Очередной взлом с применением флэш-кредитов на крупную сумму (почти 20 000 000 $)
https://etherscan.io/tx/0xe72d4e7ba9b5af0cf2a8cfb1e30fd9f388df0ab3da79790be842bfbed11087b0
В этот раз крупно не повезло Pickle Finance. Обсуждение этого инцидента можно почитать в их ветке твиттера https://twitter.com/picklefinance/status/1330256787002564610.
Как Вы яхту назовёте, так она и поплывёт...
Удивляюсь, как DeFi с таким нелепым названием смогло вообще привлечь хоть какие нибудь средства.
Topic: DeFi - "Атаки" и Безопасность - page 24. (Read 10816 times)
Форварднул из телеграм канала DEFI Scam Check:
Описание взлома Origin Protocol. 7,7 млн $ украдено.
Немного технических подробностей, как был вскрыт протокол OriginProtocol с его OriginalUSD ($OUSD)
1. Флэшлоан - 70k ETH от биржи dYdX
2. Обмен 17.5к Эфира на 7.86 млн USDT на Uniswap
3. Обмен 52.5к Эфира на 20.99 млн DAI на Uniswap
4. Вызов функции rebase для атаки контракта
5. Производство 7,5 млн OUSD из 7,5 млн USDT (Здесь все еще идет по плану).
6. Вызов мультифункции производства токенов OUSD (MintMultiple):
6.1 Производство 20,5 млн OUSD из 20,5 млн DAI
6.2 Производство 2k OUSD с 2k USDT (здесь идет атаки re-entrancy (повторного расходования) с учетом того, что 2k USDT – поддельные токены
7. Обмен 300к OUSD на 158.5 к USDT на Uniswap. Здесь идет занижение цены OUSD по отношению к USDT на 40%.
8. Обмен 1 млн OUSD на 520.7 к USDT на Sushiswap. Также занижение цены.
!Здесь начинается магия!
За счет манипулирования ценой OUSD – злоумышленник может выкупить взятые в займ OUSD на 40% дешевле, оставив по сути у себя 40% от суммы в стейблах.
9. Выкуп 33.27 млн. OUSD после перебазирования за 19,5 млн DAI, 3,9 млн USDC и 9,4 млн USDT
10. Обмен 10,4 млн USDT на 22,9 тыс. ETH на Uniswap
11. Обмен 3,9 млн USD C на 8,3 тыс ETH на Uniswap
12. Своп 19 млн ДАИ до 47,9к ETH на Uniswap
!ЗДЕСЬ ВОЗНИКАЕТ ПРИБЫЛЬ!
Т.к. залог его в протоколе был 20,5 млн DAI – он смог получить обратно не 20,5 млн OUSD, а 33,27 млн. Вызывая функцию перебазирования (опрос контракта по уровню цены, вернув его к исходному уровню) он по факту из 33,27 млн OUSD смог вернуть = 10,4+3,9+19 = 33,7 млн USD
13. Выкуп флешлоан (займа) 70К ETH на dYdX
После этой манипуляции злоумышленник произвел:
- 7 сделок, в которых он выкупил свой OUSD
- 2 сделки по обмену 300k OUSD на USDT на Uniswap
- 4 сделки со сбором прибыли (обмен всех USDT и USDC на ETH на Uniswap и вывод DAI и ETH из атакующего контракта)
Наконец, он использовал саморазрушение для уничтожения контракта.
В результате злоумышленник смог получить ~$7,7 млн: - 2,249,821 DAI - 11,804 ETH
Кроме того, злоумышленник внес 333 ETH в Tornado Cash и попытался отмыть деньги с помощью:
1. Uniswap обмен ~4338 ETH на 120 WBTC
2. Обменял на CURVE 120 WBTC к ~120 renBTC
3. REN вывод ~120 BTC на четыре адреса: - bc1qdky68q9uv24ah8mf8uykj8x437u2hlrz6k4vzg - bc1q2atlthkh04hsnk76w08ek5stk28wxgzhh8xvnu - bc1qr0v3zz5wl0wjt79hj7yq57f3tkswj79jmjaynh - bc1q4f645352dsam42ag3uym8rt0qzxwd8qlqe336h
При взломе протокола $OUSD хакер намеренно или просто "устал", но оставил маленький штрих.
Вызов функции collect был осуществлен с того же адреса, что и у взломщика ValueDeFI
https://t.me/Defiscamcheck/392
Описание взлома Origin Protocol. 7,7 млн $ украдено.
Немного технических подробностей, как был вскрыт протокол OriginProtocol с его OriginalUSD ($OUSD)
1. Флэшлоан - 70k ETH от биржи dYdX
2. Обмен 17.5к Эфира на 7.86 млн USDT на Uniswap
3. Обмен 52.5к Эфира на 20.99 млн DAI на Uniswap
4. Вызов функции rebase для атаки контракта
5. Производство 7,5 млн OUSD из 7,5 млн USDT (Здесь все еще идет по плану).
6. Вызов мультифункции производства токенов OUSD (MintMultiple):
6.1 Производство 20,5 млн OUSD из 20,5 млн DAI
6.2 Производство 2k OUSD с 2k USDT (здесь идет атаки re-entrancy (повторного расходования) с учетом того, что 2k USDT – поддельные токены
7. Обмен 300к OUSD на 158.5 к USDT на Uniswap. Здесь идет занижение цены OUSD по отношению к USDT на 40%.
8. Обмен 1 млн OUSD на 520.7 к USDT на Sushiswap. Также занижение цены.
!Здесь начинается магия!
За счет манипулирования ценой OUSD – злоумышленник может выкупить взятые в займ OUSD на 40% дешевле, оставив по сути у себя 40% от суммы в стейблах.
9. Выкуп 33.27 млн. OUSD после перебазирования за 19,5 млн DAI, 3,9 млн USDC и 9,4 млн USDT
10. Обмен 10,4 млн USDT на 22,9 тыс. ETH на Uniswap
11. Обмен 3,9 млн USD C на 8,3 тыс ETH на Uniswap
12. Своп 19 млн ДАИ до 47,9к ETH на Uniswap
!ЗДЕСЬ ВОЗНИКАЕТ ПРИБЫЛЬ!
Т.к. залог его в протоколе был 20,5 млн DAI – он смог получить обратно не 20,5 млн OUSD, а 33,27 млн. Вызывая функцию перебазирования (опрос контракта по уровню цены, вернув его к исходному уровню) он по факту из 33,27 млн OUSD смог вернуть = 10,4+3,9+19 = 33,7 млн USD
13. Выкуп флешлоан (займа) 70К ETH на dYdX
После этой манипуляции злоумышленник произвел:
- 7 сделок, в которых он выкупил свой OUSD
- 2 сделки по обмену 300k OUSD на USDT на Uniswap
- 4 сделки со сбором прибыли (обмен всех USDT и USDC на ETH на Uniswap и вывод DAI и ETH из атакующего контракта)
Наконец, он использовал саморазрушение для уничтожения контракта.
В результате злоумышленник смог получить ~$7,7 млн: - 2,249,821 DAI - 11,804 ETH
Кроме того, злоумышленник внес 333 ETH в Tornado Cash и попытался отмыть деньги с помощью:
1. Uniswap обмен ~4338 ETH на 120 WBTC
2. Обменял на CURVE 120 WBTC к ~120 renBTC
3. REN вывод ~120 BTC на четыре адреса: - bc1qdky68q9uv24ah8mf8uykj8x437u2hlrz6k4vzg - bc1q2atlthkh04hsnk76w08ek5stk28wxgzhh8xvnu - bc1qr0v3zz5wl0wjt79hj7yq57f3tkswj79jmjaynh - bc1q4f645352dsam42ag3uym8rt0qzxwd8qlqe336h
При взломе протокола $OUSD хакер намеренно или просто "устал", но оставил маленький штрих.
Вызов функции collect был осуществлен с того же адреса, что и у взломщика ValueDeFI
https://t.me/Defiscamcheck/392
Новый день, новый взлом: герои дня Cheesebank потерявшие 3,3 млн https://medium.com/@peckshield/cheese-bank-incident-root-cause-analysis-d076bf87a1e7
И в догонку хак ориджн протокола https://medium.com/originprotocol/urgent-ousd-has-hacked-and-there-has-been-a-loss-of-funds-7b8c4a7d534c
Астрологи обявили неделю взломов
Это уже не взломы, а "легальный" заработок хакеров на доверчивых хомяках, несущих деньги в "безопасные" хранилища И в догонку хак ориджн протокола https://medium.com/originprotocol/urgent-ousd-has-hacked-and-there-has-been-a-loss-of-funds-7b8c4a7d534c
Астрологи обявили неделю взломов
Интересно, скоро ли появится в сети гайд по "взлому" DEFI
Новый день, новый взлом: герои дня Cheesebank потерявшие 3,3 млн https://medium.com/@peckshield/cheese-bank-incident-root-cause-analysis-d076bf87a1e7
И в догонку хак ориджн протокола https://medium.com/originprotocol/urgent-ousd-has-hacked-and-there-has-been-a-loss-of-funds-7b8c4a7d534c
Астрологи обявили неделю взломов
И в догонку хак ориджн протокола https://medium.com/originprotocol/urgent-ousd-has-hacked-and-there-has-been-a-loss-of-funds-7b8c4a7d534c
Астрологи обявили неделю взломов
https://beincrypto.ru/hakery-ukrali-6-mln-u-protokola-value-defi
Хакеры украли $6 млн у протокола Value DeFi
Само смешное, что они поначалу даже не заметили этого, админы долгло говорили что это фуд и ничего страшного не произошло, кто-то хочет сбить цену, чтобы закупиться Хакеры украли $6 млн у протокола Value DeFi
По большому счету это эксплоит, использование дыры в контракте, своеобразная ответка на заявление в твиттере, что у них the most secured and advanced piece of technology in the DeFi space. Flash-loan attack prevention. Последняя транза явный троллинг )
https://beincrypto.ru/hakery-ukrali-6-mln-u-protokola-value-defi
Хакеры украли $6 млн у протокола Value DeFi
Хакеры украли $6 млн у протокола Value DeFi
Акрополис пробуют договориться с хакером https://medium.com/@akropolisio/open-letter-to-akropolis-delphi-hacker-91e883667cc предлагают 200тыс (оформленные как выплату за баг баунти) и отсутсвие каких либо претензий и уголовного преследования при условии возврата 2 млн.
Очередной взлом ДеФи, в этот раз пострадал Акрополис https://twitter.com/akropolisio/status/1326962438365966356 злоумышленники увели два миллиона DAI как обычно с использованием флешлоана. Что интересно - у них был пройдет аудит, не спасло.
https://decrypt.co/47732/defi-hacks-costing-10-million-a-month-report
Hackers Draining $10 Million a Month from DeFi: Report
Robert Stevens(С)
10 ноября 2020г
перевод
Хакеры выводят 10 миллионов долларов в месяц из DeFi: Отчет
Децентрализованные финансы привлекательны для хакеров, потому что они не регулируется и анонимны, - заявляет компания CipherTrace, занимающаяся расследованием событий в блокчейне.
Вкратце
По данным CipherTrace, в этом году взломы DeFi обошлись криптоплатформам и пользователям в 100 миллионов долларов.
В первой половине 2020 года кражи DeFi составили 40% всех краж и взломов криптовалют.
CipherTrace предположила, что протоколы DeFi особенно уязвимы для мошенничества и отмывания денег.
Компания CipherTrace, занимающаяся расследованием событий в блокчейне, сегодня опубликовала отчет, в котором показано, что 40% всех взломов криптовалют в первой половине 2020 года были нацелены на протоколы децентрализованного финансирования (DeFi) и криптовалютные биржи.
CipherTrace обнаружила 51,5 миллиона долларов в крипто-кражах, связанных с DeFi, с января по июнь. С июля по настоящее время эта цифра составляет 47,7 миллиона долларов—14% от общей суммы в III-IV кварталах.
Взломы и кражи в DeFi составляют 10 миллионов долларов в месяц.
DeFi относится к некастодиальным финансовым продуктам, таким как протоколы децентрализованного кредитования и биржи. Они стали популярными этим летом после того, как начали предлагать прибыльные бонусы инвесторам, которые в последующие месяцы вложили в эти протоколы криптовалюту на сумму более 14 миллиардов долларов. Некоторые из этих продуктов являются новыми, экспериментальными и не регулируемыми. Это делает их уязвимыми для хакеров.
В своем отчете CipherTrace сообщает: «Протоколы DeFi не имеют запретов согласно дизайна, что означает, что они часто не имеют четкого соответствия нормативным требованиям, и каждый в любой стране может получить к ним доступ практически без KYC. В результате ДеФи легко может стать убежищем для отмывателей денег ».
Один протокол, протокол децентрализованного маржинального кредитования bZx, был взломан три раза в этом году. Два взлома обошлись компании в 1 миллион долларов в феврале, а в сентябре хакер украл 8,1 миллиона долларов.
В апреле хакеры украли 25 миллионов долларов из протокола dForce (хотя часть денег вернули, когда средства попали в черный список). Harvest Finance протокол DeFi, в прошлом месяце потерял 34 миллиона долларов (хакер также вернул небольшую сумму денег).
CipherTrace сообщает, что доля средств, потерянных в результате взломов и краж DeFi, снизилась во второй половине года из-за атаки на криптовалюту KuCoin, в результате которой было украдено криптовалюты на сумму почти 281 миллион долларов. Большая часть этой криптовалюты в конечном итоге была занесена в черный список или заблокирована, но хакер продолжает продавать похищенные средства.
CipherTrace заявила, что, если индустрия DeFi не найдет способ сохранить свои смарт контракты в надлежащем состоянии, «вполне вероятно, что DeFi будет и дальше страдать от последствий, связанных с уязвимостями, мошенничеством и отмыванием денег».
Hackers Draining $10 Million a Month from DeFi: Report
Robert Stevens(С)
10 ноября 2020г
перевод
Хакеры выводят 10 миллионов долларов в месяц из DeFi: Отчет
Децентрализованные финансы привлекательны для хакеров, потому что они не регулируется и анонимны, - заявляет компания CipherTrace, занимающаяся расследованием событий в блокчейне.
Вкратце
По данным CipherTrace, в этом году взломы DeFi обошлись криптоплатформам и пользователям в 100 миллионов долларов.
В первой половине 2020 года кражи DeFi составили 40% всех краж и взломов криптовалют.
CipherTrace предположила, что протоколы DeFi особенно уязвимы для мошенничества и отмывания денег.
Компания CipherTrace, занимающаяся расследованием событий в блокчейне, сегодня опубликовала отчет, в котором показано, что 40% всех взломов криптовалют в первой половине 2020 года были нацелены на протоколы децентрализованного финансирования (DeFi) и криптовалютные биржи.
CipherTrace обнаружила 51,5 миллиона долларов в крипто-кражах, связанных с DeFi, с января по июнь. С июля по настоящее время эта цифра составляет 47,7 миллиона долларов—14% от общей суммы в III-IV кварталах.
Взломы и кражи в DeFi составляют 10 миллионов долларов в месяц.
DeFi относится к некастодиальным финансовым продуктам, таким как протоколы децентрализованного кредитования и биржи. Они стали популярными этим летом после того, как начали предлагать прибыльные бонусы инвесторам, которые в последующие месяцы вложили в эти протоколы криптовалюту на сумму более 14 миллиардов долларов. Некоторые из этих продуктов являются новыми, экспериментальными и не регулируемыми. Это делает их уязвимыми для хакеров.
В своем отчете CipherTrace сообщает: «Протоколы DeFi не имеют запретов согласно дизайна, что означает, что они часто не имеют четкого соответствия нормативным требованиям, и каждый в любой стране может получить к ним доступ практически без KYC. В результате ДеФи легко может стать убежищем для отмывателей денег ».
Один протокол, протокол децентрализованного маржинального кредитования bZx, был взломан три раза в этом году. Два взлома обошлись компании в 1 миллион долларов в феврале, а в сентябре хакер украл 8,1 миллиона долларов.
В апреле хакеры украли 25 миллионов долларов из протокола dForce (хотя часть денег вернули, когда средства попали в черный список). Harvest Finance протокол DeFi, в прошлом месяце потерял 34 миллиона долларов (хакер также вернул небольшую сумму денег).
CipherTrace сообщает, что доля средств, потерянных в результате взломов и краж DeFi, снизилась во второй половине года из-за атаки на криптовалюту KuCoin, в результате которой было украдено криптовалюты на сумму почти 281 миллион долларов. Большая часть этой криптовалюты в конечном итоге была занесена в черный список или заблокирована, но хакер продолжает продавать похищенные средства.
CipherTrace заявила, что, если индустрия DeFi не найдет способ сохранить свои смарт контракты в надлежащем состоянии, «вполне вероятно, что DeFi будет и дальше страдать от последствий, связанных с уязвимостями, мошенничеством и отмыванием денег».
Кстати украли "всего" 20лямов ликвидности, а всего там было под миллиард, если не путаю. Главное что бы не началась игра в "музыкальные стулья" где последние оплатят этот эксплойт
Кстати, как сообщает тот же Forklog сразу после взлома дневные объемы Uniswap и Curve прям резко подскочили:
Видимо туда пошли ликвидность "отмывать".
Вот и перевод статьи от инкриптед о том как все было: https://incrypted.net/harvest-finance-rekt-review/
Кстати украли "всего" 20лямов ликвидности, а всего там было под миллиард, если не путаю. Главное что бы не началась игра в "музыкальные стулья" где последние оплатят этот эксплойт
Это уже не первый взлом на моей памяти где горе хакер уводит серьезную сумму, но палится на мелочах и в итоге возвращает средства в обмен на свободу.
Это всего-лишь говорит о том каков на самом деле уровень безопасности таких проектов, системные хакеры или хак-группировки которые занимаются этими вещами давно и на постоянной основе - как правило не допускают таких промахов, а значит в роли хакеров выступают некие почти новички, и раз новичкам удаются взломы - следовательно вывод об уровне проектов напрашивается весьма неутешительный.
https://forklog.com/token-wleo-obvalilsya-do-nulya-posle-ego-emissii-hakerami/
Небольшой хак .
11 октября злоумышленники атаковали контракт Wrapped LEO (WLEO) и вывели криптоактивы на $42 000 из пула децентрализованной биржи Uniswap.
Небольшой хак .
11 октября злоумышленники атаковали контракт Wrapped LEO (WLEO) и вывели криптоактивы на $42 000 из пула децентрализованной биржи Uniswap.
Пользователи «потеряли» главу проекта yEarn.Finance после угроз в его адрес
29 сентября основатель DeFi-протокола yEarn Finance Андре Кронье сообщил об угрозах в его адрес после взлома незавершенного проекта Eminence и больше не выходил на связь. Некоторые пользователи решили его приободрить, создав тред со словами благодарности и поддержки.
В тот день Кронье предупредил, что для будущих проектов впредь откажется использовать открытый публике ETH-адрес и Twitter-аккаунт. К этому его побудили выпады с критикой в его адрес после инцидента с Eminence.
29 сентября основатель DeFi-протокола yEarn Finance Андре Кронье сообщил об угрозах в его адрес после взлома незавершенного проекта Eminence и больше не выходил на связь. Некоторые пользователи решили его приободрить, создав тред со словами благодарности и поддержки.
В тот день Кронье предупредил, что для будущих проектов впредь откажется использовать открытый публике ETH-адрес и Twitter-аккаунт. К этому его побудили выпады с критикой в его адрес после инцидента с Eminence.
https://decrypt.co/43203/hackers-drain-15-million-from-unreleased-yearn-finance-project
"Хакеры забирают 15 миллионов долларов из незапущенного финансового проекта
Уязвимость смарт-контракта позволила хакерам чеканить неограниченное количество токенов и продавать их за миллионы долларов, прежде чем вернуть половину средств основателю проекта Андре Кронье."
Сейчас очень часто хакеры начали взламывать смарт контракты, все эти взломы часто происходит, именно на период рассвет эпохи криптовалют. "Хакеры забирают 15 миллионов долларов из незапущенного финансового проекта
Уязвимость смарт-контракта позволила хакерам чеканить неограниченное количество токенов и продавать их за миллионы долларов, прежде чем вернуть половину средств основателю проекта Андре Кронье."
Уязвимость Ethereum стоимостью 10 миллионов долларов исправлена Whitehat хакером
https://fullycrypto.com/10-million-ethereum-vulnerability-patched-by-whitehat-hacker
Примечание:
Хакеры, использующие свои навыки для защиты от атак, называются Whitehat «белой шляпой», в то время как хакеры, стремящиеся вывести из строя сети, украсть данные или взломать системы, называются Blackhat «черной шляпой».
https://safebreach.com/White-Hat-Hackers
Ratimov спасибо, добавил примечание.
https://decrypt.co/43203/hackers-drain-15-million-from-unreleased-yearn-finance-project
"Хакеры забирают 15 миллионов долларов из незапущенного финансового проекта
Уязвимость смарт-контракта позволила хакерам чеканить неограниченное количество токенов и продавать их за миллионы долларов, прежде чем вернуть половину средств основателю проекта Андре Кронье."
Сейчас очень часто хакеры начали взламывать смарт контракты, все эти взломы часто происходит, именно на период рассвет эпохи криптовалют. "Хакеры забирают 15 миллионов долларов из незапущенного финансового проекта
Уязвимость смарт-контракта позволила хакерам чеканить неограниченное количество токенов и продавать их за миллионы долларов, прежде чем вернуть половину средств основателю проекта Андре Кронье."
а как вы относитесь к тому, что централизированные биржи листят у себя defi токены ? у них вроде все гораздо более секьюрно и системно происходит ?
Биржи просто стараются подхватить тренд. Если виден хайп и токен делает норм обороты, почему бы его не залистить? То что цексы более секрьюрные это конечно факт
https://decrypt.co/43203/hackers-drain-15-million-from-unreleased-yearn-finance-project
"Хакеры забирают 15 миллионов долларов из незапущенного финансового проекта
Уязвимость смарт-контракта позволила хакерам чеканить неограниченное количество токенов и продавать их за миллионы долларов, прежде чем вернуть половину средств основателю проекта Андре Кронье."
"Хакеры забирают 15 миллионов долларов из незапущенного финансового проекта
Уязвимость смарт-контракта позволила хакерам чеканить неограниченное количество токенов и продавать их за миллионы долларов, прежде чем вернуть половину средств основателю проекта Андре Кронье."
а как вы относитесь к тому, что централизированные биржи листят у себя defi токены ? у них вроде все гораздо более секьюрно и системно происходит ?
В ходе очередной атаки DeFi-протокол bZx потерял более $8 млн
https://whattonews.ru/v-hode-ocherednoj-ataki-defi-protokol-bzx-poterjal-bolee-8-mln/
"DeFi-протокол кредитования bZx был снова атакован и потерял более $8 млн из-за ошибки в коде смарт-контракта. Об этом сообщает The Block."
Описание инцидента
https://bzx.network/blog/incident
Вроде уже пишут, что вернули все утерянные средства:https://whattonews.ru/v-hode-ocherednoj-ataki-defi-protokol-bzx-poterjal-bolee-8-mln/
"DeFi-протокол кредитования bZx был снова атакован и потерял более $8 млн из-за ошибки в коде смарт-контракта. Об этом сообщает The Block."
Описание инцидента
https://bzx.network/blog/incident
https://twitter.com/bZxHQ/status/1305496675474006017
Детали обещают позже.
Горе хакер оказывается имел связку своего кошелька с биржевым.
Его нашли.
Но как? как биржа слила данные без заявлений? Хакер вернул средства и его личность не выдают и не пишут заявлений.
Клуб джентльменов
Jump to: