Topic: DeFi - "Атаки" и Безопасность - page 25. (Read 11055 times)

Есть такое дело, Curve отчитались о рекордных оборотах https://twitter.com/curvefinance/status/1320639104523116545?s=21, а там где рекордные обороты там и сборы неплохие, так что одни фермеры заработали засчет "факапа" других.
Вот и перевод статьи от инкриптед о том как все было: https://incrypted.net/harvest-finance-rekt-review/

Кстати украли "всего" 20лямов ликвидности, а всего там было под миллиард, если не путаю. Главное что бы не началась игра в "музыкальные стулья" где последние оплатят этот эксплойт

Это всего-лишь говорит о том каков на самом деле уровень безопасности таких проектов, системные хакеры или хак-группировки которые занимаются этими вещами давно и на постоянной  основе - как правило не допускают таких промахов, а значит в роли хакеров выступают некие почти новички, и раз новичкам удаются взломы - следовательно вывод об уровне проектов напрашивается весьма неутешительный.

https://forklog.com/token-wleo-obvalilsya-do-nulya-posle-ego-emissii-hakerami/
Небольшой хак .
11 октября злоумышленники атаковали контракт Wrapped LEO (WLEO) и вывели криптоактивы на $42 000 из пула децентрализованной биржи Uniswap.

Пользователи «потеряли» главу проекта yEarn.Finance после угроз в его адрес

29 сентября основатель DeFi-протокола yEarn Finance Андре Кронье сообщил об угрозах в его адрес после взлома незавершенного проекта Eminence и больше не выходил на связь. Некоторые пользователи решили его приободрить, создав тред со словами благодарности и поддержки.

В тот день Кронье предупредил, что для будущих проектов впредь откажется использовать открытый публике ETH-адрес и Twitter-аккаунт. К этому его побудили выпады с критикой в его адрес после инцидента с Eminence.

не всегда, многие наоборот предотвращают взломы
Уязвимость Ethereum стоимостью 10 миллионов долларов исправлена Whitehat ​​хакером
https://fullycrypto.com/10-million-ethereum-vulnerability-patched-by-whitehat-hacker

Примечание:
Хакеры, использующие свои навыки для защиты от атак, называются Whitehat «белой шляпой», в то время как хакеры, стремящиеся вывести из строя сети, украсть данные или взломать системы, называются  Blackhat «черной шляпой».
https://safebreach.com/White-Hat-Hackers

Ratimov спасибо, добавил примечание.

Сейчас очень часто хакеры начали взламывать смарт контракты, все эти взломы часто происходит, именно на период рассвет эпохи криптовалют.

Биржи просто стараются подхватить тренд. Если виден хайп и токен делает норм обороты, почему бы его не залистить? То что цексы более секрьюрные это конечно факт

https://decrypt.co/43203/hackers-drain-15-million-from-unreleased-yearn-finance-project
"Хакеры забирают 15 миллионов долларов из незапущенного финансового проекта
Уязвимость смарт-контракта позволила хакерам чеканить неограниченное количество токенов и продавать их за миллионы долларов, прежде чем вернуть половину средств основателю проекта Андре Кронье."

а как вы относитесь к тому, что централизированные биржи листят у себя defi токены ? у них вроде все гораздо более секьюрно и системно происходит ?

Это уже не первый взлом на моей памяти где горе хакер уводит серьезную сумму, но палится на мелочах и в итоге возвращает средства в обмен на свободу.

Детали фантастические, такого негде не увидишь.
Горе хакер оказывается имел связку своего кошелька с биржевым.
Его нашли.
Но как? как биржа слила данные без заявлений? Хакер вернул средства и его личность не выдают и не пишут заявлений.
Клуб джентльменов

Это конечно настолько плохо, что уже даже забавно, "жадные мудаки 2" история от человека нашедшего этот баг и предупредившего команду: https://twitter.com/MarcThalen/status/1305354469354303488

Вроде уже пишут, что вернули все утерянные средства:
https://twitter.com/bZxHQ/status/1305496675474006017
Детали обещают позже.

В ходе очередной атаки DeFi-протокол bZx потерял более $8 млн
https://whattonews.ru/v-hode-ocherednoj-ataki-defi-protokol-bzx-poterjal-bolee-8-mln/

"DeFi-протокол кредитования bZx был снова атакован и потерял более $8 млн из-за ошибки в коде смарт-контракта. Об этом сообщает The Block."

Описание инцидента
https://bzx.network/blog/incident

ДеФи протоколам нужна сертификация. Слишком много проеков не проши аудиты. Хотя в некоторых ситуация атаки это не баг а скорее фича.

Не смотрел куда ушли, но свапнуть токен на эфир - несколько минут.
Юридический момент: Компания выпустившая стейблкоины не обязана по каждому крику банить адреса, нужно уголовное дело и ряд процедур. Но будет поздно..
Это ДеФи, код превыше всех законов. Накосячил, сам виноват!

О Bancor были переводы?

https://decrypt.co/32720/a-cryptocurrency-bug-put-545000-of-defi-funds-at-risk
Daniel Phillips (С)


Ошибка в протоколе поставила под угрозу средства DeFi в размере $ 545 000
Команда Bancor и несколько помощников взломали свой собственный протокол, чтобы спасти от кражи 545 000 долларов. Но это мог быть еще один крупный эксплойт DeFi.

Вкратце
Здесь все обошлось, команда с "дружественными" хакерами взломали протокол раньше злоумышленников

https://decrypt.co/37671/blatant-bug-led-to-370000-defi-hack-say-experts

Blatant “bug” led to $370,000 DeFi hack, say experts
Will Heasman (С)
Перевод

Вопиющая "ошибка" привела привела к взлому DeFi на $ 370 000, говорят эксперты

Децентрализованный финансовый протокол Opyn лишился 370 000 USDC в результате атаки с двойным расходованием средств. По мнению экспертов, не столь хитрый эксплойт должен был быть обнаружен раньше.

Вкратце
Ошибка в протоколе Defi Opyn позволила хакерам уйти с 370 000 USDC.
Эксперты говорят, что взлома можно было избежать.
Это уже шестой взлом DeFi только в 2020 году.

Вчера злоумышленники совершили атаку на протокол децентрализованного финансирования (DeFi) Opyn, получив более 370000 долларов США.

Opyn, который работает главным образом с опционами  ETH, подвергся атаке с двойным расходованием средств.

На момент написания этой статьи мы обнаружили 371 260 долларов США, которые были украдены из этих контрактов », - говорится в  отчете Opyn.
https://blog.peckshield.com/2020/08/05/opyn/

Анализ, проведенный исследователями в области безопасности PeckShield, уточняет, что двойные траты произошли из-за использованной ошибки смарт-контракта, что позволяет злоумышленникам открыто грабить все USDC в смарт-контрактах Opyn.

Вице-президент PeckShield Chiachih Wu  и автор исседования сказали Decrypt, что, хотя сам по себе эксплойт не имел разрушительных финансовых последствий,репутационные последствия для Opyn могут быть ужасными.

«Я бы сказал, что это вредит репутации больше», сказал Chiachih Wu. «Так как это не хитрый баг. Разработчики Solidity должны быть в состоянии его предотвратить».

Взлом Opyn
После того, как во вторник во второй половине дня стало известно о проблеме, команда Opyn начала работу, удалила ликвидность из децентрализованного обмена Uniswap, чтобы предотвратить дальнейшие проблемы.

https://twitter.com/opyn_/status/1290692986024505344
"Привет всем, похоже, возникла проблема с некоторыми oTokens контрактами . Мы прилагаем все усилия для понимания этой проблемы, поэтому мы можем помочь пользователям как можно лучше. Тем временем мы удалили ликвидность из Uniswap. Лучше всего не открывать новые хранилища на данный момент."

Команда также обратилась за помощью к white-hat hacker, известному как samczsun, чтобы извлечь в общей сложности 572 165 долларов США из оставшихся смарт-контрактов Opyn в попытке уменьшить дальнейшие потери.

Тем, кто все еще владеет неликвидными токенами платформы, Opyn предложила купить их с наценкой 20% на криптовалютной бирже Deribit.

Несмотря на то, что Opyn предоставляет множество средств правовой защиты, включая программу вознаграждения за ошибки и расширенный аудит, Chiachih Wu из PeckSheild скептически относится к тому, что DeFi больше не будет страдать от того же.

«До того дня, как люди перестанут программировать, люди будут продолжать генерировать ошибки», - сказал он. «С другой стороны, идеальной системы не существует. Я уверен, что в будущем мы увидим больше нулевых дней или новые уловки для атаки на программное обеспечение на основе Ethereum.»

Эксплойт Opyn стал шестым взломом DeFi в этом году, и, поскольку эксперты по безопасности ожидают, что в будущем появятся новые возможности, рассказ о DeFi как о новом финансовом рубеже может быть больше похож на дикий запад.