Pages:
Author

Topic: DeFi - "Атаки" и Безопасность - page 5. (Read 10909 times)

legendary
Activity: 1918
Merit: 1501
MEV-бот заработал $1,5 млн благодаря атаке стоимостью $4

11 октября MEV-бот в сети BNB Chain получил прибыль в размере $1,575 млн за счет атаки с использованием мгновенного займа торговой пары BH/USDT на PancakeSwap, согласно EigenPhi.

По данным экспертов Beosin, токен BH подвергся эксплойту на сумму около $1,27 млн с помощью манипулирования ценой.

Злоумышленник предоставил кредит в USDT, а затем обменял в паре на BH, истощив ликвидность токена. Контракт предусматривает нормальное соотношение 1 USDT : 100 BH при добавлении средств. Благодаря свопу атакующий смог вывести примерно по 1 USDT : 2 BH. Согласно Beosin, неизвестный отправил полученные активы в миксер Tornado Cash.

Источник: https://forklog.com/news/mev-bot-zarabotal-1-5-mln-blagodarya-atake-stoimostyu-4
legendary
Activity: 2310
Merit: 2073
Как сообщает PeckShieldAlert в своем аккаунте X, децентрализованную криптовалютную биржу Platypus Finance, работающую в сети Avalance, взломали более чем на 2 млн.$ - https://twitter.com/PeckShieldAlert/status/1712355483024314626. На данный момент их токен Platypus Finance (PTP) снизился на 33,9% - https://www.coingecko.com/en/coins/platypus-finance.
full member
Activity: 1736
Merit: 138
Ну вот Galxe удивили конечно, после последнего инцидента, готовы восстановить потерянные средства и сверху накинуть 10%  Shocked

Есть ли ваш адрес с таблице можно посмотреть здесь, таблица еще пополняется. Если вы считаете, что пострадали, но адреса вашего кошелька нет в списке, или если вы обнаружили ошибку в расчете суммы вашей потери, свяжитесь с нашей службой поддержки до 16 октября, 18:00 (по мск) по адресу [email protected], предоставляя соответствующую документацию, такую ​​как снимки экрана или адреса транзакций.

Средства будут восстановлены в USDT в сети Polygon. Если вы хотите чтобы вам восстановили средства на другой кошелек, то надо написать им в форму.

Топ-3 адреса у которых угнали средства, легко посчитать сколько получат сверху владельцы. Ретрохантеры начинают шутить что надо было скамануться чтобы заработать больше чем на ретродропах и сейчас надо искать в чем скамануться  Cheesy





Получается скамер неплохой так дроп раздал, 10% норм получается если у тебя баланс был хотя бы 10к долларов.

legendary
Activity: 1596
Merit: 1183
Ну вот Galxe удивили конечно, после последнего инцидента, готовы восстановить потерянные средства и сверху накинуть 10%  Shocked



Есть ли ваш адрес с таблице можно посмотреть здесь, таблица еще пополняется. Если вы считаете, что пострадали, но адреса вашего кошелька нет в списке, или если вы обнаружили ошибку в расчете суммы вашей потери, свяжитесь с нашей службой поддержки до 16 октября, 18:00 (по мск) по адресу [email protected], предоставляя соответствующую документацию, такую ​​как снимки экрана или адреса транзакций.

Средства будут восстановлены в USDT в сети Polygon. Если вы хотите чтобы вам восстановили средства на другой кошелек, то надо написать им в форму.

Топ-3 адреса у которых угнали средства, легко посчитать сколько получат сверху владельцы. Ретрохантеры начинают шутить что надо было скамануться чтобы заработать больше чем на ретродропах и сейчас надо искать в чем скамануться  Cheesy



legendary
Activity: 1232
Merit: 1300
Протокол для торговли опциона на блокчейне ETH Hegic подвергся взлому, в совокупности потеряно примерно 40 миллионов. Скорее всего это произошло из-за утечки приватного ключа, но разработчики пока официально не подтвердили утечку/взлом.
legendary
Activity: 1596
Merit: 1183
...Некоторые еще могут видить фишинговый сайт при доступе к Galxe, это связано с распространением DNS — временем, которое требуется для обновления записей DNS на вашем локальном сервере, и оно варьируется индивидуально в разных странах мира...

Судя по тому, что монеты и сейчас поступают на кошелек мошенника, DNS еще не везде обновлены. Кто эти люди, которые и сейчас теряют свои монеты? Они вообще новости читают?
Проверить свой кошелек можно на специально созданной странице https://revoke.cash/exploits/galxe
Что-то час назад приостановились транзакции на кошель, может на время, либо кормушка закрылась для него. Ну безусловно есть те кто новости не читает и не варится в крипте. Открыл, условно, какую-нибудь статью про арбитрум кампанию на гэлакси, которая проходит сейчас, и тыкается в эти нфт.

Вот мне интересно, даже если ВПН используешь все равно можешь попасть на фишинговый сайт связанной с DNS?
Тут Вам не отвечу с 100% гарантией, но я бы не юзал. Все-таки если не знаете, то лучше закладывать худший сценарий, не ошибётесь.
full member
Activity: 1736
Merit: 138
...Некоторые еще могут видить фишинговый сайт при доступе к Galxe, это связано с распространением DNS — временем, которое требуется для обновления записей DNS на вашем локальном сервере, и оно варьируется индивидуально в разных странах мира...

Судя по тому, что монеты и сейчас поступают на кошелек мошенника, DNS еще не везде обновлены. Кто эти люди, которые и сейчас теряют свои монеты? Они вообще новости читают?
Проверить свой кошелек можно на специально созданной странице https://revoke.cash/exploits/galxe
Вот мне интересно, даже если ВПН используешь все равно можешь попасть на фишинговый сайт связанной с DNS?
legendary
Activity: 2268
Merit: 1655
To the Moon
...Некоторые еще могут видить фишинговый сайт при доступе к Galxe, это связано с распространением DNS — временем, которое требуется для обновления записей DNS на вашем локальном сервере, и оно варьируется индивидуально в разных странах мира...

Судя по тому, что монеты и сейчас поступают на кошелек мошенника, DNS еще не везде обновлены. Кто эти люди, которые и сейчас теряют свои монеты? Они вообще новости читают?
Проверить свой кошелек можно на специально созданной странице https://revoke.cash/exploits/galxe
full member
Activity: 1736
Merit: 138
SocialFi протокол Stars Arena, который базируется на аваланче, обчистили на 2,9 миллиона долларей.


Смарт контракт оказался дырявым. Интересно, сколько он аудитов прошёл перед тем, как его ломанули?
Какой бы аудит не прошел проект, все равно хакеры постоянно находят дыры в контракте чтобы красть крупные суммы.
legendary
Activity: 1596
Merit: 1183
Вчера ломанули популярную web3 платформу Galxe:


Пока разрабы восстанавливали доступ к сайту, скамерам удалось насшибать порядка 160 000$, украденные средства утекали на этот адрес: 0x4103babcfa68e97b4a29fa0b3c94d66afcf6163d

Пост с объяснением ситуации и мерами безопасности от Galxe: https://twitter.com/Galxe/status/1710337170500678135?s=20

Galxe приносят извинения и говорят что сайт полностью восстановлен. Продолжаются меры по повышению безопасности. Несмотря на это я пока не спешу бежать к ним сайт и выполнять задания по Арбитруму, хотя желание появилось вчера утром.

По последним оценкам Galxe, пострадавших около 1120, украдено около 270к$  Sad

Будет представлен план по восстановлению средств пострадавшим. На этой почве тоже могут возникать мошенники, поэтому ждать только официалных анонсов на официальных страницах.

Некоторые еще могут видить фишинговый сайт при доступе к Galxe, это связано с распространением DNS — временем, которое требуется для обновления записей DNS на вашем локальном сервере, и оно варьируется индивидуально в разных странах мира.



Главные моменты по безопасности в этой ситуации и в целом:

1) Важно смотреть на то что мы подписываем в кошельке при всплывающих окнах и сколько денег отправляем.

2) Мы должны обращать внимание на число которое указано, сколько монет мы разрешаем списать. Может быть иногда выставлено неадекватно большое число, не нужно спешить соглашаться с этим, вдумчиво и не спеша меняем на то что нужно.

3) Подпись сообщения - нас могут попросить подписать сообщение, представляющее собой байткод транзакции апрува/перевода средств (такое сообщение будет представлять набор символов, начинающийся на 0x....). Избегайте сообщений, которые так выглядят. Это самый хитрый метод, ибо скамер закинет транзу в сеть самолично от вашего лица (блокчейну без разницы, кто кидает транзакцию).

Наличие подключения кошелька к сайту и даже нахождение на сайте не дает никакой возможности задрейнить пользователя. Клик мыши по кнопке одобрения транзы это ошибка именно юзера. Всегда и везде читаем описание транзакции, видов скама на транзах не так уж много. Такой скам работает только на 1 монету в 1 конкретной сети.
legendary
Activity: 3080
Merit: 2330
CertiK недавно опубликовали инфографику по взломам и, как оказалось, сентябрь в этом плане стал рекордным месяцем этого года. Так, общий ущерб за сентябрь оценили примерно в 332 млн баксов, из которых 1,9 млн - это экзит-скамы, 0,4 млн - это атаки с использованием flash займов и 329,8 млн - это различные эксплойты.
Ну, а совокупные потери с начала года составляют примерно 1,34 млрд баксов, включая различные взломы на 925,4 млн.
p.s.
Инфографика в высоком разрешении.
legendary
Activity: 1974
Merit: 4715
https://dune.com/21co/lazarus-group-crypto-holdings
"Эта панель мониторинга отслеживает криптоактивы хакерской группировки Lazarus Group (также известной как APT38) , которая  провела несколько взломов от имени правительства Северной Кореи. В общей сложности отслеживается 295 кошелька , идентифицированных Федеральным бюро расследований США (ФБР) и Управлением по контролю за иностранными активами (OFAC). Для контекста, это крупнейшие взломы, проведенные Lazarus Group, подтвержденные ФБР:

29 марта 2022 г.: кража примерно 620 миллионов долларов с Sky Mavis’ Ronin Bridge.
22 июня 2022 г.: взлом Harmony's Horizon Bridge на сумму около 100 миллионов долларов.
Июнь 2023 г.: кража ~100 миллионов долларов из Atomic Wallet.
22 июля 2023 г.: у Alphapo украдено около 60 миллионов долларов.
22 июля 2023 г.: у CoinsPaid украдено около 37 миллионов долларов.
4 сентября 2023 г.: кража примерно 41 миллиона долларов у Stake.com."
legendary
Activity: 1540
Merit: 1457
В сми пишут, что еще 23 сентября хакеры взломали базу данных гонконгской сети Mixin и украли криптовалюты примерно на 200 млн баксов. Учитывая это, команда Mixin планирует анонсировать возможные варианты решения, а основатель проекта должен был запустит стрим, во время которого разъяснил детали этого инцидента. Вскоре после этого должны будут опубликовать краткое содержание на английском языке.
а что там можно сделать? 200 мультов огромная сумма, где они ее возьмут? Брать причем не с оборота, а с прибыли и кажется у FTX было не сильно больше кажется и в итоге все кончилось плохо и для биржи и для всего рынка. тут понятно такого эффекта не будет, но все кто держали там депо наверное могут с ним проститься. 
Вообще дефи конечно не перестает удивлять, если это не "отмыв" бабла, то мотивы тех, кто держит там свои деньги вообще не ясны, из-за небольших процентов приходится рисковать всем депо.
Какая-то ассиметрия получается.
legendary
Activity: 3080
Merit: 2330
В сми пишут, что еще 23 сентября хакеры взломали базу данных гонконгской сети Mixin и украли криптовалюты примерно на 200 млн баксов. Учитывая это, команда Mixin планирует анонсировать возможные варианты решения, а основатель проекта должен был запустит стрим, во время которого разъяснил детали этого инцидента. Вскоре после этого должны будут опубликовать краткое содержание на английском языке.
legendary
Activity: 1232
Merit: 1300
Алгоритмы крупнейшей корейской биржи Upbit не смогли отличить фейковый aptos от реального после того, как на биржу хлынул поток фейк токенов. Мелькают сообщения о том, что биржа помимо обычных просьб вернуть деньги даже обзванивает пользователей, которые воспользовались этой ошибкой. Более подробно как это произошло с технической стороны
legendary
Activity: 1918
Merit: 1501
DeFi-проект Linear Finance заявил об атаке

Злоумышленник смог создать неограниченное количество AAVE и впоследствии обменять ликвидный актив на LUSD через Linear Exchange, а затем продать его на PancakeSwap и Ascendex.

Команда Linear предприняла ряд действий для защиты протокола и средств пользователей.

Источник: https://forklog.com/news/stejblkoin-usd-obvalilsya-do-nulya-posle-vzloma-defi-proekta-linear
legendary
Activity: 1974
Merit: 4715
Недавно один из руководителей SEC намекнул, что они будут продолжать предъявлять новые обвинения как биржам, так и дефи проектам. Мне вот интересно, а что если некоторые дефи проекты прогнутся под натиском регуляторов и начнут внедрять обязательную верификацию для пользователей, пусть даже через фронтенд. Теоретически, это ведь может спровоцировать повышенный интерес у хакеров и, как следствие, массу новых взломов дефи, ведь любые персональные данные пользователей являются так же ценным уловом для них.

Мало того, что это противоречит самой сути дефи(думаю это все понимают), так и регулировать это все будет очень сложно. Ведь юзер в прямом смысле ничего не потеряет, если какая-то свапалка введет кус, в отличии ситуации с биржей, где у него могут заморозить деньги до прохождения кус. Все дефи все равно никогда не окажется под регулированием, скорее единичные проекты.

По-хорошему DeFi совсем не сочетается с государственным регулированием, в этом качестве он никому не будет нужен.

Что может возникнуть вместо него? В качестве альтернативы можно рассмотреть анонимный и конфиденциальный DeFi, например, площадку цифровых активов Tari, на базе протокола Monero. Такая система может стать достойной альтернативой традиционному (теперь уже так!) DeFi.

И она вроде даже создаётся, но это долгострой невероятный, всё пилится и пилится с 2017 года. Уже 6 лет. И нельзя вроде сказать, что проект не развивается, я периодически захожу в telegram, посмотреть что и как.

Вроде там даже Риккардо Спаньи теперь появляется, его же раньше арестовывали, теперь он вроде на свободе и продолжает курировать этот проект. Но всё очень медленно. Сложно создать реально анонимный и децентрализованный проект. На порядок сложнее, чем то, что нам демонстрирует традиционный DeFi.
"Код это закон" прокатывала в начале, когда в Дефи было пару милионов
https://bitcointalksearch.org/topic/defi-eth-2019-5185915
Когда в ДеФи миллиарды, любой инвестор покрутит пальцем у виска, если у проектапа не будет блокировок, возможности заморозки смартконтракта и прочих фишек, которые делают проект совершенно не децентрализованным.

Сегодня приводил примеры бесполезности вполне децентрализованных блокчейнов
https://bitcointalksearch.org/topic/m.62879217
запускайте роллапы в эфикиум классике, но только в эту песочницу серьезные инвесторы не придут.
legendary
Activity: 2338
Merit: 1775
Catalog Websites
Недавно один из руководителей SEC намекнул, что они будут продолжать предъявлять новые обвинения как биржам, так и дефи проектам. Мне вот интересно, а что если некоторые дефи проекты прогнутся под натиском регуляторов и начнут внедрять обязательную верификацию для пользователей, пусть даже через фронтенд. Теоретически, это ведь может спровоцировать повышенный интерес у хакеров и, как следствие, массу новых взломов дефи, ведь любые персональные данные пользователей являются так же ценным уловом для них.

Мало того, что это противоречит самой сути дефи(думаю это все понимают), так и регулировать это все будет очень сложно. Ведь юзер в прямом смысле ничего не потеряет, если какая-то свапалка введет кус, в отличии ситуации с биржей, где у него могут заморозить деньги до прохождения кус. Все дефи все равно никогда не окажется под регулированием, скорее единичные проекты.

По-хорошему DeFi совсем не сочетается с государственным регулированием, в этом качестве он никому не будет нужен.

Что может возникнуть вместо него? В качестве альтернативы можно рассмотреть анонимный и конфиденциальный DeFi, например, площадку цифровых активов Tari, на базе протокола Monero. Такая система может стать достойной альтернативой традиционному (теперь уже так!) DeFi.

И она вроде даже создаётся, но это долгострой невероятный, всё пилится и пилится с 2017 года. Уже 6 лет. И нельзя вроде сказать, что проект не развивается, я периодически захожу в telegram, посмотреть что и как.

Вроде там даже Риккардо Спаньи теперь появляется, его же раньше арестовывали, теперь он вроде на свободе и продолжает курировать этот проект. Но всё очень медленно. Сложно создать реально анонимный и децентрализованный проект. На порядок сложнее, чем то, что нам демонстрирует традиционный DeFi.
legendary
Activity: 1232
Merit: 1300
Недавно один из руководителей SEC намекнул, что они будут продолжать предъявлять новые обвинения как биржам, так и дефи проектам. Мне вот интересно, а что если некоторые дефи проекты прогнутся под натиском регуляторов и начнут внедрять обязательную верификацию для пользователей, пусть даже через фронтенд. Теоретически, это ведь может спровоцировать повышенный интерес у хакеров и, как следствие, массу новых взломов дефи, ведь любые персональные данные пользователей являются так же ценным уловом для них.

Мало того, что это противоречит самой сути дефи(думаю это все понимают), так и регулировать это все будет очень сложно. Ведь юзер в прямом смысле ничего не потеряет, если какая-то свапалка введет кус, в отличии ситуации с биржей, где у него могут заморозить деньги до прохождения кус. Все дефи все равно никогда не окажется под регулированием, скорее единичные проекты.
legendary
Activity: 1974
Merit: 4715
Недавно один из руководителей SEC намекнул, что они будут продолжать предъявлять новые обвинения как биржам, так и дефи проектам. Мне вот интересно, а что если некоторые дефи проекты прогнутся под натиском регуляторов и начнут внедрять обязательную верификацию для пользователей, пусть даже через фронтенд. Теоретически, это ведь может спровоцировать повышенный интерес у хакеров и, как следствие, массу новых взломов дефи, ведь любые персональные данные пользователей являются так же ценным уловом для них.
По Европе скажу что MiCА никак не регулирует ДеФи, но законодатели придут к этому через пару лет.
Pages:
Jump to: