставит у себя $47М из первоначально украденных $113M, а оставшуюся часть вернет.
Mango Markets также удовлетворит требования хакера и погасит безнадежный долг, возникший в результате отдельного инцидента.
Предложение набрало 272 миллиона голосов за и 4,6 миллиона голосов против, 98,5% голосов за.
«Голосуя за это предложение, держатели токенов Mango соглашаются погасить безнадежный долг перед казначейством», — говорится в предложении.
Возвращенные средства «будут использованы для покрытия любого оставшегося безнадежного долга в протоколе» и что «все вкладчики Mango будут возмещены».
На данный момент хакер вернул украденные активы на сумму 8 миллионов долларов, включая биткойны (BTC), Ethereum (ETH), Serum (SRM), FTX Token (FTT), Binance Coin (BNB), STEPN (GMT), Raydium (RAY) и Avalanche (AVAX) по запросу.
Команда Mango Markets также заявила, что не будет возбуждать уголовные дела против злоумышленника и не будет замораживать какие-либо средства».
На текущий момент:
- известна личность преступника, резидент США, штата Нью-Йорк
- преступник пополнял кошельки на Mango с KYC аккаунта на FTX
- хакер вывел часть средств через мост Circle на свой аккаунт в эфирной сети
Один из юристов в твиттере так объяснил удачный исход для хакера:
- манипуляция рынками активов (памп $MNGO к 90 центам и займ на $113М) - не являются компьютерным фраудом, т е украденные средства были получены не в результате злонамеренного завладения неправомерным доступам к внутренним системам декс биржи
- хакера можно было бы обвинить во взломе, если бы денежные средства были получены в результате компрометации приватных ключей
- хакер вероятно нарушил security fraud закон, за который привлечь к ответственности чрезвычайно тяжело.
Скорость принятия решения о выплате $47M в качестве баг-баунти вполне может указывать на то, что команда могла иметь непубличные связи с инициатором атаки и совместно совершить таким образом обкешивание казначейства проекта. "
Источник: https://t.me/Defiscamcheck/2842
Chainalysis: октябрь обновил антирекорд по ущербу от хакеров
Октябрь стал рекордным месяцем по объему украденных хакерами криптовалют в 2022 году. По данным Chainalysis, потери DeFi-протоколов с 1 октября в результате 11 атак составили $718 млн. Суммарно с начала года показатель превысил $3 млрд (125 атак), подойдя вплотную к значениям 2021 года. Аналитики отметили, что в 2019 году интерес злоумышленников был сосредоточен на централизованных платформах. С тех пор он сместился в сторону DeFi-протоколов. Существенные потери понесли кроссчейн-мосты. В октябре жертвами взломов стали три подобных проекта ($600 млн). Это 82% от кумулятивного показателя октября и 64% от суммарного за весь год.
Октябрь стал рекордным месяцем по объему украденных хакерами криптовалют в 2022 году. По данным Chainalysis, потери DeFi-протоколов с 1 октября в результате 11 атак составили $718 млн. Суммарно с начала года показатель превысил $3 млрд (125 атак), подойдя вплотную к значениям 2021 года. Аналитики отметили, что в 2019 году интерес злоумышленников был сосредоточен на централизованных платформах. С тех пор он сместился в сторону DeFi-протоколов. Существенные потери понесли кроссчейн-мосты. В октябре жертвами взломов стали три подобных проекта ($600 млн). Это 82% от кумулятивного показателя октября и 64% от суммарного за весь год.
https://twitter.com/QANplatform/status/1579759166478254080
QANplatform взлом
"Смарт-контракт моста, находящийся в автономном режиме, был взломан, и злоумышленнику удалось вывести токены. Пожалуйста, не выполняйте никаких транзакций, связанных с токеном QANX. Мы изучаем проблему и собираемся держать вас в курсе."
QANplatform взлом
"Смарт-контракт моста, находящийся в автономном режиме, был взломан, и злоумышленнику удалось вывести токены. Пожалуйста, не выполняйте никаких транзакций, связанных с токеном QANX. Мы изучаем проблему и собираемся держать вас в курсе."
Хакер вывел 1830 ЕТН из TempleDAO с помощью эксплойта. На тот момент сумма ущерба составила примерно 2,3 млн. долларов. Разработчики проекта заявили, что сделают все возможные "исправления" для пострадавших пользователей.
Источник: https://www.theblock.co/post/176299/hacker-steals-2-3-million-from-templedao
Источник: https://www.theblock.co/post/176299/hacker-steals-2-3-million-from-templedao
" Mango Markets получил убыток в размере более $100М в результате манипуляции оракла
Известный вектор атаки был использован для извлечения $116М из трейдингового и лендинг протокола на блокчейне Solana.
https://twitter.com/joshua_j_lim/status/1579987648546246658?s=46&t=DQyNCQlPYbXG9Okw1JOKzQ
1 В начале злоумышленник профинансировал счет A (CQvKS...) с залогом в размере 5М USDC
https://trade.mango.markets/account?pubkey=CQvKSNnYtPTZfQRQ5jkHq8q2swJyRsdQLcFcj3EmKFfX
2 Злоумышленник затем разместил ордер на продажу 483ММ токенов MNGO в стакане биржи
3 Через пять минут атакующий пополнил счет B (4ND8F...) с залогом в размере $5М для покупки этих 483ММ MNGO по цене $0.0382 за токен
4 Через две минуты атакующий начал манипулировать ценой MNGO на централизованных биржах и довел ее до $0.91 за счет низкой ликвидности
5 При цене MNGO $0,91 - аккаунт B был в плюсе на $423М. Это позволило ему занять $116М токенов со всех рынков, вызвав плохие долги для протокола
6 Цена MNGO после взлета упала до $0.02.
Уязвимость, позволяющая брать в долг против убытков аккаунта, у которого есть нереализованные убытки - использовалась и ранее при «обчистке» протокола Drift Trade в мае 2022 года.
Дальше начинается самое интересное:
7 Злоумышленник создает голосование на форуме Mango со следующим месседжем:
«Предлагаю команде MNGO погасить все плохие долги проекта.
У казны манго есть около $70М для погашения безнадежных долгов.
Я предлагаю следующее. Если это предложение будет принято, я отправлю MSOL, SOL и MNGO на адрес, объявленный командой Mango.
Трежери Mango будет использоваться для покрытия любого оставшегося безнадежного долга в протоколе, и все пользователи без безнадежного долга будут восстановлены.
Любой безнадежный долг будет рассматриваться как вознаграждение/баунти, выплачиваемая из страхового фонда проекта.
Голосуя за это предложение, держатели токенов Mango соглашаются выплатить это вознаграждение и погасить безнадежную задолженность казначейством, а также отказаться от любых потенциальных претензий в отношении счетов с безнадежной задолженностью и не будут проводить никаких уголовных расследований или замораживания средств после того, как токены будут отправлено обратно, как описано выше».
https://app.realms.today/dao/DPiH3H3c7t47BMxqTxLsuPQpEC6Kne8GA9VXbxpnZxFE/proposal/3WZ5DpZXDvNAK4JwPS1HDPzSinEJUGpBC4XXx9vPtnVS
И проголосовал украденными 32.9M токенами MNGO за свое предложение.
Таким образом: хакер надеется, что сможет раздербанить казначейство проекта MNGO и вместо Баунти в размере 10% за эксплоит протокола - забрать в совокупности более 50% украденных средств.
А также рассчитывает на «понимание» и просит через DAO голосование не преследовать его уголовно. "
Источник: https://t.me/Defiscamcheck/2840
Известный вектор атаки был использован для извлечения $116М из трейдингового и лендинг протокола на блокчейне Solana.
https://twitter.com/joshua_j_lim/status/1579987648546246658?s=46&t=DQyNCQlPYbXG9Okw1JOKzQ
1 В начале злоумышленник профинансировал счет A (CQvKS...) с залогом в размере 5М USDC
https://trade.mango.markets/account?pubkey=CQvKSNnYtPTZfQRQ5jkHq8q2swJyRsdQLcFcj3EmKFfX
2 Злоумышленник затем разместил ордер на продажу 483ММ токенов MNGO в стакане биржи
3 Через пять минут атакующий пополнил счет B (4ND8F...) с залогом в размере $5М для покупки этих 483ММ MNGO по цене $0.0382 за токен
4 Через две минуты атакующий начал манипулировать ценой MNGO на централизованных биржах и довел ее до $0.91 за счет низкой ликвидности
5 При цене MNGO $0,91 - аккаунт B был в плюсе на $423М. Это позволило ему занять $116М токенов со всех рынков, вызвав плохие долги для протокола
6 Цена MNGO после взлета упала до $0.02.
