Pages:
Author

Topic: DeFi - "Атаки" и Безопасность - page 24. (Read 10909 times)

legendary
Activity: 1974
Merit: 4715
Добавил в OP. Я эту новость пропустил.
В 1 посте можно найти ссылки на все хаки ДеФи 2020 года. Надеюсь это последний.
legendary
Activity: 1974
Merit: 4715
Генеральный директор DeFi Insurer Nexus Mutual взломан на 8 миллионов долларов в токенах NXM
https://www.coindesk.com/ceo-of-defi-insurer-nexus-mutual-hacked-for-8m-in-nxm-tokens

"В понедельник компания сообщила, что генеральный директор страховщика децентрализованных финансов (DeFi) Nexus Mutual потерял сумму, эквивалентную 8 миллионам долларов, в результате целевой атаки
https://etherscan.io/tx/0x4ddcc21c6de13b3cf472c8d4cdafd80593e0fc286c67ea144a76dbeddb7f3629

После того, как стало известно об атаке, цена обернутых токенов NXM упала более чем на 14% до 16,66 USDT(tether) на бирже Huobi.

Часть украденных средств была переведена через децентрализованный обменный агрегатор 1inch.exchange. «Мы приветствуем любую помощь, чтобы остановить средства, которые, вероятно, будут быстро перемещаться», - сказал Nexus.

Nexus Mutual - это страховая альтернатива, принадлежащая сообществу, обеспечивающая защиту от различных рисков в экосистеме DeFi.
"
sr. member
Activity: 1470
Merit: 297
only bitcoin only hardcore!
История взлома огурцов https://twitter.com/orbxball/status/1330395576593211392 в переводе и с комментариями https://t.me/Defiscamcheck

Логика взлома Pickle Finance

Дисклеймер:
Аудит контракта, завершившийся 17 ноября, не затрагивал контроллер№4, который был взломан. Т.е. баг возник после аудита и добавления новых функций.

По скриншоту видно, что эксплоит (взлом) короткий:
https://twitter.com/orbxball/status/1330395576593211392

3 основные части:
swapExactJarForJar, earn () и снова `swapExactJarForJar'.

1 ШАГ: "swapExactJarForJar" позволяет текущему алгоритму протокола Pickle Finance заимствовать DAI из протокола Compound  с делевериджем ( т е заложено 20 млн DAI –> взять под их залог 10 млн DAI ).

После делевериджа DAI -> отправлять их в хранилище pDAI Jar.

2 ШАГ: Функция  `earn ()`превращает заимствованные DAI в cDAI, как и ожидалось.

3 ШАГ: Повторный вызов функции swapExactJarForJar хакер отзывал cDAI обратно к контроллеру, а затем поместил их в поддельное хранилище.

В этом эксплойте используется 8 недостатков протокола Pickle Finance. Но есть одна вещь, на которую стоит обратить внимание. Этот эксплойт происходит только тогда, когда эти 8 недостатков происходят одновременно. Таким образом, если бы хоть 1 из 8 уязвимостей была исправлена, либо даже не существовала, этого эксплойта не было бы.

8 уязвимостей:

!!! 1. нет проверки соответствия по адресу, вызывавшему функцию swapExactJarForJar, именно так и было подделано хранилище, куда «складывались» украденные средства

2. _target & _data функции передавались в открытом виде

3. функция withdrawForSwap помещена в неавторизованную функцию

4. функция delegatecall помещена в неавторизованную функцию

5. адреса whitelist имеет функцию арбитража

6. адреса whitelist могут обращаться к неавторизованной функции

7. функция earn находится в публичной части контракта

8. разрешен вывод активов из стратегии (нет таймлока).

Pickle Finance старался сделать интерфейс протокола и порядок с ним взаимодействия более дружелюбным и по совместительству – хакеропригодным.
legendary
Activity: 2275
Merit: 1180
AI Atelier
Очередной взлом с применением флэш-кредитов на крупную сумму (почти 20 000 000 $)
https://etherscan.io/tx/0xe72d4e7ba9b5af0cf2a8cfb1e30fd9f388df0ab3da79790be842bfbed11087b0

В этот раз крупно не повезло Pickle Finance. Обсуждение этого инцидента можно почитать  в их ветке твиттера https://twitter.com/picklefinance/status/1330256787002564610.

Как Вы яхту назовёте, так она и поплывёт...
Удивляюсь, как DeFi с таким нелепым названием смогло вообще привлечь хоть какие нибудь средства.
hero member
Activity: 882
Merit: 515
Форварднул из телеграм канала DEFI Scam Check:

Описание взлома Origin Protocol. 7,7 млн $ украдено.

Немного технических подробностей, как был вскрыт протокол OriginProtocol с его OriginalUSD ($OUSD)

1. Флэшлоан - 70k ETH от биржи dYdX

2. Обмен 17.5к Эфира на 7.86 млн USDT на Uniswap

3. Обмен 52.5к Эфира на 20.99 млн DAI на Uniswap

4. Вызов функции rebase для атаки контракта

5. Производство 7,5 млн OUSD из 7,5 млн USDT (Здесь все еще идет по плану).

6. Вызов мультифункции производства токенов OUSD (MintMultiple):

6.1 Производство 20,5 млн OUSD из 20,5 млн DAI

6.2 Производство 2k OUSD с 2k USDT (здесь идет атаки re-entrancy (повторного расходования) с учетом того, что 2k USDT – поддельные токены

7. Обмен 300к OUSD на 158.5 к USDT на Uniswap. Здесь идет занижение цены OUSD по отношению к USDT на 40%.

8. Обмен 1 млн OUSD на 520.7 к USDT на Sushiswap. Также занижение цены.

!Здесь начинается магия!
За счет манипулирования ценой OUSD – злоумышленник может выкупить взятые в займ OUSD на 40% дешевле, оставив по сути у себя 40% от суммы в стейблах.

9. Выкуп 33.27 млн. OUSD после перебазирования за 19,5 млн DAI, 3,9 млн USDC и 9,4 млн USDT

10. Обмен 10,4 млн USDT на 22,9 тыс. ETH на Uniswap

11. Обмен 3,9 млн USD C на 8,3 тыс ETH на Uniswap

12. Своп 19 млн ДАИ до 47,9к ETH на Uniswap

!ЗДЕСЬ ВОЗНИКАЕТ ПРИБЫЛЬ!
Т.к. залог его в протоколе был 20,5 млн DAI – он смог получить обратно не 20,5 млн OUSD, а 33,27 млн. Вызывая функцию перебазирования (опрос контракта по уровню цены, вернув его к исходному уровню) он по факту из 33,27 млн OUSD смог вернуть = 10,4+3,9+19 = 33,7 млн USD

13. Выкуп флешлоан (займа) 70К ETH на dYdX

После этой манипуляции злоумышленник произвел:
- 7 сделок, в которых он выкупил свой OUSD
- 2 сделки по обмену 300k OUSD на USDT на Uniswap
- 4 сделки со сбором прибыли (обмен всех USDT и USDC на ETH на Uniswap и вывод DAI и ETH из атакующего контракта)

Наконец, он использовал саморазрушение для уничтожения контракта.
В результате злоумышленник смог получить ~$7,7 млн: - 2,249,821 DAI - 11,804 ETH
Кроме того, злоумышленник внес 333 ETH в Tornado Cash и попытался отмыть деньги с помощью:
1. Uniswap обмен ~4338 ETH на 120 WBTC
2. Обменял на CURVE 120 WBTC к ~120 renBTC
3. REN вывод ~120 BTC на четыре адреса: - bc1qdky68q9uv24ah8mf8uykj8x437u2hlrz6k4vzg - bc1q2atlthkh04hsnk76w08ek5stk28wxgzhh8xvnu - bc1qr0v3zz5wl0wjt79hj7yq57f3tkswj79jmjaynh - bc1q4f645352dsam42ag3uym8rt0qzxwd8qlqe336h

При взломе протокола $OUSD хакер намеренно или просто "устал", но оставил маленький штрих.

 Вызов функции collect был осуществлен с того же адреса, что и у взломщика ValueDeFI

https://t.me/Defiscamcheck/392
member
Activity: 142
Merit: 10
Новый день, новый взлом: герои дня Cheesebank потерявшие 3,3 млн https://medium.com/@peckshield/cheese-bank-incident-root-cause-analysis-d076bf87a1e7
И в догонку хак ориджн протокола https://medium.com/originprotocol/urgent-ousd-has-hacked-and-there-has-been-a-loss-of-funds-7b8c4a7d534c

Астрологи обявили неделю взломов  Grin

Это уже не взломы, а "легальный" заработок хакеров на доверчивых хомяках, несущих деньги в "безопасные" хранилища Grin  Интересно, скоро ли появится в сети гайд по "взлому" DEFI Grin
sr. member
Activity: 1470
Merit: 297
only bitcoin only hardcore!
Новый день, новый взлом: герои дня Cheesebank потерявшие 3,3 млн https://medium.com/@peckshield/cheese-bank-incident-root-cause-analysis-d076bf87a1e7
И в догонку хак ориджн протокола https://medium.com/originprotocol/urgent-ousd-has-hacked-and-there-has-been-a-loss-of-funds-7b8c4a7d534c

Астрологи обявили неделю взломов  Grin
hero member
Activity: 882
Merit: 515
https://beincrypto.ru/hakery-ukrali-6-mln-u-protokola-value-defi
Хакеры украли $6 млн у протокола Value DeFi
Само смешное, что они поначалу даже не заметили этого, админы долгло говорили что это фуд и ничего страшного не произошло, кто-то хочет сбить цену, чтобы закупиться  Grin
По большому счету это эксплоит, использование дыры в контракте, своеобразная ответка на заявление в твиттере, что  у них the most secured and advanced piece of technology in the DeFi space. Flash-loan attack prevention. Последняя транза явный троллинг )

legendary
Activity: 1974
Merit: 4715
https://beincrypto.ru/hakery-ukrali-6-mln-u-protokola-value-defi
Хакеры украли $6 млн у протокола Value DeFi
sr. member
Activity: 1470
Merit: 297
only bitcoin only hardcore!
Акрополис пробуют договориться с хакером https://medium.com/@akropolisio/open-letter-to-akropolis-delphi-hacker-91e883667cc предлагают 200тыс (оформленные как выплату за баг баунти)  и отсутсвие каких либо претензий и уголовного преследования при условии возврата 2 млн.
sr. member
Activity: 1470
Merit: 297
only bitcoin only hardcore!
Очередной взлом ДеФи, в этот раз пострадал Акрополис https://twitter.com/akropolisio/status/1326962438365966356 злоумышленники увели два миллиона DAI как обычно с использованием флешлоана. Что интересно - у них был пройдет аудит, не спасло.
legendary
Activity: 1974
Merit: 4715
https://decrypt.co/47732/defi-hacks-costing-10-million-a-month-report
Hackers Draining $10 Million a Month from DeFi: Report
Robert Stevens(С)
10 ноября 2020г
перевод
Хакеры выводят 10 миллионов долларов в месяц из DeFi: Отчет
Децентрализованные финансы привлекательны для хакеров, потому что они не регулируется и анонимны, - заявляет компания CipherTrace, занимающаяся расследованием  событий в блокчейне.



Вкратце
По данным CipherTrace, в этом году взломы DeFi обошлись криптоплатформам и пользователям в 100 миллионов долларов.

В первой половине 2020 года кражи DeFi составили 40% всех краж и взломов криптовалют.

CipherTrace предположила, что протоколы DeFi особенно уязвимы для мошенничества и отмывания денег.


Компания CipherTrace, занимающаяся расследованием событий в блокчейне, сегодня опубликовала отчет, в котором показано, что 40% всех взломов криптовалют в первой половине 2020 года были нацелены на протоколы децентрализованного финансирования (DeFi) и криптовалютные биржи.

CipherTrace обнаружила 51,5 миллиона долларов в крипто-кражах, связанных с DeFi, с января по июнь. С июля по настоящее время эта цифра составляет 47,7 миллиона долларов—14% от общей суммы в III-IV кварталах.


Взломы и кражи в DeFi составляют 10 миллионов долларов в месяц.

DeFi относится к некастодиальным финансовым продуктам, таким как протоколы децентрализованного кредитования и биржи. Они стали популярными этим летом после того, как начали предлагать прибыльные бонусы инвесторам, которые в последующие месяцы вложили в эти протоколы криптовалюту на сумму более 14 миллиардов долларов. Некоторые из этих продуктов являются новыми, экспериментальными и не регулируемыми. Это делает их уязвимыми для хакеров.

В своем отчете CipherTrace сообщает: «Протоколы DeFi  не имеют запретов согласно дизайна, что означает, что они часто не имеют четкого соответствия нормативным требованиям, и каждый в любой стране может получить к ним доступ практически без KYC. В результате ДеФи легко может стать убежищем для отмывателей денег ».

Один протокол, протокол децентрализованного маржинального кредитования bZx, был взломан три раза в этом году. Два взлома обошлись компании в 1 миллион долларов в феврале, а в сентябре хакер украл 8,1 миллиона долларов.

В апреле хакеры украли 25 миллионов долларов из протокола dForce (хотя часть денег вернули, когда средства попали в черный список). Harvest Finance протокол  DeFi, в прошлом месяце потерял 34 миллиона долларов (хакер также вернул небольшую сумму денег).

CipherTrace сообщает, что доля средств, потерянных в результате взломов и краж DeFi, снизилась во второй половине года из-за атаки на криптовалюту KuCoin, в результате которой было украдено криптовалюты на сумму почти 281 миллион долларов. Большая часть этой криптовалюты в конечном итоге была занесена в черный список или заблокирована, но хакер продолжает продавать похищенные средства.

CipherTrace заявила, что, если индустрия DeFi не найдет способ сохранить свои смарт контракты в надлежащем состоянии, «вполне вероятно, что DeFi будет и дальше страдать от последствий, связанных с уязвимостями, мошенничеством и отмыванием денег».
sr. member
Activity: 1470
Merit: 297
only bitcoin only hardcore!
Кстати украли "всего" 20лямов ликвидности, а всего там было под миллиард, если не путаю. Главное что бы не началась игра в "музыкальные стулья" где последние оплатят этот эксплойт

Кстати, как сообщает тот же Forklog сразу после взлома дневные объемы Uniswap и Curve прям резко подскочили:



Видимо туда пошли ликвидность "отмывать".
Есть такое дело, Curve отчитались о рекордных оборотах https://twitter.com/curvefinance/status/1320639104523116545?s=21, а там где рекордные обороты там и сборы неплохие, так что одни фермеры заработали засчет "факапа" других.
Вот и перевод статьи от инкриптед о том как все было: https://incrypted.net/harvest-finance-rekt-review/
sr. member
Activity: 1470
Merit: 297
only bitcoin only hardcore!
Кстати украли "всего" 20лямов ликвидности, а всего там было под миллиард, если не путаю. Главное что бы не началась игра в "музыкальные стулья" где последние оплатят этот эксплойт
full member
Activity: 756
Merit: 103
Это уже не первый взлом на моей памяти где горе хакер уводит серьезную сумму, но палится на мелочах и в итоге возвращает средства в обмен на свободу.
Это всего-лишь говорит о том каков на самом деле уровень безопасности таких проектов, системные хакеры или хак-группировки которые занимаются этими вещами давно и на постоянной  основе - как правило не допускают таких промахов, а значит в роли хакеров выступают некие почти новички, и раз новичкам удаются взломы - следовательно вывод об уровне проектов напрашивается весьма неутешительный.
legendary
Activity: 1974
Merit: 4715
https://forklog.com/token-wleo-obvalilsya-do-nulya-posle-ego-emissii-hakerami/
Небольшой хак .
11 октября злоумышленники атаковали контракт Wrapped LEO (WLEO) и вывели криптоактивы на $42 000 из пула децентрализованной биржи Uniswap.
legendary
Activity: 2702
Merit: 1465
Пользователи «потеряли» главу проекта yEarn.Finance после угроз в его адрес

29 сентября основатель DeFi-протокола yEarn Finance Андре Кронье сообщил об угрозах в его адрес после взлома незавершенного проекта Eminence и больше не выходил на связь. Некоторые пользователи решили его приободрить, создав тред со словами благодарности и поддержки.

В тот день Кронье предупредил, что для будущих проектов впредь откажется использовать открытый публике ETH-адрес и Twitter-аккаунт. К этому его побудили выпады с критикой в его адрес после инцидента с Eminence.
legendary
Activity: 1974
Merit: 4715
https://decrypt.co/43203/hackers-drain-15-million-from-unreleased-yearn-finance-project
"Хакеры забирают 15 миллионов долларов из незапущенного финансового проекта
Уязвимость смарт-контракта позволила хакерам чеканить неограниченное количество токенов и продавать их за миллионы долларов, прежде чем вернуть половину средств основателю проекта Андре Кронье."
Сейчас очень часто хакеры начали взламывать смарт контракты, все эти взломы часто происходит, именно на период рассвет эпохи криптовалют.
не всегда, многие наоборот предотвращают взломы
Уязвимость Ethereum стоимостью 10 миллионов долларов исправлена Whitehat ​​хакером
https://fullycrypto.com/10-million-ethereum-vulnerability-patched-by-whitehat-hacker

Примечание:
Хакеры, использующие свои навыки для защиты от атак, называются Whitehat «белой шляпой», в то время как хакеры, стремящиеся вывести из строя сети, украсть данные или взломать системы, называются  Blackhat «черной шляпой».
https://safebreach.com/White-Hat-Hackers

Ratimov спасибо, добавил примечание.
full member
Activity: 1736
Merit: 138
https://decrypt.co/43203/hackers-drain-15-million-from-unreleased-yearn-finance-project
"Хакеры забирают 15 миллионов долларов из незапущенного финансового проекта
Уязвимость смарт-контракта позволила хакерам чеканить неограниченное количество токенов и продавать их за миллионы долларов, прежде чем вернуть половину средств основателю проекта Андре Кронье."
Сейчас очень часто хакеры начали взламывать смарт контракты, все эти взломы часто происходит, именно на период рассвет эпохи криптовалют.
jr. member
Activity: 154
Merit: 2
а как вы относитесь к тому, что централизированные биржи листят у себя defi токены ? у них вроде все гораздо более секьюрно и системно происходит ?
Биржи просто стараются подхватить тренд. Если виден хайп и токен делает норм обороты, почему бы его не залистить? То что цексы более секрьюрные это конечно факт
Pages:
Jump to: