Topic: DeFi - "Атаки" и Безопасность - page 16. (Read 10023 times)

MidasTheFool освещает историю с токеном $MOCHI

$Mochi - пирамидальная недоколлатеризированная платформа, где у владельца контракта 99.5% эмиссии токена, а его полная капитализация $61B (халиф на час от скамера-фаундера Armor.fi/SAFE с капитализацией размером в XRP)

«Сегодня ночью была объявлена DeFi война. Дам краткое описание схватки, куда вступили: Azeem, кит Tetranode, Андре Кронье и многие другие:

Идет гигантская продолжающаяся война за то, чтобы накопить достаточное влияние и власть над протоколом, а вернее эмиссией токенов DeFi обменника CRV.
У многих протоколов defi есть свои союзники и сторонники. И многие из них были заинтересованы в том, чтобы получить большую позицию и влияние в токене $CVX.
Это привело бы к прибыльной эмиссии CRV в их протоколы, а также к получению дополнительного дохода от их влияния на протокол CRV.

Но, будучи децентрализованными организациями, все они должны предложить идею, а затем заставить владельцев токенов проголосовать и принять предложение.
$OHM и $ROOK проводили голосование, чтобы сделать это. Даже $SPELL имеет место в экосистеме с использованием механизма Bribe
Эти голосования, хотя и демократические, продвигаются медленнее, чем отдельные участники.

$Mochi, казалось бы, возник из ниоткуда. Его залистили в паре к эфиру с 1720 ETH ликвидности, и дегены всех мастей начали его немедленно покупать, думая, что это какой-то мем токен, где они и рыбку съедят и эфиры приумножат.

А потом происходит то, что планировал изначально создатель этого скам-протокола:
Используя в качестве залога свой токен $MOCHI, где у него сосредоточено 99.5% эмиссии, он кладет его в свою платформу, минтит под залог ничем не обеспеченного фантика стейблкоин USDM, меняет $48М USDM на DAI через пул CRV, делая его состоящим из необеспеченного стейбла USDM.

Затем эти стейблы размениваются и создатель протокола $MOCHI покупает $CVX на сумму 6000 ETH - создавая богоподобную свечу, пробивающую потолок.
Пока все остальные заняты голосованием и размышлениями, $MOCHI решает просто всех поиметь.
Это мгновенно делает их владельцами cvx/crv, которыми они ВЛАДЕЮТ, а не подкупают через голосование.

Другие лидеры протоколов DeFi не впечатлены. FUD распространяется быстро, в том числе от Андре Кронье. Но токен $MOCHI продолжает расти под напором дегенов на юнисвапе.
Приводятся аргументы в пользу того, что держатели $MOCHI подвергают LP риску.

Андре Кронье: «Не могу поверить, что протокол подвергнет их LP такому риску. В настоящее время протокол недостаточно обеспечен на 65%, LP пострадали, позиция в 48 миллионов долларов не может быть развернута (в настоящее время убыток в 10 миллионов долларов). Если все пойдет по плану (cvx + mochi + ликвидность), то все получится, но риск для пользователей, что не все пойдет по плану».

Основатель $MOCHI - известный скамер. Мошенничал с предыдущими страховыми продуктами (armorfi/SAFE), не выплачивал позиции.
Войну протоколу $Mochi объявил известный кит Tetranode, известный как маркет-мейкер в том числе $CVX токена.

Создатель $Mochi поставил себя в неловкое положение, залочив $CVX на 16 недель, а значит, в долгой войне с Tetranode проект может и не быть успешен».
Источник: https://t.me/Defiscamcheck/2228

В скором времени (может не в скором) лайтинг будет частью дефи. Платформа смарт-контрактов mintlayer строит решение для взаимодействия с лайтингом. Mintlayer - это сайдчейн Биткойна.
Может притянуто за уши, просто с таким ходом мыслей я посчитал что делаю все верно.

"Группа мошенников использовала тонкую уязвимость в боте @lntxbot. Они украли ~14 миллионов сатов (~ 9к $).
Бот будет отключен, пока мы решаем, что делать дальше.
Не переживайте. Funds are SAFU. Алистар Милн пообещал возместить утерянные средства.
Похоже, бот будет продолжать продвигать сеть Lightning в Telegram-массы.
Источник: https://t.me/bitcoin_translated/1636

Новый прокол у DeFi на эфире. Сегодня надёжность этого дифая была скомпрометирована протоколом кредитования bZx. Хакерам каким-то образом удалось добраться до приватного ключа управления  проектом  на Polygon  и  BSC bи забрать с собой 55 миллионов баксов. Я для себя сделал вывод, что дифай на эфире очень трухлявый и правильно делает Mintlayer что направил свои силы на разработку защищённого DeFi на L2 к биткоину.

Разработчики протокола Yearn на Гитхабе ведут документацию и полный отчёт всех своих найденных уязвимостей. Большинство из них они сами же нашли.

https://github.com/yearn/yearn-security/tree/master/disclosures

Думаю, тем кто интересуется DeFi безопасностью будет интересно.

Сообщение от разработчика Cream Finance хакеру, укравшему $117M

"you win. we're rekt. please return funds and we will honor a 10% bounty"
Строить протоколы в DeFi - убийственно тяжелая миссия, разработчики выходят на войну против лучших и смекалистых умов. Остается пожелать удачи проекту, пересобраться, найти силы для построения безопасного будущего в DeFi.
https://etherscan.io/tx/0x606bdd12584ccda8a3ecdb9e4bd43046d066d2b223d857121eec51820f34cc89
Источник: https://t.me/Defiscamcheck/2193


Механика взлома Cream Finance 27 октября 2021 г

Хакер действовал на 2 аккаунтах при помощи flash loan (действие выполняется в рамках 1 транзакции с возвратом заимствованных средств, поэтому цифры займа могут быть астрономическими):
1 Займ ETH и производство залога $500m DAI из Maker, которые затем кладутся в пул Curve и в ответ на 500m DAI - пул выписывает 500m токенов yUSD (токенов, несущих доход)
2 Аккаунт А кладет yUSD в протокол CREAM
3 Флеш лоан 500K ETH из AAVE для аккаунта B
4 Аккаунт B кладет все занятые 500K ETH, чтобы заимствовать все токены yUSD и отправляет их на аккаунт А (здесь думаю и крылась основная ошибка логики протокола - возможность передвижения токенов yUSD в рамках флеш лоан на чужой аккаунт)
5 Аккаунт А кладет yUSD в протокол CREAM
6 Повторяется несколько раз, где аккаунт B кладет эфир, заимствует токены yUSD, отправляет их на аккаунт А
7 В итоге - аккаунт A на конец транзакций имеет 1.5B cyUSD (депозитных расписок, представляющих токен yUSD) и 500М yUSD.
8 Аккаунт А производит запрос на то, чтобы достать из токенов cyUSD - токены yUSD (redeem транзакция)
9 Т к стоимость yUSD рассчитывалась относительно общей эмиссии cyUSD (которая возросла в 2 раза), то Аккаунт B остался глубоко убыточным (в предыдущем посте долг его был более $2B), а токен А удвоил свою залоговую базу, что позволило ему изъять из протокола Cream токены, под залог фантомной залоговой базы.
10 Используя свою залоговую базу аккаунт А опустошил все токены из протокола Cream
11 Аккаунт А использует востребованные из cyYSD токены yUSD для возврата флеш займа и выплаты по долгу 500M DAI в протокол Maker.

https://twitter.com/nomorebear/status/1453413216172740609
источник: https://t.me/Defiscamcheck/2189

---

Форк форка форка. Казалось бы, что могло пойти не так?

Anubis DAO, анонсированное шиллером 0xSisyphus - без сайта, вайтпепера, на одном дискорде и обещании создать форк проекта Olympus, совмещенный с мем-собачьим коином Shiba, а также в формате DAO, запустил вчера сейл через Copper Fair Launch.

На борту было полно инфлюенсеров, проект собрал за 21 час - 13 597 эфиров.
Как заверяет 0xSisyphus, он не в курсе, куда ушли $58.97M.
Объявлена награда в размере 1000 эфиров за информацию о злоумышленнике.

https://twitter.com/0xSisyphus/status/1454058681134374922

p.s.: злоумышленником был твиттерянин - beerus, который являлся членом команды, описывал себя как 12 летний будущий триллионер, он попался на публикации в твиттере своего кошелька под розыгрышем NFT часов. Спустя 5 минут разоблачения - он удалил свой твиттер, последний твит содержал: XD.
Источник: https://t.me/Defiscamcheck/2196

Новый вид взлома Метамаска при помощи присланного PDF- или MS Office-файла действительно существует. В данном случае в письме, предположительно отправленном с поддельного адреса, шла речь о желании фонда Paradigm войти в раунд
комментирует https://t.me/newcryptoshit/556

https://decrypt.co/84590/cream-finance-suffers-third-hack-losing-over-130-million
Здесь пишут о 130 миллионах

так а что школьнику надо, пригрозили , что найдут любым способом и заставят все вернуть, а тот с перепугу сдался.

Эксплойт на $34М. Ограблению подвергся Cream Finance

Аудиторская компания Peckshield сообщила о транзакциях кражи средств: https://twitter.com/peckshield/status/1453364046904786950
Счет злоумышленника: https://etherscan.io/address/0x24354d31bc9d90f62fe5f2454709c32049cf866b
Контракт, который создал хакер содержит долг в размере $2.1B https://app.zerion.io/0x961d2b694d9097f35cfffa363ef98823928a330d/overview
источник: https://t.me/Defiscamcheck/2188

!UPD Эксплойт на $117М.

это конечно провал. Не могли ребята сделать все скрытно.. Чтобы их не вычислили, это же легко делается, такое впечатление что действительно шутка была. Но вот не задача, 88 эфирок. Я бы уже никогда онлайн не был после такого

видать бедному школьнику не давали денег для карманные расходы, и он решил сам себе заработать. в нынешнее время дети со смартфона могут делать такое, что в мои года нужно еще поучится.

Школьник признался в мошенничестве и краже 88 ETH

Проект Creature Toadz пострадал от действий 17 летнего школьника из США, который использовал сервер Discord, где обманом выманил у участников 88 ETH на сумму в $340 000. Хакер представился модератором, дал ссылку на WEB-ресурс, по которой можно чеканить Creature Toadz.
Доверчивому сообществу понадобилось меньше часа, чтобы ему перевести 88 ETH. Меньше часа. 88 ETH. Карл! Репутация команды Creature Toadz пострадала еще до запуска платформы из-за юного киберпреступника.
Личность хакера была быстро идентифицирована аналитиком под ником «OKHotshot» в ходе обсуждения взлома в Twitter. Грабителем оказался человек с ником HEERR.
После того, как OKHotshot пригрозил раскрыть личность вымогателя и подать заявление в правоохранительные органы, HEERR согласился вернуть все украденные монеты, заяви: «Это была просто шутка». Эфир был возвращен на кошельки Creature Toadz, команда пока не обратилась с обвинением в полицию.
источник: https://t.me/incrypted/11253

Я вот не могу понять зачем люди вкидывают во всякую неизвестную ерунду такие деньги, которые с легкостью уводят хакеры.

Апдейт: команда DeFi-проекта Indexed Finance утверждает, что вычислила злоумышленника, который вывел из протокола активы приблизительно на $16 млн.

Предполагаемый взломщик написал, что использовал возможности арбитража. Он также сообщил, что некто скопировал его атаку на индексный токен FFF и вывел из пула активы на $5 млн, полагавшиеся ему.
https://forklog.com/?p=153175

Меня тоже умиляет как малолетки, не усвоившие закон - "не твои ключи- не твои деньги" - надеются и ждут кого-то, кто их защитит и спасет от потери. Тут грех не постебаться.

В истории Indexed Finance появилось продолжение.
Они вроде нашли хакера, а хакер над ними смеется в твиттере.
https://twitter.com/ZetaZeroes

пост на английском
https://bitcointalksearch.org/topic/defi-hacks-history-5267124

Почему не нужно брать на работу идиотов или как из за одного твита потерять 90кк баксов капы проекта.

Руководства по цифровому маркетингу полны предостерегающих историй об оплошностях в социальных сетях, которые привели к самоубийству бренда. Все, что нужно, - это бесчувственный твит от стажера по маркетингу, чтобы оставить корпорацию в упадке, а ее акции - в упадке. Оказывается, мир криптовалюты не так уж и отличается. После отправки и поспешного удаления ошибочного твита рыночная капитализация Waltonchain резко упала на 90 миллионов долларов.

В отличие от поддельных раздач, предлагаемых похожими аккаунтами Twitter каждый божий день, Waltonchain фактически раздавал криптовалюту - 2,14 WTC 100 случайным победителям в рамках кампании ко Дню Святого Валентина. Любой, кто изучал криптографию, знает, что подлинной случайности трудно достичь. Есть целые учебники, посвященные искусству случайного генерирования чисел непредсказуемым образом. Каким-то образом, похоже, один из счастливых победителей Waltonchain оказался сотрудником Waltonchain. Инцидент остался бы незамеченным, если бы сотрудник тогда не написал в Твиттере о своем восторге от победы - из официального аккаунта Waltonchain.


Твит был поспешно удален, но не раньше, чем он был замечен и распространен по всему Твиттеру. По итогу WTC начал лететь в пропасть потеряв 90 миллионов долларов за следующие 24 часа. Это падение не нанесло прямого вреда компании, но явилось четким показателем того, как сообщество относится к обману. Опозорившись, Waltonchain был вынужден опубликовать официальный ответ на «недавний инцидент в Твиттере», объяснив, что «член команды Waltonchain был среди победителей и взволнованно написал в Твиттере, используя неправильный профиль». Суть этого объяснения, вероятно, верна, но оправдание неискренне потому как ни один сотрудник Waltonchain, уже имеющий мешок WTC, не почувствовал бы себя охваченным волнением от того, что получил WTC на 50 долларов.


https://news.bitcoin.com/single-tweet-wiped-90-million-off-waltonchains-market-cap/
Новость увидел в одном из чатов в телеге.

Из Indexed Finance вывели токенов на $15.8М
845K CRV, 7500 AAVE, 6462 COMP, 516 MKR +ещё SNX, LINK, YFI, UMA

https://etherscan.io/tx/0xbde4521c5ac08d0033019993b0e7e1d29b1457e80e7743d318a3c27649ca4417
https://etherscan.io/tx/0x44aad3b853866468161735496a5d9cc961ce5aa872924c5d78673076b1cd95aa

Indexed Finance сообщает, что пытается договориться с хакером, но тот уже делает апрувы на торговлю украденными токенами.

Проект Saturn запустился на MoonPad, при помощи MoonSwap. Сатурны собрали бабло и рагпульнулись.

MoonSwap дал им 24 часа, чтобы вернуть деньги. Комьюнити объединилось против скамеров и готово следить за средствами, а может и не только следить...
источник: https://t.me/moni_talks_ru/1216
В треде пишут о личных потерях в размере 20к$, 15к$...

Поймали инсайдеров из Divergence Ventures за фармингом аирдропа

Как заработать 702 эфира за размещение в протокол всего по 0,148 ETH с большого количества кошельков?
В твиттере разгораются нешуточные страсти по аирдропу проекта Ribbon.

Один из инвесторов - Divergence Ventures - проявили смекалку и заабьюзили систему, положив с большого количества кошельков по 0,148 эфира и получив взамен - 15 423 токена Ribbon (ценой $60-70к) на каждый кошелек.

Депозит копеек в контракт Ribbon
https://etherscan.io/tx/0x9260158d2822fdf1f05a3b0ebc931103020a7e4f7f05e7dc6945c21589b3b7bb

Клейминг токенов
https://etherscan.io/tx/0xd19f808f330baa1c758281eb95d510f71c5e5fe6cd31029da53ed1d54d6d5d62

Повторить так 40 раз.
Когда их поймали, полились извинения и оправдания, какие они молодцы и как так случайно вышло, что их поймали.
И пожаловались на то, что чек был всего 25 тыщ и как они просят сообщество «понять и простить».

Твиттер-тред с извинениями: https://twitter.com/divdotvc/status/1446522545503563777

Что ждем от Divergence Ventures:

выводов, теперь они не будут палиться и использовать кошельки, пополненные с Торнадо Кэш.

Пойманные инсайдеры отправили 702 ETH в сокровищницу Ribbon.

https://twitter.com/divdotvc/status/1446527054883655683

источник: https://t.me/Defiscamcheck/2156