Topic: DeFi - "Атаки" и Безопасность - page 17. (Read 10854 times)

Ничего не вернут, https://etherscan.io/address/0x8f6a86f3ab015f4d03ddb13abb02710e6d7ab31b Кошелек  хацкера грабанувшего моно, уже чистит бабло через Tornado. И куча жалобных комментариев. У самого там лежали средства в пуле ликвидности, ради дропа, вывел в другой проект незадолго до взлома. Фармилки помойки.
Более того, высказывается информация в пабликах что им указывали на уязвимости тестировщики, но они тупо забили не придав значения , а тестировщикам заплатили копейки.

Это уже серъезно. Свои активы нужно только на холодных кошельках хранить. Вот это вот все в долгую намного хуже нежели обычный холд. Получать % на свою крипту это хорошо, но риски как по мне несравнимы.

" Неделя взломов продолжается: с BadgerDAO похитили около $100 млн

Пользователи DeFi протокола Badger DAO сообщили о несанкционированном выводе средств. По предварительным оценкам, украденная сумма составляет около $100 млн.

Вскоре после этого проект подтвердил, что они получили многочисленные сообщения о «несанкционированном выводе средств пользователей».

В PeckShield заявили, что один из пользователей платформы потерял 896.85 BTC (~$51 млн).

Команда начала расследование и приостановили все смарт-контракты, чтобы «предотвратить дальнейшее снятие средств».

В результате взлома токен BADGER упал на 20%. "

Источник: https://t.me/incrypted/11723

Первый пост посмотри, там многоэтих ошибок. Если она детская, почему раньше не забрал?
2 независимых аудита у проекта.

Ошибка конечно детская, не знаю как командла проекта не смогла её увидеть. Я хоть и успел случайно 3 дня назад выйти, но вот друзей немного зацепило. Думаю что с временем они вернут утраченные деньги инвесторам, но осадок останется.

MonoXFinance $31 М

https://twitter.com/FrankResearcher/status/1465679352448917504

"Мне даже стало немного скучно, но полчаса назад украли 31 миллион долларов из @MonoXFinance

- 5.7M MATIC ($10.5M)
- 3.9k WETH ($18.2M)
- 36.1 WBTC ($2M)
- 1.2k LINK ($31k)
- 3.1k GHST ($9.1k)
- 5.1M DUCK ($257k)
- 4.1k MIM ($4.1k)
- 274 IMX ($2k)"

Недавно у MONO стартовал в Primelist на бирже Хуоби
https://www.huobi.com/ru-ru/exchange/mono_usdt/

По данным Elliptic другие данные, отчет можно скачать по ссылке, нужна регистрация.

DeFi: риск, регулирование и рост DeCrime
https://www.elliptic.co/resources/defi-risk-regulation-and-the-rise-of-decrime

Пользователи и инвесторы DeFi понесли убытки на сумму более 12 миллиардов долларов из-за краж и мошенничества.
Эти убытки растут, и на сегодняшний день они составят 10,5 млрд долларов США в 2021 году по сравнению с 1,5 млрд долларов США в 2020 году.

Cream после хака на 130М решили раздать CREAM-токены всем пострадавшим (необходимо клеймить) Этот процесс подачи заявок будет доступен в течение 1 года с момента публикации этой публикации - пишет команда в медиуме.
Пользователям которым успешно покрыли полные страховые выплаты с помощью Nexus Mutual или Bridge Mutual не будут иметь права требовать CREAM, если они были покрыты страховкой на 100%.
Так же убрали оставшиеся токены CREAM, предназначенные для команды.
Источник: https://cp0x.com/topic/470-cream-finance-platforma-defi/?do=findComment&comment=11735

MidasTheFool освещает историю с токеном $MOCHI

$Mochi - пирамидальная недоколлатеризированная платформа, где у владельца контракта 99.5% эмиссии токена, а его полная капитализация $61B (халиф на час от скамера-фаундера Armor.fi/SAFE с капитализацией размером в XRP)

«Сегодня ночью была объявлена DeFi война. Дам краткое описание схватки, куда вступили: Azeem, кит Tetranode, Андре Кронье и многие другие:

Идет гигантская продолжающаяся война за то, чтобы накопить достаточное влияние и власть над протоколом, а вернее эмиссией токенов DeFi обменника CRV.
У многих протоколов defi есть свои союзники и сторонники. И многие из них были заинтересованы в том, чтобы получить большую позицию и влияние в токене $CVX.
Это привело бы к прибыльной эмиссии CRV в их протоколы, а также к получению дополнительного дохода от их влияния на протокол CRV.

Но, будучи децентрализованными организациями, все они должны предложить идею, а затем заставить владельцев токенов проголосовать и принять предложение.
$OHM и $ROOK проводили голосование, чтобы сделать это. Даже $SPELL имеет место в экосистеме с использованием механизма Bribe
Эти голосования, хотя и демократические, продвигаются медленнее, чем отдельные участники.

$Mochi, казалось бы, возник из ниоткуда. Его залистили в паре к эфиру с 1720 ETH ликвидности, и дегены всех мастей начали его немедленно покупать, думая, что это какой-то мем токен, где они и рыбку съедят и эфиры приумножат.

А потом происходит то, что планировал изначально создатель этого скам-протокола:
Используя в качестве залога свой токен $MOCHI, где у него сосредоточено 99.5% эмиссии, он кладет его в свою платформу, минтит под залог ничем не обеспеченного фантика стейблкоин USDM, меняет $48М USDM на DAI через пул CRV, делая его состоящим из необеспеченного стейбла USDM.

Затем эти стейблы размениваются и создатель протокола $MOCHI покупает $CVX на сумму 6000 ETH - создавая богоподобную свечу, пробивающую потолок.
Пока все остальные заняты голосованием и размышлениями, $MOCHI решает просто всех поиметь.
Это мгновенно делает их владельцами cvx/crv, которыми они ВЛАДЕЮТ, а не подкупают через голосование.

Другие лидеры протоколов DeFi не впечатлены. FUD распространяется быстро, в том числе от Андре Кронье. Но токен $MOCHI продолжает расти под напором дегенов на юнисвапе.
Приводятся аргументы в пользу того, что держатели $MOCHI подвергают LP риску.

Андре Кронье: «Не могу поверить, что протокол подвергнет их LP такому риску. В настоящее время протокол недостаточно обеспечен на 65%, LP пострадали, позиция в 48 миллионов долларов не может быть развернута (в настоящее время убыток в 10 миллионов долларов). Если все пойдет по плану (cvx + mochi + ликвидность), то все получится, но риск для пользователей, что не все пойдет по плану».

Основатель $MOCHI - известный скамер. Мошенничал с предыдущими страховыми продуктами (armorfi/SAFE), не выплачивал позиции.
Войну протоколу $Mochi объявил известный кит Tetranode, известный как маркет-мейкер в том числе $CVX токена.

Создатель $Mochi поставил себя в неловкое положение, залочив $CVX на 16 недель, а значит, в долгой войне с Tetranode проект может и не быть успешен».
Источник: https://t.me/Defiscamcheck/2228

В скором времени (может не в скором) лайтинг будет частью дефи. Платформа смарт-контрактов mintlayer строит решение для взаимодействия с лайтингом. Mintlayer - это сайдчейн Биткойна.
Может притянуто за уши, просто с таким ходом мыслей я посчитал что делаю все верно.

"Группа мошенников использовала тонкую уязвимость в боте @lntxbot. Они украли ~14 миллионов сатов (~ 9к $).
Бот будет отключен, пока мы решаем, что делать дальше.
Не переживайте. Funds are SAFU. Алистар Милн пообещал возместить утерянные средства.
Похоже, бот будет продолжать продвигать сеть Lightning в Telegram-массы.
Источник: https://t.me/bitcoin_translated/1636

Новый прокол у DeFi на эфире. Сегодня надёжность этого дифая была скомпрометирована протоколом кредитования bZx. Хакерам каким-то образом удалось добраться до приватного ключа управления  проектом  на Polygon  и  BSC bи забрать с собой 55 миллионов баксов. Я для себя сделал вывод, что дифай на эфире очень трухлявый и правильно делает Mintlayer что направил свои силы на разработку защищённого DeFi на L2 к биткоину.

Разработчики протокола Yearn на Гитхабе ведут документацию и полный отчёт всех своих найденных уязвимостей. Большинство из них они сами же нашли.

https://github.com/yearn/yearn-security/tree/master/disclosures

Думаю, тем кто интересуется DeFi безопасностью будет интересно.

Сообщение от разработчика Cream Finance хакеру, укравшему $117M

"you win. we're rekt. please return funds and we will honor a 10% bounty"
Строить протоколы в DeFi - убийственно тяжелая миссия, разработчики выходят на войну против лучших и смекалистых умов. Остается пожелать удачи проекту, пересобраться, найти силы для построения безопасного будущего в DeFi.
https://etherscan.io/tx/0x606bdd12584ccda8a3ecdb9e4bd43046d066d2b223d857121eec51820f34cc89
Источник: https://t.me/Defiscamcheck/2193


Механика взлома Cream Finance 27 октября 2021 г

Хакер действовал на 2 аккаунтах при помощи flash loan (действие выполняется в рамках 1 транзакции с возвратом заимствованных средств, поэтому цифры займа могут быть астрономическими):
1 Займ ETH и производство залога $500m DAI из Maker, которые затем кладутся в пул Curve и в ответ на 500m DAI - пул выписывает 500m токенов yUSD (токенов, несущих доход)
2 Аккаунт А кладет yUSD в протокол CREAM
3 Флеш лоан 500K ETH из AAVE для аккаунта B
4 Аккаунт B кладет все занятые 500K ETH, чтобы заимствовать все токены yUSD и отправляет их на аккаунт А (здесь думаю и крылась основная ошибка логики протокола - возможность передвижения токенов yUSD в рамках флеш лоан на чужой аккаунт)
5 Аккаунт А кладет yUSD в протокол CREAM
6 Повторяется несколько раз, где аккаунт B кладет эфир, заимствует токены yUSD, отправляет их на аккаунт А
7 В итоге - аккаунт A на конец транзакций имеет 1.5B cyUSD (депозитных расписок, представляющих токен yUSD) и 500М yUSD.
8 Аккаунт А производит запрос на то, чтобы достать из токенов cyUSD - токены yUSD (redeem транзакция)
9 Т к стоимость yUSD рассчитывалась относительно общей эмиссии cyUSD (которая возросла в 2 раза), то Аккаунт B остался глубоко убыточным (в предыдущем посте долг его был более $2B), а токен А удвоил свою залоговую базу, что позволило ему изъять из протокола Cream токены, под залог фантомной залоговой базы.
10 Используя свою залоговую базу аккаунт А опустошил все токены из протокола Cream
11 Аккаунт А использует востребованные из cyYSD токены yUSD для возврата флеш займа и выплаты по долгу 500M DAI в протокол Maker.

https://twitter.com/nomorebear/status/1453413216172740609
источник: https://t.me/Defiscamcheck/2189

---

Форк форка форка. Казалось бы, что могло пойти не так?

Anubis DAO, анонсированное шиллером 0xSisyphus - без сайта, вайтпепера, на одном дискорде и обещании создать форк проекта Olympus, совмещенный с мем-собачьим коином Shiba, а также в формате DAO, запустил вчера сейл через Copper Fair Launch.

На борту было полно инфлюенсеров, проект собрал за 21 час - 13 597 эфиров.
Как заверяет 0xSisyphus, он не в курсе, куда ушли $58.97M.
Объявлена награда в размере 1000 эфиров за информацию о злоумышленнике.

https://twitter.com/0xSisyphus/status/1454058681134374922

p.s.: злоумышленником был твиттерянин - beerus, который являлся членом команды, описывал себя как 12 летний будущий триллионер, он попался на публикации в твиттере своего кошелька под розыгрышем NFT часов. Спустя 5 минут разоблачения - он удалил свой твиттер, последний твит содержал: XD.
Источник: https://t.me/Defiscamcheck/2196

Новый вид взлома Метамаска при помощи присланного PDF- или MS Office-файла действительно существует. В данном случае в письме, предположительно отправленном с поддельного адреса, шла речь о желании фонда Paradigm войти в раунд
комментирует https://t.me/newcryptoshit/556

https://decrypt.co/84590/cream-finance-suffers-third-hack-losing-over-130-million
Здесь пишут о 130 миллионах

так а что школьнику надо, пригрозили , что найдут любым способом и заставят все вернуть, а тот с перепугу сдался.

Эксплойт на $34М. Ограблению подвергся Cream Finance

Аудиторская компания Peckshield сообщила о транзакциях кражи средств: https://twitter.com/peckshield/status/1453364046904786950
Счет злоумышленника: https://etherscan.io/address/0x24354d31bc9d90f62fe5f2454709c32049cf866b
Контракт, который создал хакер содержит долг в размере $2.1B https://app.zerion.io/0x961d2b694d9097f35cfffa363ef98823928a330d/overview
источник: https://t.me/Defiscamcheck/2188

!UPD Эксплойт на $117М.

это конечно провал. Не могли ребята сделать все скрытно.. Чтобы их не вычислили, это же легко делается, такое впечатление что действительно шутка была. Но вот не задача, 88 эфирок. Я бы уже никогда онлайн не был после такого

видать бедному школьнику не давали денег для карманные расходы, и он решил сам себе заработать. в нынешнее время дети со смартфона могут делать такое, что в мои года нужно еще поучится.

Школьник признался в мошенничестве и краже 88 ETH

Проект Creature Toadz пострадал от действий 17 летнего школьника из США, который использовал сервер Discord, где обманом выманил у участников 88 ETH на сумму в $340 000. Хакер представился модератором, дал ссылку на WEB-ресурс, по которой можно чеканить Creature Toadz.
Доверчивому сообществу понадобилось меньше часа, чтобы ему перевести 88 ETH. Меньше часа. 88 ETH. Карл! Репутация команды Creature Toadz пострадала еще до запуска платформы из-за юного киберпреступника.
Личность хакера была быстро идентифицирована аналитиком под ником «OKHotshot» в ходе обсуждения взлома в Twitter. Грабителем оказался человек с ником HEERR.
После того, как OKHotshot пригрозил раскрыть личность вымогателя и подать заявление в правоохранительные органы, HEERR согласился вернуть все украденные монеты, заяви: «Это была просто шутка». Эфир был возвращен на кошельки Creature Toadz, команда пока не обратилась с обвинением в полицию.
источник: https://t.me/incrypted/11253