Уязвимость, позволяющая брать в долг против убытков аккаунта, у которого есть нереализованные убытки - использовалась и ранее при «обчистке» протокола Drift Trade в мае 2022 года.
Дальше начинается самое интересное:
7 Злоумышленник создает голосование на форуме Mango со следующим месседжем:
«Предлагаю команде MNGO погасить все плохие долги проекта.
У казны манго есть около $70М для погашения безнадежных долгов.
Я предлагаю следующее. Если это предложение будет принято, я отправлю MSOL, SOL и MNGO на адрес, объявленный командой Mango.
Трежери Mango будет использоваться для покрытия любого оставшегося безнадежного долга в протоколе, и все пользователи без безнадежного долга будут восстановлены.
Любой безнадежный долг будет рассматриваться как вознаграждение/баунти, выплачиваемая из страхового фонда проекта.
Голосуя за это предложение, держатели токенов Mango соглашаются выплатить это вознаграждение и погасить безнадежную задолженность казначейством, а также отказаться от любых потенциальных претензий в отношении счетов с безнадежной задолженностью и не будут проводить никаких уголовных расследований или замораживания средств после того, как токены будут отправлено обратно, как описано выше».
https://app.realms.today/dao/DPiH3H3c7t47BMxqTxLsuPQpEC6Kne8GA9VXbxpnZxFE/proposal/3WZ5DpZXDvNAK4JwPS1HDPzSinEJUGpBC4XXx9vPtnVS
И проголосовал украденными 32.9M токенами MNGO за свое предложение.
Таким образом: хакер надеется, что сможет раздербанить казначейство проекта MNGO и вместо Баунти в размере 10% за эксплоит протокола - забрать в совокупности более 50% украденных средств.
А также рассчитывает на «понимание» и просит через DAO голосование не преследовать его уголовно. "
Источник: https://t.me/Defiscamcheck/2840
" Хак в сети BSC на $718M
На адресе злоумышленника:
1,04М BNB
$389М в venusBNB
$28.8М BUSD
https://bscscan.com/address/0x489a8756c18c0b8b24ec2a2b9ff3d4d447f79bec
https://twitter.com/mevrefund/status/1578131413454520320?s=21&t=0-4arEkGJVIXmhZkzn3nAQ "
" Возможный взлом токен хаба BSC на 2М BNB, подозрения в нелегальной активности
https://twitter.com/jeffthedunker/status/1578121392729432064
Кошелек был пополнен через BSC Token Hub на 1М BNB, затем средства были помещены в лендинг Venus, откуда было заимствовано $150М USDC/USDT/BUSD,
Средства следом перемещались в разные цепочки, ETH, FTM, в эфирной сети приобретено 33 800 ETH.
На возможную нелегальную активность указывает слиппаж, с которым было обменено $10М BUSD на $9M BSC-USD.
https://bscscan.com/tx/0x0cc52b19aac4c2032358fb757d0800177e5a0d27f7ca5398b58fc7fd24f48037 "
" Tether внес адрес потенциального хакера в Blacklist
USDT blacklisted 0x489a8756c18c0b8b24ec2a2b9ff3d4d447f79bec
https://twitter.com/usdtblacklist/status/1578135553777754112 "
" BSC сеть после хака была остановлена 5 минут назад на блоке 21962147 "
" Совокупный ущерб от взлома моста Binance составил от $70-80М по оценкам CZ
https://twitter.com/cz_binance/status/1578171072067031042
$7М были успешно заморожены, благодаря оперативной блокировке со стороны Tether.
Что предпримет Binance для урегулирования хака?
