Повторный вход, атаки ценового оракула и эксплойты в семи протоколах привели к тому, что пространство децентрализованных финансов (DeFi) потеряло не менее 21 миллиона долларов в криптовалюте в феврале.
По к DeFi-ориентированному платформа аналитики данных DefiLlama, одной из крупнейших в этом месяце была повторная атака на Platypus Finance, которая привела к потере средств на сумму 8.5 млн долларов.
DefiLlama выделил шесть других заслуживающих внимания взломов в этом месяце, первым из которых стала атака ценового оракула на BonqDAO 1 февраля.
BonqDAO: 1.7 миллиона долларов
BonqDAO сообщил своим подписчикам в сообщении от 1 февраля, что его Протокол Bonq был разоблачен к атаке оракула, которая позволила эксплуататору манипулировать ценой токена AllianceBlock (ALBT).
Эксплуататор увеличил цену ALBT и отчеканил большое количество BEUR. Затем BEUR был заменен на другие токены на Uniswap. Затем цена была снижена почти до нуля, что повлекло за собой ликвидацию запасов ALBT.
Компания PeckShield, занимающаяся безопасностью блокчейна, оценила убытки примерно в 120 миллионов долларов, однако позже выяснилось, что хакеры, как сообщается, только обналичил около 1 млн долларов из-за нехватки ликвидности на BonqDAO.
Протокол Ориона: 3 миллиона долларов
Буквально через день децентрализованная биржа Orion Protocol потерпела крах. от около 3 миллионов долларов США 2 февраля в результате повторной атаки, когда злоумышленники использовали вредоносный смарт-контракт для вывода средств из цели с повторными заказами на вывод средств.
Мы расследовали эту очень изощренную атаку с момента ее совершения. Мы не будем повторно открывать функцию «Депозит», пока не будем уверены, что ошибка исправлена, что будет только после успешного прохождения новых проверок от ведущих аудиторских фирм.
— Алексей Колосков (@alexeykoloskov) 2 февраля 2023
Генеральный директор Orion Protocol Алексей Колосков тогда подтвердил атаку, заверив всех, что «средства всех пользователей в безопасности».
«У нас есть основания полагать, что проблема возникла не из-за каких-либо недостатков в коде нашего основного протокола, а скорее могла быть вызвана уязвимостью при смешивании сторонних библиотек в одном из смарт-контрактов, используемых нашими экспериментальными и частными брокерами. ," он сказал.
Сеть dForce: 3.65 миллиона долларов.
Сеть dForce протокола DeFi стала еще одной февральской жертвой повторной атаки, в результате которой убытки составили около 3.65 миллиона долларов.
10 февраля после, dForce подтвердил эксплойт; однако, как ни странно, все средства были возвращены, когда хакер выступил в роли белого хакера.
2/5 Вскоре после инцидента мы вступили в разговор с эксплуататорами, которые выступили в качестве белых хакеров. Мы согласились предложить вознаграждение и прекратим все текущие расследования и действия правоохранительных органов.
- dforce (@dforcenet) 13 февраля 2023
«13 февраля 2023 года использованные средства были полностью возвращены нашей мультиподписи как на Arbitrum, так и на Optimism, что стало идеальным завершением для всех», — сказал dForce.
Platypus Finance: 9.1 миллиона долларов
16 февраля протокол DeFi Platypus Finance подвергся атаке флэш-кредита в результате из протокола было украдено 8.5 миллиона долларов.
В отчете о вскрытии от аудитора Platypus Omniscia отмечается, что нападение стало возможным из-за код в неправильном порядке.
23 февраля команда объявила, что они стремятся вернуть около 78% средств основного пула путем повторного выпуска замороженных стейблкоинов.
Обновлена страница компенсации
Сегодня мы обновили нашу страницу компенсаций! Если вы внесли или сняли токены LP с наших агрегаторов доходности до приостановки пула, сумма вашей компенсации будет обновлена соответствующим образом.
Больше https://t.co/GfLIn5jmtF— Утконос (++) (@Platypusdefi) 3 марта 2023
Команда также подтвердила второй и третий инциденты, в результате которых было использовано еще 667,000 9.1 долларов, что привело к общим потерям около XNUMX миллиона долларов.
Французская полиция арестованы двое подозреваемых в причастности к взлому и 222,000 февраля изъяли криптоактивы на сумму около 25 XNUMX долларов.
Хоуп Финанс: 1.86 миллиона долларов
Через несколько дней пользователи алгоритмического стейблкоина, основанного на арбитраже, Hope Finance, стал жертвой уязвимости смарт-контракта 20 февраля, когда у пользователей было украдено около 2 миллионов долларов.
#CommunityAlert @hope_fin объявили, что сообщество было обмануто примерно на 2 миллиона долларов, что сделало его крупнейшим #выходная камера на Арбитруме в 2023 году.
$1.86 млн было переведено в @TornadoCash.
Hope_fin опубликовал шаги для пользователей, чтобы вывести свои поставленные LPhttps://t.co/hJbFXiKujt
— Предупреждение CertiK (@CertiKAlert) 21 февраля 2023
Компания CertiK, занимающаяся безопасностью Web3, отметила инцидент 21 февраля после объявления из учетной записи Hope Finance Twitter, уведомляющего пользователей о мошенничестве.
В то время член команды CertiK сообщил Cointelegraph, что мошенник изменил детали смарт-контракта, что привело к сливу средств из протокола генезиса Hope Finance:
«Похоже, мошенник изменил контракт TradingHelper, что означало, что когда 0x4481 вызывает OpenTrade на GenesisRewardPool, средства переводятся мошеннику».
Гибкий: 2 миллиона долларов
Агрегатор мультичейновых бирж Dexible подвергся эксплойту, нацеленному на функцию selfSwap приложения, в результате чего криптовалюта на сумму 2 миллиона долларов была потеряна. теракт 17 февраля.
Согласно сообщению биржи от 18 февраля, «хакер воспользовался уязвимостью в нашем новейшем смарт-контракте. Это позволило хакеру украсть средства из любого кошелька, у которого было неизрасходованное разрешение на трату по контракту».
Уважаемое сообщество Dexible, с сожалением сообщаем вам, что ранним утром 17 февраля хакер воспользовался уязвимостью в нашем новейшем смарт-контракте. Это позволило хакеру украсть средства из любого кошелька, у которого было неизрасходованное одобрение на расход по контракту.
1/5
— Гибкий (@DexibleApp) 17 февраля 2023
После расследования команда Dexible обнаружила, что злоумышленник использовал функцию selfSwap приложения для перемещения криптовалюты на сумму более 2 миллионов долларов от пользователей, которые ранее разрешили приложению перемещать свои токены.
Получив токены в собственный смарт-контракт, злоумышленник вывел монеты через Tornado Cash на неизвестные кошельки BNB.
LaunchZone: 700,000 XNUMX долларов
Децентрализованное финансирование на основе сети BNB (DeFi) протокол LaunchZone имел $700,000 XNUMX стоимость средств, истощенных 27 февраля.
По компании Immunefi, занимающейся безопасностью блокчейнов, злоумышленник использовал непроверенный контракт для вывода средств.
«Утверждение непроверенного контракта было сделано 473 дня назад развертывателем LaunchZone», — сказал Иммунефи.
Связанный: Убытки от криптоэксплуатаций в январе снизились почти на 93% в годовом исчислении
По данным DefiLlama, февральские цифры резко выросли по сравнению с январскими.
Трекер перечисляет всего 740,000 XNUMX долларов в результате взлома платформ DeFi за месяц по двум протоколам — Midas Capital и ROE Finance.
В своем 2023 Отчет о криптопреступности, компания по обработке данных блокчейна Chainalysis сообщила, что хакеры украли 3.1 миллиарда долларов из протоколов DeFi в 2022 году, что составляет более 82% от общей суммы, украденной за год.
Источник: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama.