Topic: DeFi - "Атаки" и Безопасность - page 6. (Read 10699 times)

С беттинговой платформы Stake вывели около 40млн и есть подозрения, что это взлом. По некоторым сообщениям похищено было около 40кк$, часть этих средств были выведены в ETH сети, остальные в BSC и Polygon. Сама платформа еще никак не прокомментировала данную ситуацию, но активность адреса, который это сделал - довольна странная.

upd. а вот и официальный комментарий Stake. Назвали эти транзакции несанкционированными и проводят расследование, средства пользователей в безопасности, кошельки остаются работоспособными

https://www.binance.com/en/feed/post/2023-08-27-gearbox-protocol-clarifies-hack-attack-only-related-to-balancer-pool-1038841
"Gearbox Protocol опубликовал заявление в ответ на новости об атаке флэш-кредитов на их платформу, уточнив, что хакерская атака была связана исключительно с пулом Balancer. Gearbox подтвердила, что их контракт и кредитный счет в безопасности и не понес никаких потерь.

Как сообщалось ранее, Beosin обнаружил атаку с использованием флэш кредита на протокол Gearbox в Ethereum, в результате которой был нанесен ущерб примерно в 400 000 долларов США."

Ущерб от взлома Balancer оценили в $900 000. Согласно ончейн-данным, после атаки на адрес злоумышленника поступило две транзакции на $636 812 и $257 527 в стейблкоинах DAI.

Команда проекта сообщила об ошибке во второй версии протокола еще 22 августа и призвала пользователей вывести средства из пулов ликвидности. В зоне риска оказались активы, развернутые на Ethereum, Polygon, Arbitrum, Optimism, Avalanche, Gnosis, Fantom и zkEVM. На момент написания общий объем заблокированных средств в Balancer v2 составляет $586 млн, согласно DeFi Llama.

Разработчики еще раз предупредили, что знают об эксплойте. По их словам, «процедуры смягчения» снижают риски, но пользователи должны самостоятельно выйти из пулов для большей безопасности.

Блин даже в ленте уже кроме взломов никаких новостей нет, но все равно находятся какие-то камикадзе и вкладывают туда деньги.
Докину и свои 5 копеек, сделаю копировку из форклога из телеги, тем более что она прекрасна и прям всю суть показывает с одного хода

ForkLog собрал наиболее важные новости из мира децентрализованных финансов (DeFi) за прошедшие несколько недель в традиционном дайджесте.

✔️ DeFi-проект Exactly Protocol подвергся взлому на $12 млн.

✔️ DeFi-протокол Zunami в ходе эксплойта потерял $2,1 млн.

✔️ Base-платформа RocketSwap потеряла $870 000 из-за утечки ключей.

https://forklog.com/?p=214429

Как говорится новости недели во всей красе

https://www.msn.com/en-us/money/markets/magnate-finance-executes-64-million-exit-scam-on-base-network-details/ar-AA1fLTXK

Magnate Finance осуществил экзит скам на сумму 6,4 миллиона долларов в Base Network
Мagnate Finance, кредитный проект, работающий на базе сети Ethereum Layer 2, совершил экзит скам, похитив примерно 6,4 миллиона долларов. Событие, описанное охранной фирмой PeckShield как «rug pull», вызвало шок в криптовалютном сообществе.
https://twitter.com/peckshield/status/1694947367030800601

" В X проекта Balancer сообщили что получили уведомление о критической уязвимости в некоторых пулах v2.

Командой были выполнены экстренные процедуры по снижению рисков, чтобы защитить большую часть TVL, но некоторые средства пользователей остаются под угрозой.

Рекомендуется немедленно вывести затронутые LP. "

Источник: https://twitter.com/Balancer/status/1694014645378724280

Этого и следовало ожидать, Base - блокчейн с большим количеством багов, достаточно сырой. Вспомнить только одну историю, что мост работал только в одну сторону, что просто абсурд, учитывая вектор развития криптовалют в целом.

А форклог уже пишет о более 7160 ETH (~$12 млн на момент написания).  Компания блокчейн-безопасности PeckShield сообщила, что атака еще продолжается.

Взломщик вывел средства тремя транзакциями по 910 ETH, 226 731 USDC и еще 2,64 млн USDC. Эксперты предположили, что в будущем могут обнаружить дополнительные украденные активы.

Хакер уже перевел 1500 ETH (~$2,5 млн) через мост с помощью Across Protocol.

https://www.theblock.co/post/246196/exactly-protocol-exploited-7-million-optimism-layer-2-network
Exact Protocol потерял более 7 миллионов долларов в экосистеме Optimism

"Эксплойт, обнаруженный аналитическими компаниями BlockSec и Beosin, привел к убыткам в размере более 4300 ЕТН (7,3 миллиона долларов).

Злоумышленник воспользовался уязвимостью в смарт-контрактах Exactly Protocol, что привело к значительным потерям. Подробности эксплойта пока не разглашаются."

Дефи протокол RocketSwap в сети Base взломали на 471 эфира (870k баксов на данный момент). Пишут, что команде проекта пришлось использовать офлайн-подписи при развертывании лаунчпада и размещении приватных ключей на сервере. Хакер якобы взломал сервер с помощью обычного брутфорса, а из-за прокси-контракта, использовавшегося для фарм-контракта, было получено множество разрешений с высокой степенью риска, что привело к передаче фарм-активов.

DeFi-протокол Zunami в ходе эксплойта потерял $2,1 млн. Аналитики PeckShield отметили, что атака произошла благодаря манипулированию ценами, из-за чего произошел неправильный расчет курсов активов. По данным экспертов, хакер уже направил украденные средства в миксер Tornado Cash.

Представители проекта добавили, что атака произошла на протокол стейблкоинов zStables. Команда Zunami рекомендовала на время воздержаться от покупки zETH и UZD. Основатель компании по безопасности SlowMist Сянь Юй рассказал в X (ранее Twitter), что его фирма обнаружила уязвимость еще два месяца назад и проинформировала об этом протокол.

«К сожалению, это общение стало неприятным опытом… Оглядываясь назад, кажется, что можно было бы избежать [взлома]», — заявил он.

Рубрика не дня без взлома пополняется каждый день и ведь все равно продолжают люди упорно искать счастья в дефи-проектах, как будто вокруг альтернатив нет.
Хотелось бы выложить фрагмент из телеграм канала imhoneer (сам он на форуме к сожалению практически перестал писать) потому что мысли здравые и в общем сам склонюсь к таким же выводам, но к сожалению сформулировать также хорошо не могу

"Главная проблема DeFi не в процентах. А в том, что достаточно вложить всего 5%-10% в ненадежный проект, привлекающий высокой доходностью, чтобы потерять вообще всё, что можно заработать вкладывая остальные 90-95% в надежные проекты. При том что надёжные проекты тоже имеют риски.

Аудиты не спасают, потому что там работают либо не особо квалифицированные программисты, либо нет времени полностью погрузиться в логику работы проекта.
Сейчас идет резкая потеря доверия в DeFi, потому что последние хаки показывают, что разрабатывают протоколы и даже повсеместно используемые компиляторы со всяких Python на Solidity не вполне компетентные программисты. И открытый исходный код становится не преимуществом, а главной причиной опасности.

Всегда можно держаться только надежных проектов, где APR 5%-10% в среднем. И надеяться, что снова не будет хакнут, тот же Curve и не будет цепной реакции. Но если здесь говорим о росте DeFi в целом, то может ли такой подход вызвать рост? Особенно когда большинство продолжает прыгать между проектами однодневками и потом потеряв деньги начинают распространять недоверие к DeFi в целом.
Поэтому лучшим подходом, на мой взгляд, является хранение своих средств только на своём кошельке и не гнаться за дополнительными 5%-15% годовых рискуя всем".
https://t.me/imho_idea

https://www.theblock.co/post/243464/curve-exploit-identity-bounty
"Злоумышленник, который атаковал пул alETH-ETH Alchemix на Curve, вернул все 22 миллиона долларов. Возвращено более 12 000 ETH. Кроме того, вмешательство «белых шляп» успешно предотвратило ограбление сумму 13 миллионов долларов.

Лицо, ответственное за взлом пула pETH-ETH компании JPEGd, вернуло 90% украденных активов на сумму 5 495 ETH (11,5 млн долларов США).

Кроме того, средства, незаконно присвоенные из пула sETH-ETH Metronome и основного пула CRV-ETH Curve Finance, в общей сложности около 7 миллионов долларов, были возвращены оператором бота MEV под именем c0ffeebabe.eth. PeckShield указала, что украденные средства в размере 19,7 млн ​​долларов еще не возвращены."

Хакер взломал децентрализованную биржу Cypher на базе Solana и вывел около $1 млн в криптовалютах.

Команда проекта заморозила смарт-контракты протокола и начала расследование. Разработчики также предложили хакеру выйти на связь для обсуждения возможности возврата средств.

Источник: https://forklog.com/news/dex-cypher-poteryala-1-mln-v-rezultate-vzloma

" Хакеру Curve предложили сделку

Платформы Curve, Metronome и Alchemix, предложили хакеру награду в размере 10% от украденных средств, с просьбой вернуть остальное.

Соответственно, если злоумышленник примет предложение, то ему гарантируют отсутствие дальнейшего юридического преследования.

На сегодняшний день известно, что было украдено около $70 млн. "

Источники: https://t.me/evans_crypto/6422, https://twitter.com/curvefinance/status/1687180381714358272?s=46&t=BKJm2kORj-jQHlRZoxyxQw.

Не только 0.2.15, другие версии компилятора Vyper (0.2.16 и 0.3.0) так же были подвержены данной уязвимости, а если быть точнее, то контракты curve были уязвимы при вызове функции raw_call. Кстати, примечательно, что Джастин Сан решил помочь главе curve finance в этой ситуации и выкупил у него 5 млн crv за 2 млн usdt, т.е. по 40 центов за токен. Помимо этого, Сан анонсировал партнерство tron и curve, которое предполагает интеграцию пула ликвидности для stusdt.

" Curve пулы alETH / msETH / pETH, использовавшие Vyper 0.2.15, были взломаны в результате недолжного функционирования reentrancy lock (ошибки повторной траты).

Совокупный ущерб превысил $24M:

https://twitter.com/shoucccc/status/1685688647637725184

$11M - JpegD, $13M - Alchemix - крупнейшие жертвы. "

Источник: https://t.me/Defiscamcheck/3103

---

" Curve пул CRV/ETH обчистили на $21M (7680ETH, 7,2M CRV)

https://etherscan.io/tx/0x2e7dc8b2fb7e25fd00ed9565dcc0ad4546363171d5e00f196d48103983ae477c

Фаундер Curve подтвердил факт хака и уточнил, что они не успели первыми обезопасить пул. "

Источник: https://t.me/Defiscamcheck/3104

Не уверена, что это подходит под тему топика, но первый раз такое вижу, как никак децентрализованные финансы .

Сегодня появился один "интересный" токен - $PNDX. С виду обычный щиток, ничего в нем особенного, но... Через контракт этого токена можно совершенно спокойно украсть токены(только PNDX) с чужого кошелька и продать их, никаких препятствий абсолютно. В последние несколько часов газ в эфире сильно вырос, так что если задаетесь вопросом почему - то вот ответ, сейчас в наглую люди играются, воруя друг у друга токены(и у обычных работяг тоже) пытаясь их быстро продать, игра свеч прям

" Сезон взломов на ZKsync объявляется открытым

Первый пострадавший - Era Lend.

Транзакция взлома на $1.7M USDC:

https://explorer.zksync.io/tx/0x99efebacb3edaa3ac34f7ef462fd8eed85b46be281bd1329abfb215a494ab0ef

Вероятная - причина в используемом коллатериале LP токенах протокола synсswap, где ошибка двойного reentrance - возможность сжигания токена перед вызовом функции update_reserves, что привело к неправильному трактованию стоимости резервов и манипуляции с ценой LP токенов по ораклу.

Ущерб оценивается в $2.7M USDC.

https://twitter.com/spreekaway/status/1683817944470396928 "

Источник: https://t.me/Defiscamcheck/3101

https://cointelegraph.com/news/eth-curve-omnipool-platform-conic-finance-hacked-for-3-2-million-in-eth
Gлатформа Curve Conic Finance взломана на 3,2 миллиона долларов в монетах ETH
Согласно первоначальному анализу Peckshield, основной причиной взлома Conic Finance был новый смарт контракт CurveLPORacleV2.

В настоящее время команда изучает эксплойт и будем делиться новостями по мере их появления
https://twitter.com/ConicFinance/status/1682346727578255360?s=20