Для начала: хакер не стал дампить свой стейк в BNB и принял логичное решение - ссудить 900К BNB в лендинг, получить при этом $147.5М стейблкоинов.
$28.8М BUSD он не двигал со своего адреса и их заблеклистят.
Лендинг Venus получил плохой долг в $118.7М, который обеспечен украденными 900K BNB.
Скорее всего, команда Binance «условно» спишет этот долг, передав лендингу заложенные BNB, что может вызвать в будущем давление на цену BNB, т к лендинг должен будет ликвидировать позицию в альткоине, чтобы восстановить депозиты стейблов.
Истинный ущерб от хака - купленные 45.7К ETH в эфирной сети, 7.5K ETH в сети Fantom.
Удивляет медлительность хакера, от момента обнаружения взлома моста прошло не менее 3 часов до того, как была остановлена сеть / предприняты действия по заморозке USDT.
За это время хакер не вышел из стейблов в DAI, опустошал выборочные мосты, действия носили хаотичный характер, что усыпляло бдительность некоторых ончейн аналитиков, которые по началу считали это не взломом, а шалостями очередного криптокита. "
Источник: https://t.me/Defiscamcheck/2834
На адресе злоумышленника:
1,04М BNB
$389М в venusBNB
$28.8М BUSD
https://bscscan.com/address/0x489a8756c18c0b8b24ec2a2b9ff3d4d447f79bec
https://twitter.com/mevrefund/status/1578131413454520320?s=21&t=0-4arEkGJVIXmhZkzn3nAQ "
" Возможный взлом токен хаба BSC на 2М BNB, подозрения в нелегальной активности
https://twitter.com/jeffthedunker/status/1578121392729432064
Кошелек был пополнен через BSC Token Hub на 1М BNB, затем средства были помещены в лендинг Venus, откуда было заимствовано $150М USDC/USDT/BUSD,
Средства следом перемещались в разные цепочки, ETH, FTM, в эфирной сети приобретено 33 800 ETH.
На возможную нелегальную активность указывает слиппаж, с которым было обменено $10М BUSD на $9M BSC-USD.
https://bscscan.com/tx/0x0cc52b19aac4c2032358fb757d0800177e5a0d27f7ca5398b58fc7fd24f48037 "
" Tether внес адрес потенциального хакера в Blacklist
USDT blacklisted 0x489a8756c18c0b8b24ec2a2b9ff3d4d447f79bec
https://twitter.com/usdtblacklist/status/1578135553777754112 "
" BSC сеть после хака была остановлена 5 минут назад на блоке 21962147 "
" Совокупный ущерб от взлома моста Binance составил от $70-80М по оценкам CZ
https://twitter.com/cz_binance/status/1578171072067031042
$7М были успешно заморожены, благодаря оперативной блокировке со стороны Tether.
Что предпримет Binance для урегулирования хака?
Для начала: хакер не стал дампить свой стейк в BNB и принял логичное решение - ссудить 900К BNB в лендинг, получить при этом $147.5М стейблкоинов.
$28.8М BUSD он не двигал со своего адреса и их заблеклистят.
Лендинг Venus получил плохой долг в $118.7М, который обеспечен украденными 900K BNB.
Скорее всего, команда Binance «условно» спишет этот долг, передав лендингу заложенные BNB, что может вызвать в будущем давление на цену BNB, т к лендинг должен будет ликвидировать позицию в альткоине, чтобы восстановить депозиты стейблов.
Истинный ущерб от хака - купленные 45.7К ETH в эфирной сети, 7.5K ETH в сети Fantom.
Удивляет медлительность хакера, от момента обнаружения взлома моста прошло не менее 3 часов до того, как была остановлена сеть / предприняты действия по заморозке USDT.
За это время хакер не вышел из стейблов в DAI, опустошал выборочные мосты, действия носили хаотичный характер, что усыпляло бдительность некоторых ончейн аналитиков, которые по началу считали это не взломом, а шалостями очередного криптокита. "
Источник: https://t.me/Defiscamcheck/2834
Immunefi подсчитали совокупные потери экосистемы Web3 от взломов и мошенничества за 3й квартал 2022 года, которые составили 428,7 млн долларов. Полный отчет по ссылке: https://assets.ctfassets.net/t3wqy70tc3bv/6tpOiGqBr1VXs0AsnLwo1Y/33f0eb2e2a911d645bad874dad2ca73e/Immunefi_Crypto_Losses_in_Q3_2022_Report.pdf
Краткий обзор отчета от Форклог: https://forklog.com/news/v-tretem-kvartale-kriptoindustriya-poteryala-ot-vzlomov-i-skama-428-mln
Также краткие обзоры отчетов потерь криптопроектов от Форклог
За 2й квартал: https://forklog.com/news/za-vtoroj-kvartal-kriptoproekty-poteryali-ot-vzlomov-bolee-670-mln
За 1й квартал: https://forklog.com/news/s-nachala-goda-poteri-kriptoindustrii-ot-vzlomov-dostigli-1-22-mlrd
Краткий обзор отчета от Форклог: https://forklog.com/news/v-tretem-kvartale-kriptoindustriya-poteryala-ot-vzlomov-i-skama-428-mln
Также краткие обзоры отчетов потерь криптопроектов от Форклог
За 2й квартал: https://forklog.com/news/za-vtoroj-kvartal-kriptoproekty-poteryali-ot-vzlomov-bolee-670-mln
За 1й квартал: https://forklog.com/news/s-nachala-goda-poteri-kriptoindustrii-ot-vzlomov-dostigli-1-22-mlrd
" Децентрализованная кроссчейн-биржа Transit Swap потеряла около $21 млн в результате хакерской атаки. Злоумышленник воспользовался ошибкой в смарт-контракте сервиса.
«Согласно анализу ончейн-данных, Transit Swap атакована хакером. Техническая команда в срочном порядка остановила сервис и смарт-контракт, никакие операции [на платформе] не могут быть выполнены», — говорится в заявлении.
Позже в Transit Swap объяснили, что злоумышленник воспользовался ошибкой в кодовой базе проекта. По мнению специалистов PeckShield, эксплойт связан со смарт-контрактом, отвечающим за обменные операции. "
Источник: https://forklog.com/news/detsentralizovannaya-birzha-transit-swap-poteryala-21-mln-v-rezultate-ataki-hakera/
«Согласно анализу ончейн-данных, Transit Swap атакована хакером. Техническая команда в срочном порядка остановила сервис и смарт-контракт, никакие операции [на платформе] не могут быть выполнены», — говорится в заявлении.
Позже в Transit Swap объяснили, что злоумышленник воспользовался ошибкой в кодовой базе проекта. По мнению специалистов PeckShield, эксплойт связан со смарт-контрактом, отвечающим за обменные операции. "
Источник: https://forklog.com/news/detsentralizovannaya-birzha-transit-swap-poteryala-21-mln-v-rezultate-ataki-hakera/
https://www.coindesk.com/business/2022/10/03/transit-swap-exploiter-returns-large-chunk-of-289m-hack/
В сообщении в блоге , опубликованном в понедельник, Transit Swap сообщил, что 18,9 миллиона долларов были возвращены после того, как множество фирм по безопасности помогли триангулировать IP-адрес хакера .
https://medium.com/@TransitSwap/updates-about-transitfinance-4731c38d6910
" Децентрализованная кроссчейн-биржа Transit Swap потеряла около $21 млн в результате хакерской атаки. Злоумышленник воспользовался ошибкой в смарт-контракте сервиса.
«Согласно анализу ончейн-данных, Transit Swap атакована хакером. Техническая команда в срочном порядка остановила сервис и смарт-контракт, никакие операции [на платформе] не могут быть выполнены», — говорится в заявлении.
Позже в Transit Swap объяснили, что злоумышленник воспользовался ошибкой в кодовой базе проекта. По мнению специалистов PeckShield, эксплойт связан со смарт-контрактом, отвечающим за обменные операции. "
Источник: https://forklog.com/news/detsentralizovannaya-birzha-transit-swap-poteryala-21-mln-v-rezultate-ataki-hakera/
«Согласно анализу ончейн-данных, Transit Swap атакована хакером. Техническая команда в срочном порядка остановила сервис и смарт-контракт, никакие операции [на платформе] не могут быть выполнены», — говорится в заявлении.
Позже в Transit Swap объяснили, что злоумышленник воспользовался ошибкой в кодовой базе проекта. По мнению специалистов PeckShield, эксплойт связан со смарт-контрактом, отвечающим за обменные операции. "
Источник: https://forklog.com/news/detsentralizovannaya-birzha-transit-swap-poteryala-21-mln-v-rezultate-ataki-hakera/
Из-за уязвимости сервиса Profanity, с помощью которого генерируются красивые ЕТН-адреса с кошелька пользователя сервиса было украдено 732 эфира на сумму 950к долларов. Далее эти средства были отправлены на Tornado Cash.
Источники: https://www.theblock.co/post/172773/hacker-steals-950000-from-crypto-vanity-address-as-exploits-continue
https://twitter.com/peckshieldalert/status/1574286302501306368
Источники: https://www.theblock.co/post/172773/hacker-steals-950000-from-crypto-vanity-address-as-exploits-continue
https://twitter.com/peckshieldalert/status/1574286302501306368
" DeFi-платформа Nereus Finance на базе Avalanche подверглась арбитражной атаке с помощью флэш-кредита на 51 млн USDC. Добыча хакера составила примерно 370 000 USDC, подсчитали в CertiK.
С помощью взятых в кредит средств злоумышленник манипулировал ценами на токены AVAX на Nereus. После завершения арбитражных сделок и возвращения займа на его адресе осталось около 370 000 USDC.
Затем злоумышленник перевел средства из блокчейна Avalanche в Ethereum. На совпадающем адресе в сети второй по капитализации криптовалюты у него оказалось 194 ETH (~$310 000) и 15 850 DAI.
Большую часть эфира четырьмя транзакциями по 45 ETH хакер отправил на адреса платформы для обмена цифровых активов FixedFloat. На момент написания в его Ethereum-кошельке остается 12,7 ETH и все 15 850 DAI.
Команда Nereus Finance подтвердила атаку:
«Этот инцидент затронул один рынок, и протокол NXUSD в целом остается сверхобеспеченным. Мы ведем процесс восстановления и вскоре опубликуем результаты расследования».
NXUSD — это привязанный к доллару США алгоритмический стейблкоин от Nereus Finance. На фоне инцидента котировки актива падали к отметкам около $0,89. На момент написания токен не восстановил паритет с базовым активом и торгуется на уровне около $0,96. "
Источник: https://forklog.com/zloumyshlennik-poluchil-370-000-usdc-v-rezultate-ataki-na-nereus-finance/
С помощью взятых в кредит средств злоумышленник манипулировал ценами на токены AVAX на Nereus. После завершения арбитражных сделок и возвращения займа на его адресе осталось около 370 000 USDC.
Затем злоумышленник перевел средства из блокчейна Avalanche в Ethereum. На совпадающем адресе в сети второй по капитализации криптовалюты у него оказалось 194 ETH (~$310 000) и 15 850 DAI.
Большую часть эфира четырьмя транзакциями по 45 ETH хакер отправил на адреса платформы для обмена цифровых активов FixedFloat. На момент написания в его Ethereum-кошельке остается 12,7 ETH и все 15 850 DAI.
Команда Nereus Finance подтвердила атаку:
«Этот инцидент затронул один рынок, и протокол NXUSD в целом остается сверхобеспеченным. Мы ведем процесс восстановления и вскоре опубликуем результаты расследования».
NXUSD — это привязанный к доллару США алгоритмический стейблкоин от Nereus Finance. На фоне инцидента котировки актива падали к отметкам около $0,89. На момент написания токен не восстановил паритет с базовым активом и торгуется на уровне около $0,96. "
Источник: https://forklog.com/zloumyshlennik-poluchil-370-000-usdc-v-rezultate-ataki-na-nereus-finance/
DeFi-биржа KyberSwap подверглась атаке через эксплойт. В результате атаки было потеряно средств на 256 тыс долларов. Владельцы биржи пишут, что пострадавшим будет выплачена компенсация, а злоумышленнику обещают выплатить 15% от похищенных средств, если он их вернёт.
Источник: https://twitter.com/kybernetwork/status/1565421305410686976
https://getblock.net/en/news/kyber-network-team-recovers-265-000-stolen-in-hack/Источник: https://twitter.com/kybernetwork/status/1565421305410686976
Команда Kyber Network вернула $265 000, украденные при взломе
По словам представителей платформы, вектор атаки на DEX KyberSwap был успешно идентифицирован и устранен.
DeFi-биржа KyberSwap подверглась атаке через эксплойт. В результате атаки было потеряно средств на 256 тыс долларов. Владельцы биржи пишут, что пострадавшим будет выплачена компенсация, а злоумышленнику обещают выплатить 15% от похищенных средств, если он их вернёт.
Источник: https://twitter.com/kybernetwork/status/1565421305410686976
Источник: https://twitter.com/kybernetwork/status/1565421305410686976
https://forklog.news/za-vtoroj-kvartal-kriptoproekty-poteryali-ot-vzlomov-bolee-670-mln/
За второй квартал криптопроекты потеряли от взломов более $670 млн
https://forklog.news/s-nachala-goda-poteri-kriptoindustrii-ot-vzlomov-dostigli-1-22-mlrd/
За первый квартал 2022 года криптопроекты потеряли в результате действий хакеров и мошенников более $1,22 млрд. Это на 695% больше, чем за аналогичный период годом ранее, сообщает Yahoo Finance со ссылкой на отчет Immunefi.
За второй квартал криптопроекты потеряли от взломов более $670 млн
https://forklog.news/s-nachala-goda-poteri-kriptoindustrii-ot-vzlomov-dostigli-1-22-mlrd/
За первый квартал 2022 года криптопроекты потеряли в результате действий хакеров и мошенников более $1,22 млрд. Это на 695% больше, чем за аналогичный период годом ранее, сообщает Yahoo Finance со ссылкой на отчет Immunefi.
DeFi-проект OptiFi потерял $661 000 в ходе неудачного апдейта
Команда DeFi-протокола OptiFi на базе Solana случайно закрыла свою основную сеть, заблокировав средства пользователей в USDC на сумму $661 000. По словам разработчиков, ошибка произошла в ходе обновления кода протокола. Процесс занял больше времени, чем ожидалось, вероятно из-за перегрузки Solana.
В результате они прервали процесс установки, но после того, как был создан промежуточный аккаунт-посредник. В попытке удалить буферную учетную запись разработчики использовали команду solana program close. Разработчики заверили, что компенсируют все средства пользователям.
Они также заявили, что извлекли уроки из инцидента и впредь намерены среди прочего:
Команда DeFi-протокола OptiFi на базе Solana случайно закрыла свою основную сеть, заблокировав средства пользователей в USDC на сумму $661 000. По словам разработчиков, ошибка произошла в ходе обновления кода протокола. Процесс занял больше времени, чем ожидалось, вероятно из-за перегрузки Solana.
В результате они прервали процесс установки, но после того, как был создан промежуточный аккаунт-посредник. В попытке удалить буферную учетную запись разработчики использовали команду solana program close. Разработчики заверили, что компенсируют все средства пользователям.
Они также заявили, что извлекли уроки из инцидента и впредь намерены среди прочего:
- выполнять развертывание обновлений при участии как минимум трех нод;
- отделять пулы капитала в AMM от основной программы, чтобы минимизировать последствия таких ошибок.
https://www.youtube.com/watch?v=TZnVMMmf6Lg
Безопасность в DeFi – разрешение и отзыв действий смарт-контрактам (Approve и Revoke)
Безопасность в DeFi – разрешение и отзыв действий смарт-контрактам (Approve и Revoke)
https://forklog.com/haker-neudachno-atakoval-krosschejn-most-rainbow-bridge-i-poteryal-5-eth/
Хакер неудачно атаковал кроссчейн-мост Rainbow Bridge и потерял 5 ETH
Хакер неудачно атаковал кроссчейн-мост Rainbow Bridge и потерял 5 ETH
Jump to: