https://www.binance.com/en/feed/post/2023-08-27-gearbox-protocol-clarifies-hack-attack-only-related-to-balancer-pool-1038841
"Gearbox Protocol опубликовал заявление в ответ на новости об атаке флэш-кредитов на их платформу, уточнив, что хакерская атака была связана исключительно с пулом Balancer. Gearbox подтвердила, что их контракт и кредитный счет в безопасности и не понес никаких потерь.
Как сообщалось ранее, Beosin обнаружил атаку с использованием флэш кредита на протокол Gearbox в Ethereum, в результате которой был нанесен ущерб примерно в 400 000 долларов США."
Topic: DeFi - "Атаки" и Безопасность - page 5. (Read 10023 times)
Ущерб от взлома Balancer оценили в $900 000. Согласно ончейн-данным, после атаки на адрес злоумышленника поступило две транзакции на $636 812 и $257 527 в стейблкоинах DAI.
Команда проекта сообщила об ошибке во второй версии протокола еще 22 августа и призвала пользователей вывести средства из пулов ликвидности. В зоне риска оказались активы, развернутые на Ethereum, Polygon, Arbitrum, Optimism, Avalanche, Gnosis, Fantom и zkEVM. На момент написания общий объем заблокированных средств в Balancer v2 составляет $586 млн, согласно DeFi Llama.
Разработчики еще раз предупредили, что знают об эксплойте. По их словам, «процедуры смягчения» снижают риски, но пользователи должны самостоятельно выйти из пулов для большей безопасности.
Команда проекта сообщила об ошибке во второй версии протокола еще 22 августа и призвала пользователей вывести средства из пулов ликвидности. В зоне риска оказались активы, развернутые на Ethereum, Polygon, Arbitrum, Optimism, Avalanche, Gnosis, Fantom и zkEVM. На момент написания общий объем заблокированных средств в Balancer v2 составляет $586 млн, согласно DeFi Llama.
Разработчики еще раз предупредили, что знают об эксплойте. По их словам, «процедуры смягчения» снижают риски, но пользователи должны самостоятельно выйти из пулов для большей безопасности.
Блин даже в ленте уже кроме взломов никаких новостей нет, но все равно находятся какие-то камикадзе и вкладывают туда деньги.
Докину и свои 5 копеек, сделаю копировку из форклога из телеги, тем более что она прекрасна и прям всю суть показывает с одного хода
ForkLog собрал наиболее важные новости из мира децентрализованных финансов (DeFi) за прошедшие несколько недель в традиционном дайджесте.
✔️ DeFi-проект Exactly Protocol подвергся взлому на $12 млн.
✔️ DeFi-протокол Zunami в ходе эксплойта потерял $2,1 млн.
✔️ Base-платформа RocketSwap потеряла $870 000 из-за утечки ключей.
https://forklog.com/?p=214429
Как говорится новости недели во всей красе
Докину и свои 5 копеек, сделаю копировку из форклога из телеги, тем более что она прекрасна и прям всю суть показывает с одного хода
ForkLog собрал наиболее важные новости из мира децентрализованных финансов (DeFi) за прошедшие несколько недель в традиционном дайджесте.
✔️ DeFi-проект Exactly Protocol подвергся взлому на $12 млн.
✔️ DeFi-протокол Zunami в ходе эксплойта потерял $2,1 млн.
✔️ Base-платформа RocketSwap потеряла $870 000 из-за утечки ключей.
https://forklog.com/?p=214429
Как говорится новости недели во всей красе
https://www.msn.com/en-us/money/markets/magnate-finance-executes-64-million-exit-scam-on-base-network-details/ar-AA1fLTXK
Magnate Finance осуществил экзит скам на сумму 6,4 миллиона долларов в Base Network
Мagnate Finance, кредитный проект, работающий на базе сети Ethereum Layer 2, совершил экзит скам, похитив примерно 6,4 миллиона долларов. Событие, описанное охранной фирмой PeckShield как «rug pull», вызвало шок в криптовалютном сообществе.
https://twitter.com/peckshield/status/1694947367030800601
Magnate Finance осуществил экзит скам на сумму 6,4 миллиона долларов в Base Network
Мagnate Finance, кредитный проект, работающий на базе сети Ethereum Layer 2, совершил экзит скам, похитив примерно 6,4 миллиона долларов. Событие, описанное охранной фирмой PeckShield как «rug pull», вызвало шок в криптовалютном сообществе.
https://twitter.com/peckshield/status/1694947367030800601
" В X проекта Balancer сообщили что получили уведомление о критической уязвимости в некоторых пулах v2.
Командой были выполнены экстренные процедуры по снижению рисков, чтобы защитить большую часть TVL, но некоторые средства пользователей остаются под угрозой.
Рекомендуется немедленно вывести затронутые LP. "
Источник: https://twitter.com/Balancer/status/1694014645378724280
Командой были выполнены экстренные процедуры по снижению рисков, чтобы защитить большую часть TVL, но некоторые средства пользователей остаются под угрозой.
Рекомендуется немедленно вывести затронутые LP. "
Источник: https://twitter.com/Balancer/status/1694014645378724280
Дефи протокол RocketSwap в сети Base взломали на 471 эфира (870k баксов на данный момент). Пишут, что команде проекта пришлось использовать офлайн-подписи при развертывании лаунчпада и размещении приватных ключей на сервере. Хакер якобы взломал сервер с помощью обычного брутфорса, а из-за прокси-контракта, использовавшегося для фарм-контракта, было получено множество разрешений с высокой степенью риска, что привело к передаче фарм-активов.
Этого и следовало ожидать, Base - блокчейн с большим количеством багов, достаточно сырой. Вспомнить только одну историю, что мост работал только в одну сторону, что просто абсурд, учитывая вектор развития криптовалют в целом.
https://www.theblock.co/post/246196/exactly-protocol-exploited-7-million-optimism-layer-2-network
Exact Protocol потерял более 7 миллионов долларов в экосистеме Optimism
"Эксплойт, обнаруженный аналитическими компаениями BlockSec и Beosin, привел к убыткам в размере более 4300 ЕТН (7,3 миллиона долларов).
Злоумышленник воспользовался уязвимостью в смарт-контрактах Exactly Protocol, что привело к значительным потерям. Подробности эксплойта пока не разглашаются."
Exact Protocol потерял более 7 миллионов долларов в экосистеме Optimism
"Эксплойт, обнаруженный аналитическими компаениями BlockSec и Beosin, привел к убыткам в размере более 4300 ЕТН (7,3 миллиона долларов).
Злоумышленник воспользовался уязвимостью в смарт-контрактах Exactly Protocol, что привело к значительным потерям. Подробности эксплойта пока не разглашаются."
А форклог уже пишет о более 7160 ETH (~$12 млн на момент написания). Компания блокчейн-безопасности PeckShield сообщила, что атака еще продолжается.
Взломщик вывел средства тремя транзакциями по 910 ETH, 226 731 USDC и еще 2,64 млн USDC. Эксперты предположили, что в будущем могут обнаружить дополнительные украденные активы.
Хакер уже перевел 1500 ETH (~$2,5 млн) через мост с помощью Across Protocol.
https://www.theblock.co/post/246196/exactly-protocol-exploited-7-million-optimism-layer-2-network
Exact Protocol потерял более 7 миллионов долларов в экосистеме Optimism
"Эксплойт, обнаруженный аналитическими компаниями BlockSec и Beosin, привел к убыткам в размере более 4300 ЕТН (7,3 миллиона долларов).
Злоумышленник воспользовался уязвимостью в смарт-контрактах Exactly Protocol, что привело к значительным потерям. Подробности эксплойта пока не разглашаются."
Exact Protocol потерял более 7 миллионов долларов в экосистеме Optimism
"Эксплойт, обнаруженный аналитическими компаниями BlockSec и Beosin, привел к убыткам в размере более 4300 ЕТН (7,3 миллиона долларов).
Злоумышленник воспользовался уязвимостью в смарт-контрактах Exactly Protocol, что привело к значительным потерям. Подробности эксплойта пока не разглашаются."
Дефи протокол RocketSwap в сети Base взломали на 471 эфира (870k баксов на данный момент). Пишут, что команде проекта пришлось использовать офлайн-подписи при развертывании лаунчпада и размещении приватных ключей на сервере. Хакер якобы взломал сервер с помощью обычного брутфорса, а из-за прокси-контракта, использовавшегося для фарм-контракта, было получено множество разрешений с высокой степенью риска, что привело к передаче фарм-активов.
DeFi-протокол Zunami в ходе эксплойта потерял $2,1 млн. Аналитики PeckShield отметили, что атака произошла благодаря манипулированию ценами, из-за чего произошел неправильный расчет курсов активов. По данным экспертов, хакер уже направил украденные средства в миксер Tornado Cash.
Представители проекта добавили, что атака произошла на протокол стейблкоинов zStables. Команда Zunami рекомендовала на время воздержаться от покупки zETH и UZD. Основатель компании по безопасности SlowMist Сянь Юй рассказал в X (ранее Twitter), что его фирма обнаружила уязвимость еще два месяца назад и проинформировала об этом протокол.
«К сожалению, это общение стало неприятным опытом… Оглядываясь назад, кажется, что можно было бы избежать [взлома]», — заявил он.
Представители проекта добавили, что атака произошла на протокол стейблкоинов zStables. Команда Zunami рекомендовала на время воздержаться от покупки zETH и UZD. Основатель компании по безопасности SlowMist Сянь Юй рассказал в X (ранее Twitter), что его фирма обнаружила уязвимость еще два месяца назад и проинформировала об этом протокол.
«К сожалению, это общение стало неприятным опытом… Оглядываясь назад, кажется, что можно было бы избежать [взлома]», — заявил он.
Рубрика не дня без взлома пополняется каждый день и ведь все равно продолжают люди упорно искать счастья в дефи-проектах, как будто вокруг альтернатив нет.
Хотелось бы выложить фрагмент из телеграм канала imhoneer (сам он на форуме к сожалению практически перестал писать) потому что мысли здравые и в общем сам склонюсь к таким же выводам, но к сожалению сформулировать также хорошо не могу
"Главная проблема DeFi не в процентах. А в том, что достаточно вложить всего 5%-10% в ненадежный проект, привлекающий высокой доходностью, чтобы потерять вообще всё, что можно заработать вкладывая остальные 90-95% в надежные проекты. При том что надёжные проекты тоже имеют риски.
Аудиты не спасают, потому что там работают либо не особо квалифицированные программисты, либо нет времени полностью погрузиться в логику работы проекта.
Сейчас идет резкая потеря доверия в DeFi, потому что последние хаки показывают, что разрабатывают протоколы и даже повсеместно используемые компиляторы со всяких Python на Solidity не вполне компетентные программисты. И открытый исходный код становится не преимуществом, а главной причиной опасности.
Всегда можно держаться только надежных проектов, где APR 5%-10% в среднем. И надеяться, что снова не будет хакнут, тот же Curve и не будет цепной реакции. Но если здесь говорим о росте DeFi в целом, то может ли такой подход вызвать рост? Особенно когда большинство продолжает прыгать между проектами однодневками и потом потеряв деньги начинают распространять недоверие к DeFi в целом.
Поэтому лучшим подходом, на мой взгляд, является хранение своих средств только на своём кошельке и не гнаться за дополнительными 5%-15% годовых рискуя всем".
https://t.me/imho_idea
Хотелось бы выложить фрагмент из телеграм канала imhoneer (сам он на форуме к сожалению практически перестал писать) потому что мысли здравые и в общем сам склонюсь к таким же выводам, но к сожалению сформулировать также хорошо не могу
"Главная проблема DeFi не в процентах. А в том, что достаточно вложить всего 5%-10% в ненадежный проект, привлекающий высокой доходностью, чтобы потерять вообще всё, что можно заработать вкладывая остальные 90-95% в надежные проекты. При том что надёжные проекты тоже имеют риски.
Аудиты не спасают, потому что там работают либо не особо квалифицированные программисты, либо нет времени полностью погрузиться в логику работы проекта.
Сейчас идет резкая потеря доверия в DeFi, потому что последние хаки показывают, что разрабатывают протоколы и даже повсеместно используемые компиляторы со всяких Python на Solidity не вполне компетентные программисты. И открытый исходный код становится не преимуществом, а главной причиной опасности.
Всегда можно держаться только надежных проектов, где APR 5%-10% в среднем. И надеяться, что снова не будет хакнут, тот же Curve и не будет цепной реакции. Но если здесь говорим о росте DeFi в целом, то может ли такой подход вызвать рост? Особенно когда большинство продолжает прыгать между проектами однодневками и потом потеряв деньги начинают распространять недоверие к DeFi в целом.
Поэтому лучшим подходом, на мой взгляд, является хранение своих средств только на своём кошельке и не гнаться за дополнительными 5%-15% годовых рискуя всем".
https://t.me/imho_idea
https://www.theblock.co/post/243464/curve-exploit-identity-bounty
"Злоумышленник, который атаковал пул alETH-ETH Alchemix на Curve, вернул все 22 миллиона долларов. Возвращено более 12 000 ETH. Кроме того, вмешательство «белых шляп» успешно предотвратило ограбление сумму 13 миллионов долларов.
Лицо, ответственное за взлом пула pETH-ETH компании JPEGd, вернуло 90% украденных активов на сумму 5 495 ETH (11,5 млн долларов США).
Кроме того, средства, незаконно присвоенные из пула sETH-ETH Metronome и основного пула CRV-ETH Curve Finance, в общей сложности около 7 миллионов долларов, были возвращены оператором бота MEV под именем c0ffeebabe.eth. PeckShield указала, что украденные средства в размере 19,7 млн долларов еще не возвращены."
"Злоумышленник, который атаковал пул alETH-ETH Alchemix на Curve, вернул все 22 миллиона долларов. Возвращено более 12 000 ETH. Кроме того, вмешательство «белых шляп» успешно предотвратило ограбление сумму 13 миллионов долларов.
Лицо, ответственное за взлом пула pETH-ETH компании JPEGd, вернуло 90% украденных активов на сумму 5 495 ETH (11,5 млн долларов США).
Кроме того, средства, незаконно присвоенные из пула sETH-ETH Metronome и основного пула CRV-ETH Curve Finance, в общей сложности около 7 миллионов долларов, были возвращены оператором бота MEV под именем c0ffeebabe.eth. PeckShield указала, что украденные средства в размере 19,7 млн долларов еще не возвращены."
Хакер взломал децентрализованную биржу Cypher на базе Solana и вывел около $1 млн в криптовалютах.
Команда проекта заморозила смарт-контракты протокола и начала расследование. Разработчики также предложили хакеру выйти на связь для обсуждения возможности возврата средств.
Источник: https://forklog.com/news/dex-cypher-poteryala-1-mln-v-rezultate-vzloma
Команда проекта заморозила смарт-контракты протокола и начала расследование. Разработчики также предложили хакеру выйти на связь для обсуждения возможности возврата средств.
Источник: https://forklog.com/news/dex-cypher-poteryala-1-mln-v-rezultate-vzloma
" Хакеру Curve предложили сделку
Платформы Curve, Metronome и Alchemix, предложили хакеру награду в размере 10% от украденных средств, с просьбой вернуть остальное.
Соответственно, если злоумышленник примет предложение, то ему гарантируют отсутствие дальнейшего юридического преследования.
На сегодняшний день известно, что было украдено около $70 млн. "
Источники: https://t.me/evans_crypto/6422, https://twitter.com/curvefinance/status/1687180381714358272?s=46&t=BKJm2kORj-jQHlRZoxyxQw.
Платформы Curve, Metronome и Alchemix, предложили хакеру награду в размере 10% от украденных средств, с просьбой вернуть остальное.
Соответственно, если злоумышленник примет предложение, то ему гарантируют отсутствие дальнейшего юридического преследования.
На сегодняшний день известно, что было украдено около $70 млн. "
Источники: https://t.me/evans_crypto/6422, https://twitter.com/curvefinance/status/1687180381714358272?s=46&t=BKJm2kORj-jQHlRZoxyxQw.
" Curve пулы alETH / msETH / pETH, использовавшие Vyper 0.2.15, были взломаны в результате недолжного функционирования reentrancy lock (ошибки повторной траты).
Не только 0.2.15, другие версии компилятора Vyper (0.2.16 и 0.3.0) так же были подвержены данной уязвимости, а если быть точнее, то контракты curve были уязвимы при вызове функции raw_call. Кстати, примечательно, что Джастин Сан решил помочь главе curve finance в этой ситуации и выкупил у него 5 млн crv за 2 млн usdt, т.е. по 40 центов за токен. Помимо этого, Сан анонсировал партнерство tron и curve, которое предполагает интеграцию пула ликвидности для stusdt.
" Curve пулы alETH / msETH / pETH, использовавшие Vyper 0.2.15, были взломаны в результате недолжного функционирования reentrancy lock (ошибки повторной траты).
Совокупный ущерб превысил $24M:
https://twitter.com/shoucccc/status/1685688647637725184
$11M - JpegD, $13M - Alchemix - крупнейшие жертвы. "
Источник: https://t.me/Defiscamcheck/3103
" Curve пул CRV/ETH обчистили на $21M (7680ETH, 7,2M CRV)
https://etherscan.io/tx/0x2e7dc8b2fb7e25fd00ed9565dcc0ad4546363171d5e00f196d48103983ae477c
Фаундер Curve подтвердил факт хака и уточнил, что они не успели первыми обезопасить пул. "
Источник: https://t.me/Defiscamcheck/3104
Совокупный ущерб превысил $24M:
https://twitter.com/shoucccc/status/1685688647637725184
$11M - JpegD, $13M - Alchemix - крупнейшие жертвы. "
Источник: https://t.me/Defiscamcheck/3103
" Curve пул CRV/ETH обчистили на $21M (7680ETH, 7,2M CRV)
https://etherscan.io/tx/0x2e7dc8b2fb7e25fd00ed9565dcc0ad4546363171d5e00f196d48103983ae477c
Фаундер Curve подтвердил факт хака и уточнил, что они не успели первыми обезопасить пул. "
Источник: https://t.me/Defiscamcheck/3104
Не уверена, что это подходит под тему топика, но первый раз такое вижу, как никак децентрализованные финансы 
.
Сегодня появился один "интересный" токен - $PNDX. С виду обычный щиток, ничего в нем особенного, но... Через контракт этого токена можно совершенно спокойно украсть токены(только PNDX) с чужого кошелька и продать их, никаких препятствий абсолютно. В последние несколько часов газ в эфире сильно вырос, так что если задаетесь вопросом почему - то вот ответ, сейчас в наглую люди играются, воруя друг у друга токены(и у обычных работяг тоже) пытаясь их быстро продать, игра свеч прям
. Сегодня появился один "интересный" токен - $PNDX. С виду обычный щиток, ничего в нем особенного, но... Через контракт этого токена можно совершенно спокойно украсть токены(только PNDX) с чужого кошелька и продать их, никаких препятствий абсолютно. В последние несколько часов газ в эфире сильно вырос, так что если задаетесь вопросом почему - то вот ответ, сейчас в наглую люди играются, воруя друг у друга токены(и у обычных работяг тоже) пытаясь их быстро продать, игра свеч прям
" Сезон взломов на ZKsync объявляется открытым
Первый пострадавший - Era Lend.
Транзакция взлома на $1.7M USDC:
https://explorer.zksync.io/tx/0x99efebacb3edaa3ac34f7ef462fd8eed85b46be281bd1329abfb215a494ab0ef
Вероятная - причина в используемом коллатериале LP токенах протокола synсswap, где ошибка двойного reentrance - возможность сжигания токена перед вызовом функции update_reserves, что привело к неправильному трактованию стоимости резервов и манипуляции с ценой LP токенов по ораклу.
Ущерб оценивается в $2.7M USDC.
https://twitter.com/spreekaway/status/1683817944470396928 "
Источник: https://t.me/Defiscamcheck/3101
Первый пострадавший - Era Lend.
Транзакция взлома на $1.7M USDC:
https://explorer.zksync.io/tx/0x99efebacb3edaa3ac34f7ef462fd8eed85b46be281bd1329abfb215a494ab0ef
Вероятная - причина в используемом коллатериале LP токенах протокола synсswap, где ошибка двойного reentrance - возможность сжигания токена перед вызовом функции update_reserves, что привело к неправильному трактованию стоимости резервов и манипуляции с ценой LP токенов по ораклу.
Ущерб оценивается в $2.7M USDC.
https://twitter.com/spreekaway/status/1683817944470396928 "
Источник: https://t.me/Defiscamcheck/3101
https://cointelegraph.com/news/eth-curve-omnipool-platform-conic-finance-hacked-for-3-2-million-in-eth
Gлатформа Curve Conic Finance взломана на 3,2 миллиона долларов в монетах ETH
Согласно первоначальному анализу Peckshield, основной причиной взлома Conic Finance был новый смарт контракт CurveLPORacleV2.
В настоящее время команда изучает эксплойт и будем делиться новостями по мере их появления
https://twitter.com/ConicFinance/status/1682346727578255360?s=20
Gлатформа Curve Conic Finance взломана на 3,2 миллиона долларов в монетах ETH
Согласно первоначальному анализу Peckshield, основной причиной взлома Conic Finance был новый смарт контракт CurveLPORacleV2.
В настоящее время команда изучает эксплойт и будем делиться новостями по мере их появления
https://twitter.com/ConicFinance/status/1682346727578255360?s=20
https://cointelegraph.com/news/multichain-was-a-big-blow-says-andre-cronje-as-fantom-tvl-slumps
TVL Fantom упал с более чем 364 миллионов долларов в начале мая до примерно 70 миллионов долларов на 14 июля. На пике в 2022 ТVL Fantom превысил 7,5 миллиардов долларов.
"Соучредитель сети Fantom Андре Кронье сказал, что недавний крах Multichain стал «большим ударом» по платформе смарт-контрактов, активность которой за последние несколько недель резко снизилась.
Волновой эффект проблем Multichain также затронул кредитный протокол Geist Finance, который был вынужден навсегда закрыться из-за убытков от эксплойта."
TVL Fantom упал с более чем 364 миллионов долларов в начале мая до примерно 70 миллионов долларов на 14 июля. На пике в 2022 ТVL Fantom превысил 7,5 миллиардов долларов.
"Соучредитель сети Fantom Андре Кронье сказал, что недавний крах Multichain стал «большим ударом» по платформе смарт-контрактов, активность которой за последние несколько недель резко снизилась.
Волновой эффект проблем Multichain также затронул кредитный протокол Geist Finance, который был вынужден навсегда закрыться из-за убытков от эксплойта."
Jump to: