Topic: DeFi - "Атаки" и Безопасность - page 23. (Read 10011 times)
Очередной взлом ДеФи, в этот раз пострадал Акрополис https://twitter.com/akropolisio/status/1326962438365966356 злоумышленники увели два миллиона DAI как обычно с использованием флешлоана. Что интересно - у них был пройдет аудит, не спасло.
https://decrypt.co/47732/defi-hacks-costing-10-million-a-month-report
Hackers Draining $10 Million a Month from DeFi: Report
Robert Stevens(С)
10 ноября 2020г
перевод
Хакеры выводят 10 миллионов долларов в месяц из DeFi: Отчет
Децентрализованные финансы привлекательны для хакеров, потому что они не регулируется и анонимны, - заявляет компания CipherTrace, занимающаяся расследованием событий в блокчейне.
Вкратце
По данным CipherTrace, в этом году взломы DeFi обошлись криптоплатформам и пользователям в 100 миллионов долларов.
В первой половине 2020 года кражи DeFi составили 40% всех краж и взломов криптовалют.
CipherTrace предположила, что протоколы DeFi особенно уязвимы для мошенничества и отмывания денег.
Компания CipherTrace, занимающаяся расследованием событий в блокчейне, сегодня опубликовала отчет, в котором показано, что 40% всех взломов криптовалют в первой половине 2020 года были нацелены на протоколы децентрализованного финансирования (DeFi) и криптовалютные биржи.
CipherTrace обнаружила 51,5 миллиона долларов в крипто-кражах, связанных с DeFi, с января по июнь. С июля по настоящее время эта цифра составляет 47,7 миллиона долларов—14% от общей суммы в III-IV кварталах.
Взломы и кражи в DeFi составляют 10 миллионов долларов в месяц.
DeFi относится к некастодиальным финансовым продуктам, таким как протоколы децентрализованного кредитования и биржи. Они стали популярными этим летом после того, как начали предлагать прибыльные бонусы инвесторам, которые в последующие месяцы вложили в эти протоколы криптовалюту на сумму более 14 миллиардов долларов. Некоторые из этих продуктов являются новыми, экспериментальными и не регулируемыми. Это делает их уязвимыми для хакеров.
В своем отчете CipherTrace сообщает: «Протоколы DeFi не имеют запретов согласно дизайна, что означает, что они часто не имеют четкого соответствия нормативным требованиям, и каждый в любой стране может получить к ним доступ практически без KYC. В результате ДеФи легко может стать убежищем для отмывателей денег ».
Один протокол, протокол децентрализованного маржинального кредитования bZx, был взломан три раза в этом году. Два взлома обошлись компании в 1 миллион долларов в феврале, а в сентябре хакер украл 8,1 миллиона долларов.
В апреле хакеры украли 25 миллионов долларов из протокола dForce (хотя часть денег вернули, когда средства попали в черный список). Harvest Finance протокол DeFi, в прошлом месяце потерял 34 миллиона долларов (хакер также вернул небольшую сумму денег).
CipherTrace сообщает, что доля средств, потерянных в результате взломов и краж DeFi, снизилась во второй половине года из-за атаки на криптовалюту KuCoin, в результате которой было украдено криптовалюты на сумму почти 281 миллион долларов. Большая часть этой криптовалюты в конечном итоге была занесена в черный список или заблокирована, но хакер продолжает продавать похищенные средства.
CipherTrace заявила, что, если индустрия DeFi не найдет способ сохранить свои смарт контракты в надлежащем состоянии, «вполне вероятно, что DeFi будет и дальше страдать от последствий, связанных с уязвимостями, мошенничеством и отмыванием денег».
Hackers Draining $10 Million a Month from DeFi: Report
Robert Stevens(С)
10 ноября 2020г
перевод
Хакеры выводят 10 миллионов долларов в месяц из DeFi: Отчет
Децентрализованные финансы привлекательны для хакеров, потому что они не регулируется и анонимны, - заявляет компания CipherTrace, занимающаяся расследованием событий в блокчейне.
Вкратце
По данным CipherTrace, в этом году взломы DeFi обошлись криптоплатформам и пользователям в 100 миллионов долларов.
В первой половине 2020 года кражи DeFi составили 40% всех краж и взломов криптовалют.
CipherTrace предположила, что протоколы DeFi особенно уязвимы для мошенничества и отмывания денег.
Компания CipherTrace, занимающаяся расследованием событий в блокчейне, сегодня опубликовала отчет, в котором показано, что 40% всех взломов криптовалют в первой половине 2020 года были нацелены на протоколы децентрализованного финансирования (DeFi) и криптовалютные биржи.
CipherTrace обнаружила 51,5 миллиона долларов в крипто-кражах, связанных с DeFi, с января по июнь. С июля по настоящее время эта цифра составляет 47,7 миллиона долларов—14% от общей суммы в III-IV кварталах.
Взломы и кражи в DeFi составляют 10 миллионов долларов в месяц.
DeFi относится к некастодиальным финансовым продуктам, таким как протоколы децентрализованного кредитования и биржи. Они стали популярными этим летом после того, как начали предлагать прибыльные бонусы инвесторам, которые в последующие месяцы вложили в эти протоколы криптовалюту на сумму более 14 миллиардов долларов. Некоторые из этих продуктов являются новыми, экспериментальными и не регулируемыми. Это делает их уязвимыми для хакеров.
В своем отчете CipherTrace сообщает: «Протоколы DeFi не имеют запретов согласно дизайна, что означает, что они часто не имеют четкого соответствия нормативным требованиям, и каждый в любой стране может получить к ним доступ практически без KYC. В результате ДеФи легко может стать убежищем для отмывателей денег ».
Один протокол, протокол децентрализованного маржинального кредитования bZx, был взломан три раза в этом году. Два взлома обошлись компании в 1 миллион долларов в феврале, а в сентябре хакер украл 8,1 миллиона долларов.
В апреле хакеры украли 25 миллионов долларов из протокола dForce (хотя часть денег вернули, когда средства попали в черный список). Harvest Finance протокол DeFi, в прошлом месяце потерял 34 миллиона долларов (хакер также вернул небольшую сумму денег).
CipherTrace сообщает, что доля средств, потерянных в результате взломов и краж DeFi, снизилась во второй половине года из-за атаки на криптовалюту KuCoin, в результате которой было украдено криптовалюты на сумму почти 281 миллион долларов. Большая часть этой криптовалюты в конечном итоге была занесена в черный список или заблокирована, но хакер продолжает продавать похищенные средства.
CipherTrace заявила, что, если индустрия DeFi не найдет способ сохранить свои смарт контракты в надлежащем состоянии, «вполне вероятно, что DeFi будет и дальше страдать от последствий, связанных с уязвимостями, мошенничеством и отмыванием денег».
Кстати украли "всего" 20лямов ликвидности, а всего там было под миллиард, если не путаю. Главное что бы не началась игра в "музыкальные стулья" где последние оплатят этот эксплойт
Кстати, как сообщает тот же Forklog сразу после взлома дневные объемы Uniswap и Curve прям резко подскочили:
Видимо туда пошли ликвидность "отмывать".
Вот и перевод статьи от инкриптед о том как все было: https://incrypted.net/harvest-finance-rekt-review/
Кстати украли "всего" 20лямов ликвидности, а всего там было под миллиард, если не путаю. Главное что бы не началась игра в "музыкальные стулья" где последние оплатят этот эксплойт
Это уже не первый взлом на моей памяти где горе хакер уводит серьезную сумму, но палится на мелочах и в итоге возвращает средства в обмен на свободу.
Это всего-лишь говорит о том каков на самом деле уровень безопасности таких проектов, системные хакеры или хак-группировки которые занимаются этими вещами давно и на постоянной основе - как правило не допускают таких промахов, а значит в роли хакеров выступают некие почти новички, и раз новичкам удаются взломы - следовательно вывод об уровне проектов напрашивается весьма неутешительный.
https://forklog.com/token-wleo-obvalilsya-do-nulya-posle-ego-emissii-hakerami/
Небольшой хак .
11 октября злоумышленники атаковали контракт Wrapped LEO (WLEO) и вывели криптоактивы на $42 000 из пула децентрализованной биржи Uniswap.
Небольшой хак .
11 октября злоумышленники атаковали контракт Wrapped LEO (WLEO) и вывели криптоактивы на $42 000 из пула децентрализованной биржи Uniswap.
Пользователи «потеряли» главу проекта yEarn.Finance после угроз в его адрес
29 сентября основатель DeFi-протокола yEarn Finance Андре Кронье сообщил об угрозах в его адрес после взлома незавершенного проекта Eminence и больше не выходил на связь. Некоторые пользователи решили его приободрить, создав тред со словами благодарности и поддержки.
В тот день Кронье предупредил, что для будущих проектов впредь откажется использовать открытый публике ETH-адрес и Twitter-аккаунт. К этому его побудили выпады с критикой в его адрес после инцидента с Eminence.
29 сентября основатель DeFi-протокола yEarn Finance Андре Кронье сообщил об угрозах в его адрес после взлома незавершенного проекта Eminence и больше не выходил на связь. Некоторые пользователи решили его приободрить, создав тред со словами благодарности и поддержки.
В тот день Кронье предупредил, что для будущих проектов впредь откажется использовать открытый публике ETH-адрес и Twitter-аккаунт. К этому его побудили выпады с критикой в его адрес после инцидента с Eminence.
https://decrypt.co/43203/hackers-drain-15-million-from-unreleased-yearn-finance-project
"Хакеры забирают 15 миллионов долларов из незапущенного финансового проекта
Уязвимость смарт-контракта позволила хакерам чеканить неограниченное количество токенов и продавать их за миллионы долларов, прежде чем вернуть половину средств основателю проекта Андре Кронье."
Сейчас очень часто хакеры начали взламывать смарт контракты, все эти взломы часто происходит, именно на период рассвет эпохи криптовалют. "Хакеры забирают 15 миллионов долларов из незапущенного финансового проекта
Уязвимость смарт-контракта позволила хакерам чеканить неограниченное количество токенов и продавать их за миллионы долларов, прежде чем вернуть половину средств основателю проекта Андре Кронье."
Уязвимость Ethereum стоимостью 10 миллионов долларов исправлена Whitehat хакером
https://fullycrypto.com/10-million-ethereum-vulnerability-patched-by-whitehat-hacker
Примечание:
Хакеры, использующие свои навыки для защиты от атак, называются Whitehat «белой шляпой», в то время как хакеры, стремящиеся вывести из строя сети, украсть данные или взломать системы, называются Blackhat «черной шляпой».
https://safebreach.com/White-Hat-Hackers
Ratimov спасибо, добавил примечание.
https://decrypt.co/43203/hackers-drain-15-million-from-unreleased-yearn-finance-project
"Хакеры забирают 15 миллионов долларов из незапущенного финансового проекта
Уязвимость смарт-контракта позволила хакерам чеканить неограниченное количество токенов и продавать их за миллионы долларов, прежде чем вернуть половину средств основателю проекта Андре Кронье."
Сейчас очень часто хакеры начали взламывать смарт контракты, все эти взломы часто происходит, именно на период рассвет эпохи криптовалют. "Хакеры забирают 15 миллионов долларов из незапущенного финансового проекта
Уязвимость смарт-контракта позволила хакерам чеканить неограниченное количество токенов и продавать их за миллионы долларов, прежде чем вернуть половину средств основателю проекта Андре Кронье."
а как вы относитесь к тому, что централизированные биржи листят у себя defi токены ? у них вроде все гораздо более секьюрно и системно происходит ?
Биржи просто стараются подхватить тренд. Если виден хайп и токен делает норм обороты, почему бы его не залистить? То что цексы более секрьюрные это конечно факт
https://decrypt.co/43203/hackers-drain-15-million-from-unreleased-yearn-finance-project
"Хакеры забирают 15 миллионов долларов из незапущенного финансового проекта
Уязвимость смарт-контракта позволила хакерам чеканить неограниченное количество токенов и продавать их за миллионы долларов, прежде чем вернуть половину средств основателю проекта Андре Кронье."
"Хакеры забирают 15 миллионов долларов из незапущенного финансового проекта
Уязвимость смарт-контракта позволила хакерам чеканить неограниченное количество токенов и продавать их за миллионы долларов, прежде чем вернуть половину средств основателю проекта Андре Кронье."
а как вы относитесь к тому, что централизированные биржи листят у себя defi токены ? у них вроде все гораздо более секьюрно и системно происходит ?
В ходе очередной атаки DeFi-протокол bZx потерял более $8 млн
https://whattonews.ru/v-hode-ocherednoj-ataki-defi-protokol-bzx-poterjal-bolee-8-mln/
"DeFi-протокол кредитования bZx был снова атакован и потерял более $8 млн из-за ошибки в коде смарт-контракта. Об этом сообщает The Block."
Описание инцидента
https://bzx.network/blog/incident
Вроде уже пишут, что вернули все утерянные средства:https://whattonews.ru/v-hode-ocherednoj-ataki-defi-protokol-bzx-poterjal-bolee-8-mln/
"DeFi-протокол кредитования bZx был снова атакован и потерял более $8 млн из-за ошибки в коде смарт-контракта. Об этом сообщает The Block."
Описание инцидента
https://bzx.network/blog/incident
https://twitter.com/bZxHQ/status/1305496675474006017
Детали обещают позже.
Горе хакер оказывается имел связку своего кошелька с биржевым.
Его нашли.
Но как? как биржа слила данные без заявлений? Хакер вернул средства и его личность не выдают и не пишут заявлений.
Клуб джентльменов
В ходе очередной атаки DeFi-протокол bZx потерял более $8 млн
https://whattonews.ru/v-hode-ocherednoj-ataki-defi-protokol-bzx-poterjal-bolee-8-mln/
"DeFi-протокол кредитования bZx был снова атакован и потерял более $8 млн из-за ошибки в коде смарт-контракта. Об этом сообщает The Block."
Описание инцидента
https://bzx.network/blog/incident
Вроде уже пишут, что вернули все утерянные средства:https://whattonews.ru/v-hode-ocherednoj-ataki-defi-protokol-bzx-poterjal-bolee-8-mln/
"DeFi-протокол кредитования bZx был снова атакован и потерял более $8 млн из-за ошибки в коде смарт-контракта. Об этом сообщает The Block."
Описание инцидента
https://bzx.network/blog/incident
https://twitter.com/bZxHQ/status/1305496675474006017
Детали обещают позже.
Горе хакер оказывается имел связку своего кошелька с биржевым.
Его нашли.
Но как? как биржа слила данные без заявлений? Хакер вернул средства и его личность не выдают и не пишут заявлений.
Клуб джентльменов
Это конечно настолько плохо, что уже даже забавно, "жадные мудаки 2" история от человека нашедшего этот баг и предупредившего команду: https://twitter.com/MarcThalen/status/1305354469354303488
В ходе очередной атаки DeFi-протокол bZx потерял более $8 млн
https://whattonews.ru/v-hode-ocherednoj-ataki-defi-protokol-bzx-poterjal-bolee-8-mln/
"DeFi-протокол кредитования bZx был снова атакован и потерял более $8 млн из-за ошибки в коде смарт-контракта. Об этом сообщает The Block."
Описание инцидента
https://bzx.network/blog/incident
Вроде уже пишут, что вернули все утерянные средства:https://whattonews.ru/v-hode-ocherednoj-ataki-defi-protokol-bzx-poterjal-bolee-8-mln/
"DeFi-протокол кредитования bZx был снова атакован и потерял более $8 млн из-за ошибки в коде смарт-контракта. Об этом сообщает The Block."
Описание инцидента
https://bzx.network/blog/incident
https://twitter.com/bZxHQ/status/1305496675474006017
Детали обещают позже.
В ходе очередной атаки DeFi-протокол bZx потерял более $8 млн
https://whattonews.ru/v-hode-ocherednoj-ataki-defi-protokol-bzx-poterjal-bolee-8-mln/
"DeFi-протокол кредитования bZx был снова атакован и потерял более $8 млн из-за ошибки в коде смарт-контракта. Об этом сообщает The Block."
Описание инцидента
https://bzx.network/blog/incident
https://whattonews.ru/v-hode-ocherednoj-ataki-defi-protokol-bzx-poterjal-bolee-8-mln/
"DeFi-протокол кредитования bZx был снова атакован и потерял более $8 млн из-за ошибки в коде смарт-контракта. Об этом сообщает The Block."
Описание инцидента
https://bzx.network/blog/incident
ДеФи протоколам нужна сертификация. Слишком много проеков не проши аудиты. Хотя в некоторых ситуация атаки это не баг а скорее фича.
А почему USDC до сих пор не были заблокированы? Не так давно был шум по этому поводу. Не мало юзеров испугалось этого хотя даже средства после взлома не блочатся.
Не смотрел куда ушли, но свапнуть токен на эфир - несколько минут.Юридический момент: Компания выпустившая стейблкоины не обязана по каждому крику банить адреса, нужно уголовное дело и ряд процедур. Но будет поздно..
Это ДеФи, код превыше всех законов. Накосячил, сам виноват!
Jump to: