Хакеры взломали DeFi-платформу ChainSwap и украли $8 млн
https://whattonews.ru/hakery-vzlomali-defi-platformu-chainswap-i-ukrali-8-mln/
Кроссчейн-платформа децентрализованного финансирования ChainSwap лишилась примерно $8 млн из-за уязвимости в смарт-контракте, которой воспользовался хакер.
Topic: DeFi - "Атаки" и Безопасность - page 22. (Read 10973 times)
Долго ждать не пришлось. В выгребную яму отправился токен WhaleFarm, команда которого скомуздила 2 лимона баксов. Для этого использовалась отработанная другими скамными проектами схема - сначала проводилась накачка ликвидности в пул, за которой последовала быстрая распродажа токена (rug pulls). Exit-скам длился считанные минуты и остальные поставщики ликвидности среагировать просто не успели.
С такими обещаниями по процентам даже дураки понимали что эта одна большая пирамида, но на таком рынке жадность перевешивает любые попытки что то вразумить неудачливых "вложенцев".
На рынке есть еще масса таких проектов, где вопрос не в заработке и процентах которые рисуют а успеешь ли ты унести свои деньги до того как команда решить что набрала достаточно денег на свой джет и яхту.
Еще надо добавить, что разработчики могут оставлять уязвимости, которые потом как-бы взломают "хакеры".
Чарли Ли хорошо сказал
Чарли Ли хорошо сказал
Критики говорят, что платформа DeFi, которая может быть приостановлена ее управленческой командой по желанию, вообще не децентрализована. Основатель Litecoin Чарли Ли сказал: «Большинство DeFi могут быть закрыты централизованной командой, так что это просто децентрализованный театр».
Impossible finance- $500 000
https://decrypt.co/74105/binance-smart-chain-defi-project-impossible-finance-hacked
DeFi проект Project Impossible Finance на Binance Smart Chain взломан
https://twitter.com/Mudit__Gupta/status/1406878176509194246?
Impossible finance got exploited today for $500k.
https://twitter.com/WatchPug_/status/1406872310368268288
"В 4:00 по всемирному координированному времени 21 июня из Impossible Finance было украдено 0,5 миллиона долларов. Хакер совершил несколько свопов подряд примерно по одной цене и опустошил LP, что обычно невозможно. Как Impossible Finance делает невозможное возможным? Прочтите наш анализ:"
https://watchpug.medium.com/impossible-finance-exploit-root-cause-analysis-ba0ed7c151e4
https://decrypt.co/74105/binance-smart-chain-defi-project-impossible-finance-hacked
DeFi проект Project Impossible Finance на Binance Smart Chain взломан
https://twitter.com/Mudit__Gupta/status/1406878176509194246?
Impossible finance got exploited today for $500k.
https://twitter.com/WatchPug_/status/1406872310368268288
"В 4:00 по всемирному координированному времени 21 июня из Impossible Finance было украдено 0,5 миллиона долларов. Хакер совершил несколько свопов подряд примерно по одной цене и опустошил LP, что обычно невозможно. Как Impossible Finance делает невозможное возможным? Прочтите наш анализ:"
https://watchpug.medium.com/impossible-finance-exploit-root-cause-analysis-ba0ed7c151e4
~snip~
Всегда поражаюсь ловкости взломщиков.
" 2. Хацкер использовал для атаки flashloan*:
- Выпустил свой токен Fake Coin
- Создал торговую пару Fake Coin - Burger
- Прожил маршрут обмена $BURGER -> Fake Coin -> $WBNB и таким образом расшатал цену
- Развернул в обратную сторону, нарастив бесплатные $WBNB
3. Фаундер Uniswap'а пояснил (https://twitter.com/haydenzadams/status/1398132414199873537) из-за чего весь сыр-бор.
Когда чуваки форкали юнисвап, они убрали одну строчку кода. Важную строчку.
Как итог - атака стала возможна. "
Источник: https://t.me/notothemoon/1110
Поражает ловкость рук, наверное потому что нас это вообще не затронуло.
Прямо как в голливудском фильме при похищении картины.
Быстрые займы использование и слабости оракулов и дальше будут награждать тех кто умеет правильно спланировать и кодить хорошими наградами.
Для нас же будут все более новые и невероятные истории- и если раньше казалось что асы работают как при взломе MakerDAO то сегодня мысли и розыгрыш хакеров стал намного более запутанней.
https://forklog.com/zloumyshlennik-pohitil-6-2-mln-iz-defi-protokola-belt-finance/
Злоумышленник похитил $6,2 млн из DeFi-протокола Belt Finance
«Новый уикенд — новая атака на DeFi-протокол на базе BSC. Сегодня из Belt Finance украдено $6,2 млн в BUSD при помощи восьми транзакций», — написал исследователь The Block Игорь Игамбердиев.
https://twitter.com/FrankResearcher/status/1398772580602060804?
По его наблюдениям, злоумышленник занял $385 млн в BUSD на платформе PancakeSwap. После этого он депонировал $10 млн в стратегию bEllipsisBUSD.
Злоумышленник похитил $6,2 млн из DeFi-протокола Belt Finance
«Новый уикенд — новая атака на DeFi-протокол на базе BSC. Сегодня из Belt Finance украдено $6,2 млн в BUSD при помощи восьми транзакций», — написал исследователь The Block Игорь Игамбердиев.
https://twitter.com/FrankResearcher/status/1398772580602060804?
По его наблюдениям, злоумышленник занял $385 млн в BUSD на платформе PancakeSwap. После этого он депонировал $10 млн в стратегию bEllipsisBUSD.
~snip~
Всегда поражаюсь ловкости взломщиков.
" 2. Хацкер использовал для атаки flashloan*:
- Выпустил свой токен Fake Coin
- Создал торговую пару Fake Coin - Burger
- Прожил маршрут обмена $BURGER -> Fake Coin -> $WBNB и таким образом расшатал цену
- Развернул в обратную сторону, нарастив бесплатные $WBNB
3. Фаундер Uniswap'а пояснил (https://twitter.com/haydenzadams/status/1398132414199873537) из-за чего весь сыр-бор.
Когда чуваки форкали юнисвап, они убрали одну строчку кода. Важную строчку.
Как итог - атака стала возможна. "
Источник: https://t.me/notothemoon/1110
https://forklog.com/defi-proekt-burgerswap-poteryal-7-2-mln-iz-za-ataki/
DeFi-проект BurgerSwap потерял $7,2 млн из-за атаки
"Два DeFi-протокола на базе Binance Smart Chain — BurgerSwap и Julswap — подверглись атакам с использованием мгновенных займов.
Команда BurgerSwap сообщила, что в ходе 14 транзакций злоумышленник вывел $7,2 млн. Часть пришлась на токены BURGER и xBURGER, также украдены средства в WBNB, BUSD и Ethereum. Представители проекта пообещали покрыть потери."
DeFi-проект BurgerSwap потерял $7,2 млн из-за атаки
"Два DeFi-протокола на базе Binance Smart Chain — BurgerSwap и Julswap — подверглись атакам с использованием мгновенных займов.
Команда BurgerSwap сообщила, что в ходе 14 транзакций злоумышленник вывел $7,2 млн. Часть пришлась на токены BURGER и xBURGER, также украдены средства в WBNB, BUSD и Ethereum. Представители проекта пообещали покрыть потери."
Wild Credit - эксплоит с хорошим концом.
Пул BNT - ETH протокола Wild Credit был опустошен в результате экономического эксплоита.
$637K были выведены из пула, однако при помощи специалистов из аналитических сервисов vfat.tools и Nansen.ai средства были возвращены в протокол.
https://twitter.com/WildCredit/status/1397848487593603072
Вероятно, ребята из Vfat и Nansen смогли быстро установить взаимосвязи кошелька эксплуататора уязвимости и связаться с ним на предмет возврата средств.
Все средства были возвращены в протокол:
https://etherscan.io/tx/0xb4fffa0e824034a10af2807f1504ac247ae1dd6f2bcfed8085989bbfda434542
https://t.me/Defiscamcheck/1852
Пул BNT - ETH протокола Wild Credit был опустошен в результате экономического эксплоита.
$637K были выведены из пула, однако при помощи специалистов из аналитических сервисов vfat.tools и Nansen.ai средства были возвращены в протокол.
https://twitter.com/WildCredit/status/1397848487593603072
Вероятно, ребята из Vfat и Nansen смогли быстро установить взаимосвязи кошелька эксплуататора уязвимости и связаться с ним на предмет возврата средств.
Все средства были возвращены в протокол:
https://etherscan.io/tx/0xb4fffa0e824034a10af2807f1504ac247ae1dd6f2bcfed8085989bbfda434542
https://t.me/Defiscamcheck/1852
Аналитики нашли серьезные баги у DeFi-проекта SafeMoon
https://whattonews.ru/analitiki-nashli-sereznye-bagi-u-defi-proekta-safemoon/
"Cпециалисты компании HashEx в ходе аудита выявили 12 уязвимостей в смарт-контрактах DeFi-проекта SafeMoon. Обнаруженные баги позволяют вывести активы на $20 млн и блокировать транзакции, отметили аналитики.
Аналитики нашли серьезные баги у DeFi-проекта SafeMoon
Поделитесь, пожалуйста, этим материалом 🙂 Спасибо!
SafeMoon работает на базе Binance Smart Chain. За каждый перевод средств проект взимает комиссию 10%, половина которой затем распределяется между держателями монет. Одна из главных идей SafeMoon — мотивировать пользователей удерживать актив и снизить его волатильность.
Проект собирается выпустить квадриллион токенов. Сейчас, по данным CoinGecko, в обращении находится свыше 583 триллионов монет. С момента запуска SafeMoon в марте его капитализация превысила $2 млрд, а число инвесторов — 2 млн."
https://whattonews.ru/analitiki-nashli-sereznye-bagi-u-defi-proekta-safemoon/
"Cпециалисты компании HashEx в ходе аудита выявили 12 уязвимостей в смарт-контрактах DeFi-проекта SafeMoon. Обнаруженные баги позволяют вывести активы на $20 млн и блокировать транзакции, отметили аналитики.
Аналитики нашли серьезные баги у DeFi-проекта SafeMoon
Поделитесь, пожалуйста, этим материалом 🙂 Спасибо!
SafeMoon работает на базе Binance Smart Chain. За каждый перевод средств проект взимает комиссию 10%, половина которой затем распределяется между держателями монет. Одна из главных идей SafeMoon — мотивировать пользователей удерживать актив и снизить его волатильность.
Проект собирается выпустить квадриллион токенов. Сейчас, по данным CoinGecko, в обращении находится свыше 583 триллионов монет. С момента запуска SafeMoon в марте его капитализация превысила $2 млрд, а число инвесторов — 2 млн."
В этой статье хороший разбор, я не знаю манипуляция это или нет, Но это ДеФи. Возможно все.
В протоколе Venus на базе Binance Smart Chain произошли ликвидации на $200 млн
https://forklog.com/v-protokole-venus-na-baze-binance-smart-chain-proizoshli-likvidatsii-na-200/
В протоколе Venus на базе Binance Smart Chain произошли ликвидации на $200 млн
https://forklog.com/v-protokole-venus-na-baze-binance-smart-chain-proizoshli-likvidatsii-na-200/
~snip~
Кроме этого взлома состоялся еще один, на этот раз взломали протокол Venus, также работающий на Binance Smart Chain:
" Venus Protocol и неправильная оценка цены.
Венус - лендинг протокол в BSC, через который можно занимать и сдавать в долг монеты.
19 мая, раскачав цену токена XVS, хацкеры увели 4100 BTC и 9600 ETH, оставив протокол с долгом на 100 миллионов баксов. "
Источник: https://t.me/notothemoon/1092
https://prometheus.ru/pancake-bunny-vzloman/
Pancake Bunny взломан
Децентрализованный финансовый протокол Pancake Bunny на Binance Smart Chain подвергся эксплойту, в результате которого хакеру удалось вывести более $200 млн.
https://twitter.com/PancakeBunnyFin/status/1395173093333680136?
Параллельно Токен BUNNY обвалился на 95%.
Изначально ходили слухи, что хакер скрылся с токенами на сумму в $1 млрд, однако механика эксплойта была перепутана с фактическими доходами от атаки.
Pancake Bunny взломан
Децентрализованный финансовый протокол Pancake Bunny на Binance Smart Chain подвергся эксплойту, в результате которого хакеру удалось вывести более $200 млн.
https://twitter.com/PancakeBunnyFin/status/1395173093333680136?
Параллельно Токен BUNNY обвалился на 95%.
Изначально ходили слухи, что хакер скрылся с токенами на сумму в $1 млрд, однако механика эксплойта была перепутана с фактическими доходами от атаки.
Rari Capital сообщает об эксплойте в пуле ETH;
https://www.coindesk.com/rari-capital-reports-exploit-in-eth-pool
По данным Etherscan, было изъято ETH на 15 миллионов долларов.
https://etherscan.io/address/0xcb36b1ee0af68dce5578a487ff2da81282512233
https://nipunp.medium.com/5-8-21-rari-capital-exploit-timeline-analysis-8beda31cbc1a
Адрес Rari Exploiter (тот же адрес, что и у ValueSC эксплойта ): https://etherscan.io/address/0xcb36b1ee0af68dce5578a487ff2da81282512233
Чистая прибыль эксплойта: ~ 2600 ETH (~ 10 млн долларов).
Планы Rari Capital по возврату украденных 10,6 млн долларов в Ethereum из фонда разработки.
https://www.coindesk.com/rari-capital-loses-ethereum-to-theft
https://bitcointalksearch.org/topic/defi-hacks-history-5267124
https://www.coindesk.com/rari-capital-reports-exploit-in-eth-pool
По данным Etherscan, было изъято ETH на 15 миллионов долларов.
https://etherscan.io/address/0xcb36b1ee0af68dce5578a487ff2da81282512233
https://nipunp.medium.com/5-8-21-rari-capital-exploit-timeline-analysis-8beda31cbc1a
Адрес Rari Exploiter (тот же адрес, что и у ValueSC эксплойта ): https://etherscan.io/address/0xcb36b1ee0af68dce5578a487ff2da81282512233
Чистая прибыль эксплойта: ~ 2600 ETH (~ 10 млн долларов).
Планы Rari Capital по возврату украденных 10,6 млн долларов в Ethereum из фонда разработки.
https://www.coindesk.com/rari-capital-loses-ethereum-to-theft
https://bitcointalksearch.org/topic/defi-hacks-history-5267124
Взлом протокола xToken на $25,38M
Сегодня в 16:43 мск был произведен взлом протокола xToken через флеш-лоан.
Злоумышленник (https://etherscan.io/address/0x07e02088d68229300ae503395c6536f09179dc3e)
- взял займ на 61 833 ETH с dYdx,
- предоставил ETH как обеспечение в ААВЕ,
- взял в долг 197 388 SNX из AAVE,
- депонировал токены Synthetix на платформу xToken – получил токены xSNX,
- в результате эксплоита контракта xToken, при возврате займа и выплате токенов SNX на платформу AAVE, у хакера остались токены xSNX, которые он тут же начал продавать через Balancer.
В совокупности у хакера осталось – 5 447,34 ETH, 87 752 SNX, xBNTa на $41k.
Общие потери xToken платформы – $25,38M.
Транзакция взлома:
https://etherscan.io/tx/0x7cc7d935d895980cdd905b2a134597fb91004b5d551d6db0fb265e3d9840da22
https://t.me/Defiscamcheck/1776
Сегодня в 16:43 мск был произведен взлом протокола xToken через флеш-лоан.
Злоумышленник (https://etherscan.io/address/0x07e02088d68229300ae503395c6536f09179dc3e)
- взял займ на 61 833 ETH с dYdx,
- предоставил ETH как обеспечение в ААВЕ,
- взял в долг 197 388 SNX из AAVE,
- депонировал токены Synthetix на платформу xToken – получил токены xSNX,
- в результате эксплоита контракта xToken, при возврате займа и выплате токенов SNX на платформу AAVE, у хакера остались токены xSNX, которые он тут же начал продавать через Balancer.
В совокупности у хакера осталось – 5 447,34 ETH, 87 752 SNX, xBNTa на $41k.
Общие потери xToken платформы – $25,38M.
Транзакция взлома:
https://etherscan.io/tx/0x7cc7d935d895980cdd905b2a134597fb91004b5d551d6db0fb265e3d9840da22
https://t.me/Defiscamcheck/1776
Force DAO-$367 000
https://forklog.com/defi-proekt-force-dao-podvergsya-atake-posle-zapuska/
"DeFi-проект Force DAO подвергся атаке после запуска
В воскресенье, 4 апреля, DeFi-протокол Force DAO сообщил об атаке хакеров через несколько часов после запуска. Токен проекта FORCE обесценился на 90%.
По данным разработчиков, злоумышленники воспользовались уязвимостью в смарт-контракте. Команда оценила ущерб в 183 ETH (~$367 000).
Исследователь The Block Игорь Игамбердиев сообщил, что один из хакеров вернул 15,8 млн FORCE."
https://twitter.com/force_dao/status/1378764435553198087?
https://forklog.com/defi-proekt-force-dao-podvergsya-atake-posle-zapuska/
"DeFi-проект Force DAO подвергся атаке после запуска
В воскресенье, 4 апреля, DeFi-протокол Force DAO сообщил об атаке хакеров через несколько часов после запуска. Токен проекта FORCE обесценился на 90%.
По данным разработчиков, злоумышленники воспользовались уязвимостью в смарт-контракте. Команда оценила ущерб в 183 ETH (~$367 000).
Исследователь The Block Игорь Игамбердиев сообщил, что один из хакеров вернул 15,8 млн FORCE."
https://twitter.com/force_dao/status/1378764435553198087?
EasyFi DeFi protocol - 6M $
"Разработчики EasyFi подробный отчет о том, как произошел взлом, стоивший платформе децентрализованных финансов (DeFi) 6 млн долларов
Основатель DeFi-протокола EasyFi, Анкитт Гаур, 20 апреля опубликовал пост в блоге, в котором рассказал о том, как хакерам удалось добраться до пулов ликвидности и вывести из них $6 млн."
https://beincrypto.ru/u-defi-protokola-easyfi-ukrali-6-mln-vot-kak-eto-vyshlo/
https://twitter.com/AnkittGaur/status/1384253351492087819
перевод
В понедельник, 19 апреля 2021 года, члены нашей команды сообщили о переводе большой суммы средств из определенных контрактов и кошельков. предварительное расследование выявило возможность компрометации мнемонической фразы.
Кроме того, мы получили подтверждение первоначальных отчетов о целевой атаке на кошелек основателя для доступа к ключам администратора и выполнения хорошо спланированного взлома. Ниже приводится краткое обновление для нашего сообщества, пока мы работаем с различными партнерами перед выпуском.
Подробный отчет о расследовании инцидента и дальнейших действиях.
https://medium.com/easify-network/easyfi-security-incident-pre-post-mortem-33f2942016e9
"Разработчики EasyFi подробный отчет о том, как произошел взлом, стоивший платформе децентрализованных финансов (DeFi) 6 млн долларов
Основатель DeFi-протокола EasyFi, Анкитт Гаур, 20 апреля опубликовал пост в блоге, в котором рассказал о том, как хакерам удалось добраться до пулов ликвидности и вывести из них $6 млн."
https://beincrypto.ru/u-defi-protokola-easyfi-ukrali-6-mln-vot-kak-eto-vyshlo/
https://twitter.com/AnkittGaur/status/1384253351492087819
перевод
В понедельник, 19 апреля 2021 года, члены нашей команды сообщили о переводе большой суммы средств из определенных контрактов и кошельков. предварительное расследование выявило возможность компрометации мнемонической фразы.
Кроме того, мы получили подтверждение первоначальных отчетов о целевой атаке на кошелек основателя для доступа к ключам администратора и выполнения хорошо спланированного взлома. Ниже приводится краткое обновление для нашего сообщества, пока мы работаем с различными партнерами перед выпуском.
Подробный отчет о расследовании инцидента и дальнейших действиях.
https://medium.com/easify-network/easyfi-security-incident-pre-post-mortem-33f2942016e9
TurtleDex 9000 BNB =2.4M $
https://decrypt.co/62204/binance-smart-chain-hit-by-2-4-million-turtledex-exit-scam
Мошенничество с выходом на Binance Smart Chain
https://decrypt.co/62204/binance-smart-chain-hit-by-2-4-million-turtledex-exit-scam
Мошенничество с выходом на Binance Smart Chain
https://twitter.com/PancakeSwap/status/1371471934999777281
У PancakeSwap взломали DNS
"Теперь это подтверждено. НЕ заходите на сайт Pancakeswap, пока мы не подтвердим, что все хорошо. НИКОГДА не вводите сид фразу или закрытые ключи на веб-сайте. Сейчас мы работаем над восстановлением. Извините за неприятности."
https://twitter.com/PancakeSwap/status/1371470368058183687
Курс просел немного. По-моему это второй взлом панкейка за всю историю его существования.У PancakeSwap взломали DNS
"Теперь это подтверждено. НЕ заходите на сайт Pancakeswap, пока мы не подтвердим, что все хорошо. НИКОГДА не вводите сид фразу или закрытые ключи на веб-сайте. Сейчас мы работаем над восстановлением. Извините за неприятности."
https://twitter.com/PancakeSwap/status/1371470368058183687
Конечно взлом именно сайта и весь упор шел на наивных пользователей, которые введут свою сид фразу, но неприятненько.
Нубский вопрос - если на PancakeSwap сейчас авторизироваться через метамаск, пользователь потеряет всю крипту на кошельке?
Нет, без подтверждений ничего не потерял бы и там пользователь скорее всего не авторизовался бы, потому что требовали сид фразу.
Нубский вопрос - если на PancakeSwap сейчас авторизироваться через метамаск, пользователь потеряет всю крипту на кошельке?
Это шутка такая?...
Как приватный ключ может помочь исправить ошибки авторизации? кошелёк работает ончейн, а сайт офчейн... С сайтом взаимодействует браузер и метамаск, как расширение браузера. Эти операции происходят за пределами блокчейна и на события в блокчейне ни как повлиять не могут.
Метамаск по вэб-3 взаимодействует с кошельком, а сайт по вэб-3 взаимодействует со смарт-контрактами. Ни метамаск, ни тем более сайт приватный ключ ни куда не отправляет.
Кошелёк взаимодействует со смарт-контрактом, и эти операции уже проходят внутри блокчейна.
Мне кажется мошенники работают проще, например
https://bitcointalksearch.org/topic/scam-1inch-fake-site-5318824
просят ввести сид фразу через браузер
А самый безопасный вариант работать через метамаск с аппаратного кошелька.
Jump to: