Pages:
Author

Topic: DeFi - "Атаки" и Безопасность - page 22. (Read 10909 times)

sr. member
Activity: 1134
Merit: 276
~snip~

Всегда поражаюсь ловкости взломщиков.

" 2. Хацкер использовал для атаки flashloan*:
- Выпустил свой токен Fake Coin
- Создал торговую пару Fake Coin - Burger
- Прожил маршрут обмена  $BURGER -> Fake Coin -> $WBNB и таким образом расшатал цену
- Развернул в обратную сторону, нарастив бесплатные $WBNB

3. Фаундер Uniswap'а пояснил (https://twitter.com/haydenzadams/status/1398132414199873537) из-за чего весь сыр-бор.
Когда чуваки форкали юнисвап, они убрали одну строчку кода. Важную строчку.
Как итог - атака стала возможна. "


Источник: https://t.me/notothemoon/1110


Поражает ловкость рук, наверное потому что нас это вообще не затронуло.
Прямо как в голливудском фильме при похищении картины.
Быстрые займы использование и слабости оракулов и дальше будут награждать тех кто умеет правильно спланировать и кодить хорошими наградами.

Для нас же будут все более новые и невероятные истории- и если раньше казалось что асы работают как при взломе MakerDAO то сегодня мысли и розыгрыш хакеров стал намного более запутанней.


legendary
Activity: 1974
Merit: 4715
https://forklog.com/zloumyshlennik-pohitil-6-2-mln-iz-defi-protokola-belt-finance/

Злоумышленник похитил $6,2 млн из DeFi-протокола Belt Finance

«Новый уикенд — новая атака на DeFi-протокол на базе BSC. Сегодня из Belt Finance украдено $6,2 млн в BUSD при помощи восьми транзакций», — написал исследователь The Block Игорь Игамбердиев.
https://twitter.com/FrankResearcher/status/1398772580602060804?
По его наблюдениям, злоумышленник занял $385 млн в BUSD на платформе PancakeSwap. После этого он депонировал $10 млн в стратегию bEllipsisBUSD.
legendary
Activity: 2464
Merit: 2377
~snip~

Всегда поражаюсь ловкости взломщиков.

" 2. Хацкер использовал для атаки flashloan*:
- Выпустил свой токен Fake Coin
- Создал торговую пару Fake Coin - Burger
- Прожил маршрут обмена  $BURGER -> Fake Coin -> $WBNB и таким образом расшатал цену
- Развернул в обратную сторону, нарастив бесплатные $WBNB

3. Фаундер Uniswap'а пояснил (https://twitter.com/haydenzadams/status/1398132414199873537) из-за чего весь сыр-бор.
Когда чуваки форкали юнисвап, они убрали одну строчку кода. Важную строчку.
Как итог - атака стала возможна. "


Источник: https://t.me/notothemoon/1110
legendary
Activity: 1974
Merit: 4715
https://forklog.com/defi-proekt-burgerswap-poteryal-7-2-mln-iz-za-ataki/

DeFi-проект BurgerSwap потерял $7,2 млн из-за атаки

"Два DeFi-протокола на базе Binance Smart Chain — BurgerSwap и Julswap — подверглись атакам с использованием мгновенных займов.

Команда BurgerSwap сообщила, что в ходе 14 транзакций злоумышленник вывел $7,2 млн. Часть пришлась на токены BURGER и xBURGER, также украдены средства в WBNB, BUSD и Ethereum. Представители проекта пообещали покрыть потери."
hero member
Activity: 882
Merit: 628
Wild Credit - эксплоит с хорошим концом.

Пул BNT - ETH протокола Wild Credit был опустошен в результате экономического эксплоита.

$637K были выведены из пула, однако при помощи специалистов из аналитических сервисов vfat.tools и Nansen.ai средства были возвращены в протокол.

https://twitter.com/WildCredit/status/1397848487593603072

Вероятно, ребята из Vfat и Nansen смогли быстро установить взаимосвязи кошелька эксплуататора уязвимости и связаться с ним на предмет возврата средств.

Все средства были возвращены в протокол:
https://etherscan.io/tx/0xb4fffa0e824034a10af2807f1504ac247ae1dd6f2bcfed8085989bbfda434542

https://t.me/Defiscamcheck/1852
legendary
Activity: 1974
Merit: 4715
Аналитики нашли серьезные баги у DeFi-проекта SafeMoon
https://whattonews.ru/analitiki-nashli-sereznye-bagi-u-defi-proekta-safemoon/

"Cпециалисты компании HashEx в ходе аудита выявили 12 уязвимостей в смарт-контрактах DeFi-проекта SafeMoon. Обнаруженные баги позволяют вывести активы на $20 млн и блокировать транзакции, отметили аналитики.

Аналитики нашли серьезные баги у DeFi-проекта SafeMoon
Поделитесь, пожалуйста, этим материалом 🙂 Спасибо!
     
SafeMoon работает на базе Binance Smart Chain. За каждый перевод средств проект взимает комиссию 10%, половина которой затем распределяется между держателями монет. Одна из главных идей SafeMoon — мотивировать пользователей удерживать актив и снизить его волатильность.

Проект собирается выпустить квадриллион токенов. Сейчас, по данным CoinGecko, в обращении находится свыше 583 триллионов монет. С момента запуска SafeMoon в марте его капитализация превысила $2 млрд, а число инвесторов — 2 млн."
legendary
Activity: 1974
Merit: 4715
В этой статье хороший разбор, я не знаю манипуляция это или нет, Но это ДеФи. Возможно все.

В протоколе Venus на базе Binance Smart Chain произошли ликвидации на $200 млн
https://forklog.com/v-protokole-venus-na-baze-binance-smart-chain-proizoshli-likvidatsii-na-200/

legendary
Activity: 2464
Merit: 2377
~snip~

Кроме этого взлома состоялся еще один, на этот раз взломали протокол Venus, также работающий на Binance Smart Chain:

" Venus Protocol и неправильная оценка цены.
Венус - лендинг протокол в BSC, через который можно занимать и сдавать в долг монеты.
19 мая, раскачав цену токена XVS, хацкеры увели 4100 BTC и 9600 ETH, оставив протокол с долгом на 100 миллионов баксов. "


Источник: https://t.me/notothemoon/1092
legendary
Activity: 1974
Merit: 4715
https://prometheus.ru/pancake-bunny-vzloman/

Pancake Bunny взломан
Децентрализованный финансовый протокол Pancake Bunny на Binance Smart Chain подвергся эксплойту, в результате которого хакеру удалось вывести более $200 млн.

https://twitter.com/PancakeBunnyFin/status/1395173093333680136?

Параллельно Токен BUNNY обвалился на 95%.

Изначально ходили слухи, что хакер скрылся с токенами на сумму в $1 млрд, однако механика эксплойта была перепутана с фактическими доходами от атаки.
legendary
Activity: 1974
Merit: 4715
Rari Capital сообщает об эксплойте в пуле ETH;
https://www.coindesk.com/rari-capital-reports-exploit-in-eth-pool
По данным Etherscan, было изъято ETH на 15 миллионов долларов.
https://etherscan.io/address/0xcb36b1ee0af68dce5578a487ff2da81282512233

https://nipunp.medium.com/5-8-21-rari-capital-exploit-timeline-analysis-8beda31cbc1a
Адрес Rari Exploiter (тот же адрес, что и у ValueSC эксплойта ): https://etherscan.io/address/0xcb36b1ee0af68dce5578a487ff2da81282512233
Чистая прибыль эксплойта: ~ 2600 ETH (~ 10 млн долларов).

Планы Rari Capital по возврату украденных 10,6 млн долларов в Ethereum из фонда разработки.
https://www.coindesk.com/rari-capital-loses-ethereum-to-theft

https://bitcointalksearch.org/topic/defi-hacks-history-5267124
hero member
Activity: 882
Merit: 628
Взлом протокола xToken на $25,38M

Сегодня в 16:43 мск был произведен взлом протокола xToken через флеш-лоан.
Злоумышленник (https://etherscan.io/address/0x07e02088d68229300ae503395c6536f09179dc3e)

- взял займ на 61 833 ETH с dYdx,
- предоставил ETH как обеспечение в ААВЕ,
- взял в долг 197 388 SNX из AAVE,
- депонировал токены Synthetix на платформу xToken – получил токены xSNX,
- в результате эксплоита контракта xToken, при возврате займа и выплате токенов SNX на платформу AAVE, у хакера остались токены xSNX, которые он тут же начал продавать через Balancer.

В совокупности у хакера осталось – 5 447,34 ETH, 87 752 SNX, xBNTa на $41k.
Общие потери xToken платформы – $25,38M.

Транзакция взлома:
https://etherscan.io/tx/0x7cc7d935d895980cdd905b2a134597fb91004b5d551d6db0fb265e3d9840da22
https://t.me/Defiscamcheck/1776
legendary
Activity: 1974
Merit: 4715
Force DAO-$367 000
https://forklog.com/defi-proekt-force-dao-podvergsya-atake-posle-zapuska/
"DeFi-проект Force DAO подвергся атаке после запуска
В воскресенье, 4 апреля, DeFi-протокол Force DAO сообщил об атаке хакеров через несколько часов после запуска. Токен проекта FORCE обесценился на 90%.
По данным разработчиков, злоумышленники воспользовались уязвимостью в смарт-контракте. Команда оценила ущерб в 183 ETH (~$367 000).
Исследователь The Block Игорь Игамбердиев сообщил, что один из хакеров вернул 15,8 млн FORCE."
https://twitter.com/force_dao/status/1378764435553198087?

legendary
Activity: 1974
Merit: 4715
EasyFi DeFi protocol - 6M $

"Разработчики EasyFi подробный отчет о том, как произошел взлом, стоивший платформе децентрализованных финансов (DeFi) 6 млн долларов

Основатель DeFi-протокола EasyFi, Анкитт Гаур, 20 апреля опубликовал пост в блоге, в котором рассказал о том, как хакерам удалось добраться до пулов ликвидности и вывести из них $6 млн."
https://beincrypto.ru/u-defi-protokola-easyfi-ukrali-6-mln-vot-kak-eto-vyshlo/

https://twitter.com/AnkittGaur/status/1384253351492087819
перевод

В понедельник, 19 апреля 2021 года, члены нашей команды сообщили о переводе большой суммы средств из определенных контрактов и кошельков. предварительное расследование выявило возможность компрометации мнемонической фразы.

Кроме того, мы получили подтверждение первоначальных отчетов о целевой атаке на кошелек основателя для доступа к ключам администратора и выполнения хорошо спланированного взлома. Ниже приводится краткое обновление для нашего сообщества, пока мы работаем с различными партнерами перед выпуском.

Подробный отчет о расследовании инцидента и дальнейших действиях.
https://medium.com/easify-network/easyfi-security-incident-pre-post-mortem-33f2942016e9
legendary
Activity: 1974
Merit: 4715
TurtleDex 9000 BNB =2.4M $

https://decrypt.co/62204/binance-smart-chain-hit-by-2-4-million-turtledex-exit-scam
Мошенничество с выходом на Binance Smart Chain
full member
Activity: 238
Merit: 113
https://twitter.com/PancakeSwap/status/1371471934999777281

У PancakeSwap взломали DNS
"Теперь это подтверждено. НЕ заходите на сайт Pancakeswap, пока мы не подтвердим, что все хорошо. НИКОГДА не вводите сид фразу или закрытые ключи на веб-сайте. Сейчас мы работаем над восстановлением. Извините за неприятности."

https://twitter.com/PancakeSwap/status/1371470368058183687
Курс просел немного. По-моему это второй взлом панкейка за всю историю его существования.
Конечно взлом именно сайта и весь упор шел на наивных пользователей, которые введут свою сид фразу, но неприятненько.



Нубский вопрос - если на PancakeSwap сейчас авторизироваться через метамаск, пользователь потеряет всю крипту на кошельке?
Нет, без подтверждений ничего не потерял бы и там пользователь скорее всего не авторизовался бы, потому что требовали сид фразу.

legendary
Activity: 1974
Merit: 4715

Нубский вопрос - если на PancakeSwap сейчас авторизироваться через метамаск, пользователь потеряет всю крипту на кошельке?
Нет. Поэтому они пишут об ошибке авторизации и просят заново ввести сид фразу или приватный ключ.


Это шутка такая?...

Как приватный ключ может помочь исправить ошибки авторизации? кошелёк работает ончейн, а сайт офчейн... С сайтом взаимодействует браузер и метамаск, как расширение браузера. Эти операции происходят за пределами блокчейна и на события в блокчейне ни как повлиять не могут.

Метамаск по вэб-3 взаимодействует с кошельком, а сайт по вэб-3 взаимодействует со смарт-контрактами. Ни метамаск, ни тем более сайт приватный ключ ни куда не отправляет.

Кошелёк взаимодействует со смарт-контрактом, и эти операции уже проходят внутри блокчейна.

Мне кажется мошенники работают проще, например
https://bitcointalksearch.org/topic/scam-1inch-fake-site-5318824
просят ввести сид фразу через браузер

А самый безопасный вариант работать через метамаск  с аппаратного кошелька.
legendary
Activity: 2275
Merit: 1180
AI Atelier

Нубский вопрос - если на PancakeSwap сейчас авторизироваться через метамаск, пользователь потеряет всю крипту на кошельке?
Нет. Поэтому они пишут об ошибке авторизации и просят заново ввести сид фразу или приватный ключ.


Это шутка такая?...

Как приватный ключ может помочь исправить ошибки авторизации? кошелёк работает ончейн, а сайт офчейн... С сайтом взаимодействует браузер и метамаск, как расширение браузера. Эти операции происходят за пределами блокчейна и на события в блокчейне ни как повлиять не могут.

Метамаск по вэб-3 взаимодействует с кошельком, а сайт по вэб-3 взаимодействует со смарт-контрактами. Ни метамаск, ни тем более сайт приватный ключ ни куда не отправляет.

Кошелёк взаимодействует со смарт-контрактом, и эти операции уже проходят внутри блокчейна.

legendary
Activity: 1974
Merit: 4715

Нубский вопрос - если на PancakeSwap сейчас авторизироваться через метамаск, пользователь потеряет всю крипту на кошельке?
Нет. Поэтому они пишут об ошибке авторизации и просят заново ввести сид фразу или приватный ключ.
legendary
Activity: 2275
Merit: 1180
AI Atelier

Это какой-то прикол наверно, ломать PancakeSwap в последний день масленицы? Совпадение? Не думаю. У русских хакеров кончились деньги на икру, вот они и перевернули блинницу.

Нубский вопрос - если на PancakeSwap сейчас авторизироваться через метамаск, пользователь потеряет всю крипту на кошельке?

Сайт не может взаимодействовать с кошельком напрямую, он может предложить пользователю одобрить подключение к контракту и одобрить списание токенов. Для того, что бы завладеть активами пользователя, в сети, кроме перехвата управления над сайтом, ещё должен быть развёрнут свой смарт-контракт, который списывает активы со счёта пользователя после одобрения такой операции.
legendary
Activity: 2632
Merit: 1450

Это какой-то прикол наверно, ломать PancakeSwap в последний день масленицы? Совпадение? Не думаю. У русских хакеров кончились деньги на икру, вот они и перевернули блинницу.

Нубский вопрос - если на PancakeSwap сейчас авторизироваться через метамаск, пользователь потеряет всю крипту на кошельке?

оччень сомневаюсь, речь в твитах идет о появившихся запросах к пользователям на ввод сидов\ключей - вот тады ой (
гдет в цепочке взаимодействий идет подмена и внедрили код с такими запросами
да и не написано, что ломанули контракт и все типа вывели (хотя и хз, как будет развиваться дальше)

коннект кошеля лишь дает право на просмотр балансов
Pages:
Jump to: