Будьте осторожны! В X (exTwitter) проекта Balancer сообщается о продолжающейся атаке: " Фронтенд Balancer подвергся атаке. В настоящее время проводится расследование проблемы. Пожалуйста, НЕ взаимодействуйте с пользовательским интерфейсом Balancer до дальнейшего уведомления! "
Источник: https://twitter.com/Balancer/status/1704281611326357567?s=20
Topic: DeFi - "Атаки" и Безопасность - page 6. (Read 10816 times)
У токенов Gala проблемы из за изменения смарт контракта.
https://twitter.com/x_explore_eth/status/1701629646528557168
https://twitter.com/x_explore_eth/status/1701629646528557168
Пользователь кошелька Ethereum потерял криптовалюту на сумму 24 млн долларов, а данные в сети указывают на фишинговую атаку как на вероятную причину.
Были украдены ликвидные деривативы для стейкинга, в частности 4851 Rocket Pool ETH (rETH) на сумму 8,5 млн долларов и 9579 ETH Lido Staked на сумму 15,6 млн долларов. Это один из крупнейших инцидентов криптофишинга направленный на индивидуального пользователя на сегодняшний день.
По словам представителей нескольких секьюрити организаций, человека выманили для авторизации вредоносных транзакций из его кошелька Ethereum через фишинговую ссылку.
Источник: https://www.theblock.co/post/249643/individual-loses-24-million-in-likely-crypto-phishing-attack
Были украдены ликвидные деривативы для стейкинга, в частности 4851 Rocket Pool ETH (rETH) на сумму 8,5 млн долларов и 9579 ETH Lido Staked на сумму 15,6 млн долларов. Это один из крупнейших инцидентов криптофишинга направленный на индивидуального пользователя на сегодняшний день.
По словам представителей нескольких секьюрити организаций, человека выманили для авторизации вредоносных транзакций из его кошелька Ethereum через фишинговую ссылку.
Источник: https://www.theblock.co/post/249643/individual-loses-24-million-in-likely-crypto-phishing-attack
Лишний раз это подтверждает что даже обладание таким количеством средств ее гарантирует того, что владелец кошелька опытный юзер. Почти каждый месяц случаются подобного рода истории.
Пользователь кошелька Ethereum потерял криптовалюту на сумму 24 млн долларов, а данные в сети указывают на фишинговую атаку как на вероятную причину.
Были украдены ликвидные деривативы для стейкинга, в частности 4851 Rocket Pool ETH (rETH) на сумму 8,5 млн долларов и 9579 ETH Lido Staked на сумму 15,6 млн долларов. Это один из крупнейших инцидентов криптофишинга направленный на индивидуального пользователя на сегодняшний день.
По словам представителей нескольких секьюрити организаций, человека выманили для авторизации вредоносных транзакций из его кошелька Ethereum через фишинговую ссылку.
Источник: https://www.theblock.co/post/249643/individual-loses-24-million-in-likely-crypto-phishing-attack
Были украдены ликвидные деривативы для стейкинга, в частности 4851 Rocket Pool ETH (rETH) на сумму 8,5 млн долларов и 9579 ETH Lido Staked на сумму 15,6 млн долларов. Это один из крупнейших инцидентов криптофишинга направленный на индивидуального пользователя на сегодняшний день.
По словам представителей нескольких секьюрити организаций, человека выманили для авторизации вредоносных транзакций из его кошелька Ethereum через фишинговую ссылку.
Источник: https://www.theblock.co/post/249643/individual-loses-24-million-in-likely-crypto-phishing-attack
https://twitter.com/peckshieldalert/status/1698870451815285045
"По информации PeckShield общий убыток от взлома Stake․com = 41,000,000$!
В сети Ethereum (#ETH) - 15,700,000$.
В сети Polygon (#MATIC) - 7,850,000$.
В сети BNBChain (#BNB) - 17,750,000$."
"По информации PeckShield общий убыток от взлома Stake․com = 41,000,000$!
В сети Ethereum (#ETH) - 15,700,000$.
В сети Polygon (#MATIC) - 7,850,000$.
В сети BNBChain (#BNB) - 17,750,000$."
С беттинговой платформы Stake вывели около 40млн и есть подозрения, что это взлом. По некоторым сообщениям похищено было около 40кк$, часть этих средств были выведены в ETH сети, остальные в BSC и Polygon. Сама платформа еще никак не прокомментировала данную ситуацию, но активность адреса, который это сделал - довольна странная.
upd. а вот и официальный комментарий Stake. Назвали эти транзакции несанкционированными и проводят расследование, средства пользователей в безопасности, кошельки остаются работоспособными
upd. а вот и официальный комментарий Stake. Назвали эти транзакции несанкционированными и проводят расследование, средства пользователей в безопасности, кошельки остаются работоспособными
https://www.binance.com/en/feed/post/2023-08-27-gearbox-protocol-clarifies-hack-attack-only-related-to-balancer-pool-1038841
"Gearbox Protocol опубликовал заявление в ответ на новости об атаке флэш-кредитов на их платформу, уточнив, что хакерская атака была связана исключительно с пулом Balancer. Gearbox подтвердила, что их контракт и кредитный счет в безопасности и не понес никаких потерь.
Как сообщалось ранее, Beosin обнаружил атаку с использованием флэш кредита на протокол Gearbox в Ethereum, в результате которой был нанесен ущерб примерно в 400 000 долларов США."
"Gearbox Protocol опубликовал заявление в ответ на новости об атаке флэш-кредитов на их платформу, уточнив, что хакерская атака была связана исключительно с пулом Balancer. Gearbox подтвердила, что их контракт и кредитный счет в безопасности и не понес никаких потерь.
Как сообщалось ранее, Beosin обнаружил атаку с использованием флэш кредита на протокол Gearbox в Ethereum, в результате которой был нанесен ущерб примерно в 400 000 долларов США."
Ущерб от взлома Balancer оценили в $900 000. Согласно ончейн-данным, после атаки на адрес злоумышленника поступило две транзакции на $636 812 и $257 527 в стейблкоинах DAI.
Команда проекта сообщила об ошибке во второй версии протокола еще 22 августа и призвала пользователей вывести средства из пулов ликвидности. В зоне риска оказались активы, развернутые на Ethereum, Polygon, Arbitrum, Optimism, Avalanche, Gnosis, Fantom и zkEVM. На момент написания общий объем заблокированных средств в Balancer v2 составляет $586 млн, согласно DeFi Llama.
Разработчики еще раз предупредили, что знают об эксплойте. По их словам, «процедуры смягчения» снижают риски, но пользователи должны самостоятельно выйти из пулов для большей безопасности.
Команда проекта сообщила об ошибке во второй версии протокола еще 22 августа и призвала пользователей вывести средства из пулов ликвидности. В зоне риска оказались активы, развернутые на Ethereum, Polygon, Arbitrum, Optimism, Avalanche, Gnosis, Fantom и zkEVM. На момент написания общий объем заблокированных средств в Balancer v2 составляет $586 млн, согласно DeFi Llama.
Разработчики еще раз предупредили, что знают об эксплойте. По их словам, «процедуры смягчения» снижают риски, но пользователи должны самостоятельно выйти из пулов для большей безопасности.
Блин даже в ленте уже кроме взломов никаких новостей нет, но все равно находятся какие-то камикадзе и вкладывают туда деньги.
Докину и свои 5 копеек, сделаю копировку из форклога из телеги, тем более что она прекрасна и прям всю суть показывает с одного хода
ForkLog собрал наиболее важные новости из мира децентрализованных финансов (DeFi) за прошедшие несколько недель в традиционном дайджесте.
✔️ DeFi-проект Exactly Protocol подвергся взлому на $12 млн.
✔️ DeFi-протокол Zunami в ходе эксплойта потерял $2,1 млн.
✔️ Base-платформа RocketSwap потеряла $870 000 из-за утечки ключей.
https://forklog.com/?p=214429
Как говорится новости недели во всей красе
Докину и свои 5 копеек, сделаю копировку из форклога из телеги, тем более что она прекрасна и прям всю суть показывает с одного хода
ForkLog собрал наиболее важные новости из мира децентрализованных финансов (DeFi) за прошедшие несколько недель в традиционном дайджесте.
✔️ DeFi-проект Exactly Protocol подвергся взлому на $12 млн.
✔️ DeFi-протокол Zunami в ходе эксплойта потерял $2,1 млн.
✔️ Base-платформа RocketSwap потеряла $870 000 из-за утечки ключей.
https://forklog.com/?p=214429
Как говорится новости недели во всей красе
https://www.msn.com/en-us/money/markets/magnate-finance-executes-64-million-exit-scam-on-base-network-details/ar-AA1fLTXK
Magnate Finance осуществил экзит скам на сумму 6,4 миллиона долларов в Base Network
Мagnate Finance, кредитный проект, работающий на базе сети Ethereum Layer 2, совершил экзит скам, похитив примерно 6,4 миллиона долларов. Событие, описанное охранной фирмой PeckShield как «rug pull», вызвало шок в криптовалютном сообществе.
https://twitter.com/peckshield/status/1694947367030800601
Magnate Finance осуществил экзит скам на сумму 6,4 миллиона долларов в Base Network
Мagnate Finance, кредитный проект, работающий на базе сети Ethereum Layer 2, совершил экзит скам, похитив примерно 6,4 миллиона долларов. Событие, описанное охранной фирмой PeckShield как «rug pull», вызвало шок в криптовалютном сообществе.
https://twitter.com/peckshield/status/1694947367030800601
" В X проекта Balancer сообщили что получили уведомление о критической уязвимости в некоторых пулах v2.
Командой были выполнены экстренные процедуры по снижению рисков, чтобы защитить большую часть TVL, но некоторые средства пользователей остаются под угрозой.
Рекомендуется немедленно вывести затронутые LP. "
Источник: https://twitter.com/Balancer/status/1694014645378724280
Командой были выполнены экстренные процедуры по снижению рисков, чтобы защитить большую часть TVL, но некоторые средства пользователей остаются под угрозой.
Рекомендуется немедленно вывести затронутые LP. "
Источник: https://twitter.com/Balancer/status/1694014645378724280
Дефи протокол RocketSwap в сети Base взломали на 471 эфира (870k баксов на данный момент). Пишут, что команде проекта пришлось использовать офлайн-подписи при развертывании лаунчпада и размещении приватных ключей на сервере. Хакер якобы взломал сервер с помощью обычного брутфорса, а из-за прокси-контракта, использовавшегося для фарм-контракта, было получено множество разрешений с высокой степенью риска, что привело к передаче фарм-активов.
Этого и следовало ожидать, Base - блокчейн с большим количеством багов, достаточно сырой. Вспомнить только одну историю, что мост работал только в одну сторону, что просто абсурд, учитывая вектор развития криптовалют в целом.
https://www.theblock.co/post/246196/exactly-protocol-exploited-7-million-optimism-layer-2-network
Exact Protocol потерял более 7 миллионов долларов в экосистеме Optimism
"Эксплойт, обнаруженный аналитическими компаениями BlockSec и Beosin, привел к убыткам в размере более 4300 ЕТН (7,3 миллиона долларов).
Злоумышленник воспользовался уязвимостью в смарт-контрактах Exactly Protocol, что привело к значительным потерям. Подробности эксплойта пока не разглашаются."
Exact Protocol потерял более 7 миллионов долларов в экосистеме Optimism
"Эксплойт, обнаруженный аналитическими компаениями BlockSec и Beosin, привел к убыткам в размере более 4300 ЕТН (7,3 миллиона долларов).
Злоумышленник воспользовался уязвимостью в смарт-контрактах Exactly Protocol, что привело к значительным потерям. Подробности эксплойта пока не разглашаются."
А форклог уже пишет о более 7160 ETH (~$12 млн на момент написания). Компания блокчейн-безопасности PeckShield сообщила, что атака еще продолжается.
Взломщик вывел средства тремя транзакциями по 910 ETH, 226 731 USDC и еще 2,64 млн USDC. Эксперты предположили, что в будущем могут обнаружить дополнительные украденные активы.
Хакер уже перевел 1500 ETH (~$2,5 млн) через мост с помощью Across Protocol.
https://www.theblock.co/post/246196/exactly-protocol-exploited-7-million-optimism-layer-2-network
Exact Protocol потерял более 7 миллионов долларов в экосистеме Optimism
"Эксплойт, обнаруженный аналитическими компаниями BlockSec и Beosin, привел к убыткам в размере более 4300 ЕТН (7,3 миллиона долларов).
Злоумышленник воспользовался уязвимостью в смарт-контрактах Exactly Protocol, что привело к значительным потерям. Подробности эксплойта пока не разглашаются."
Exact Protocol потерял более 7 миллионов долларов в экосистеме Optimism
"Эксплойт, обнаруженный аналитическими компаниями BlockSec и Beosin, привел к убыткам в размере более 4300 ЕТН (7,3 миллиона долларов).
Злоумышленник воспользовался уязвимостью в смарт-контрактах Exactly Protocol, что привело к значительным потерям. Подробности эксплойта пока не разглашаются."
Дефи протокол RocketSwap в сети Base взломали на 471 эфира (870k баксов на данный момент). Пишут, что команде проекта пришлось использовать офлайн-подписи при развертывании лаунчпада и размещении приватных ключей на сервере. Хакер якобы взломал сервер с помощью обычного брутфорса, а из-за прокси-контракта, использовавшегося для фарм-контракта, было получено множество разрешений с высокой степенью риска, что привело к передаче фарм-активов.
DeFi-протокол Zunami в ходе эксплойта потерял $2,1 млн. Аналитики PeckShield отметили, что атака произошла благодаря манипулированию ценами, из-за чего произошел неправильный расчет курсов активов. По данным экспертов, хакер уже направил украденные средства в миксер Tornado Cash.
Представители проекта добавили, что атака произошла на протокол стейблкоинов zStables. Команда Zunami рекомендовала на время воздержаться от покупки zETH и UZD. Основатель компании по безопасности SlowMist Сянь Юй рассказал в X (ранее Twitter), что его фирма обнаружила уязвимость еще два месяца назад и проинформировала об этом протокол.
«К сожалению, это общение стало неприятным опытом… Оглядываясь назад, кажется, что можно было бы избежать [взлома]», — заявил он.
Представители проекта добавили, что атака произошла на протокол стейблкоинов zStables. Команда Zunami рекомендовала на время воздержаться от покупки zETH и UZD. Основатель компании по безопасности SlowMist Сянь Юй рассказал в X (ранее Twitter), что его фирма обнаружила уязвимость еще два месяца назад и проинформировала об этом протокол.
«К сожалению, это общение стало неприятным опытом… Оглядываясь назад, кажется, что можно было бы избежать [взлома]», — заявил он.
Рубрика не дня без взлома пополняется каждый день и ведь все равно продолжают люди упорно искать счастья в дефи-проектах, как будто вокруг альтернатив нет.
Хотелось бы выложить фрагмент из телеграм канала imhoneer (сам он на форуме к сожалению практически перестал писать) потому что мысли здравые и в общем сам склонюсь к таким же выводам, но к сожалению сформулировать также хорошо не могу
"Главная проблема DeFi не в процентах. А в том, что достаточно вложить всего 5%-10% в ненадежный проект, привлекающий высокой доходностью, чтобы потерять вообще всё, что можно заработать вкладывая остальные 90-95% в надежные проекты. При том что надёжные проекты тоже имеют риски.
Аудиты не спасают, потому что там работают либо не особо квалифицированные программисты, либо нет времени полностью погрузиться в логику работы проекта.
Сейчас идет резкая потеря доверия в DeFi, потому что последние хаки показывают, что разрабатывают протоколы и даже повсеместно используемые компиляторы со всяких Python на Solidity не вполне компетентные программисты. И открытый исходный код становится не преимуществом, а главной причиной опасности.
Всегда можно держаться только надежных проектов, где APR 5%-10% в среднем. И надеяться, что снова не будет хакнут, тот же Curve и не будет цепной реакции. Но если здесь говорим о росте DeFi в целом, то может ли такой подход вызвать рост? Особенно когда большинство продолжает прыгать между проектами однодневками и потом потеряв деньги начинают распространять недоверие к DeFi в целом.
Поэтому лучшим подходом, на мой взгляд, является хранение своих средств только на своём кошельке и не гнаться за дополнительными 5%-15% годовых рискуя всем".
https://t.me/imho_idea
Хотелось бы выложить фрагмент из телеграм канала imhoneer (сам он на форуме к сожалению практически перестал писать) потому что мысли здравые и в общем сам склонюсь к таким же выводам, но к сожалению сформулировать также хорошо не могу
"Главная проблема DeFi не в процентах. А в том, что достаточно вложить всего 5%-10% в ненадежный проект, привлекающий высокой доходностью, чтобы потерять вообще всё, что можно заработать вкладывая остальные 90-95% в надежные проекты. При том что надёжные проекты тоже имеют риски.
Аудиты не спасают, потому что там работают либо не особо квалифицированные программисты, либо нет времени полностью погрузиться в логику работы проекта.
Сейчас идет резкая потеря доверия в DeFi, потому что последние хаки показывают, что разрабатывают протоколы и даже повсеместно используемые компиляторы со всяких Python на Solidity не вполне компетентные программисты. И открытый исходный код становится не преимуществом, а главной причиной опасности.
Всегда можно держаться только надежных проектов, где APR 5%-10% в среднем. И надеяться, что снова не будет хакнут, тот же Curve и не будет цепной реакции. Но если здесь говорим о росте DeFi в целом, то может ли такой подход вызвать рост? Особенно когда большинство продолжает прыгать между проектами однодневками и потом потеряв деньги начинают распространять недоверие к DeFi в целом.
Поэтому лучшим подходом, на мой взгляд, является хранение своих средств только на своём кошельке и не гнаться за дополнительными 5%-15% годовых рискуя всем".
https://t.me/imho_idea
https://www.theblock.co/post/243464/curve-exploit-identity-bounty
"Злоумышленник, который атаковал пул alETH-ETH Alchemix на Curve, вернул все 22 миллиона долларов. Возвращено более 12 000 ETH. Кроме того, вмешательство «белых шляп» успешно предотвратило ограбление сумму 13 миллионов долларов.
Лицо, ответственное за взлом пула pETH-ETH компании JPEGd, вернуло 90% украденных активов на сумму 5 495 ETH (11,5 млн долларов США).
Кроме того, средства, незаконно присвоенные из пула sETH-ETH Metronome и основного пула CRV-ETH Curve Finance, в общей сложности около 7 миллионов долларов, были возвращены оператором бота MEV под именем c0ffeebabe.eth. PeckShield указала, что украденные средства в размере 19,7 млн долларов еще не возвращены."
"Злоумышленник, который атаковал пул alETH-ETH Alchemix на Curve, вернул все 22 миллиона долларов. Возвращено более 12 000 ETH. Кроме того, вмешательство «белых шляп» успешно предотвратило ограбление сумму 13 миллионов долларов.
Лицо, ответственное за взлом пула pETH-ETH компании JPEGd, вернуло 90% украденных активов на сумму 5 495 ETH (11,5 млн долларов США).
Кроме того, средства, незаконно присвоенные из пула sETH-ETH Metronome и основного пула CRV-ETH Curve Finance, в общей сложности около 7 миллионов долларов, были возвращены оператором бота MEV под именем c0ffeebabe.eth. PeckShield указала, что украденные средства в размере 19,7 млн долларов еще не возвращены."
Хакер взломал децентрализованную биржу Cypher на базе Solana и вывел около $1 млн в криптовалютах.
Команда проекта заморозила смарт-контракты протокола и начала расследование. Разработчики также предложили хакеру выйти на связь для обсуждения возможности возврата средств.
Источник: https://forklog.com/news/dex-cypher-poteryala-1-mln-v-rezultate-vzloma
Команда проекта заморозила смарт-контракты протокола и начала расследование. Разработчики также предложили хакеру выйти на связь для обсуждения возможности возврата средств.
Источник: https://forklog.com/news/dex-cypher-poteryala-1-mln-v-rezultate-vzloma
" Хакеру Curve предложили сделку
Платформы Curve, Metronome и Alchemix, предложили хакеру награду в размере 10% от украденных средств, с просьбой вернуть остальное.
Соответственно, если злоумышленник примет предложение, то ему гарантируют отсутствие дальнейшего юридического преследования.
На сегодняшний день известно, что было украдено около $70 млн. "
Источники: https://t.me/evans_crypto/6422, https://twitter.com/curvefinance/status/1687180381714358272?s=46&t=BKJm2kORj-jQHlRZoxyxQw.
Платформы Curve, Metronome и Alchemix, предложили хакеру награду в размере 10% от украденных средств, с просьбой вернуть остальное.
Соответственно, если злоумышленник примет предложение, то ему гарантируют отсутствие дальнейшего юридического преследования.
На сегодняшний день известно, что было украдено около $70 млн. "
Источники: https://t.me/evans_crypto/6422, https://twitter.com/curvefinance/status/1687180381714358272?s=46&t=BKJm2kORj-jQHlRZoxyxQw.
Jump to: