Паўторнае ўваходжанне, атакі цэнавых аракулаў і эксплойты па сямі пратаколах прывялі да таго, што прастора дэцэнтралізаваных фінансаў (DeFi) страціла ў лютым як мінімум 21 мільён долараў у крыптаграфіі.
згодна да DeFi-арыентаванага платформа аналітыкі дадзеных DefiLlama, адным з найбуйнейшых за месяц стала атака паўторнага ўваходу ў флэш-пазыку на Platypus Finance, якая прывяла да страты сродкаў на 8.5 мільёна долараў.
DefiLlama вылучыў шэсць іншых вартых увагі ўзломаў за месяц, першым з якіх была атака цэнавага аракула на BonqDAO 1 лютага.
BonqDAO: 1.7 мільёна долараў
BonqDAO паказаў сваім падпісчыкам у паведамленні ад 1 лютага, што яго Пратакол Bonq быў выкрыты да атакі аракула, якая дазволіла эксплуататару маніпуляваць цаной токена AllianceBlock (ALBT).
Эксплуататар павялічыў цану ALBT і адчаканіў вялікую колькасць BEUR. Затым BEUR быў заменены на іншыя токены на Uniswap. Затым цана была зніжана амаль да нуля, што стала прычынай ліквідацыі ALBT troves.
Фірма па бяспецы блокчэйнаў PeckShield ацаніла страты прыкладна ў 120 мільёнаў долараў, аднак пазней высветлілася, што толькі хакеры абнаявіць каля 1 мільёна долараў з-за недахопу ліквіднасці на BonqDAO.
Пратакол Orion: 3 мільёны долараў
Літаральна праз дзень дэцэнтралізаваная біржа Orion Protocol пацярпела a страта прыкладна ў 3 мільёны долараў 2 лютага ў выніку атакі паўторнага ўваходу, калі зламыснікі выкарыстоўвалі шкоднасны смарт-кантракт, каб зліваць сродкі з аб'екта з дапамогай паўторных заказаў на зняцце сродкаў.
Мы расследавалі гэтую вельмі складаную атаку з таго моманту, як яна адбылася. Мы не адкрыем функцыю дэпазіту, пакуль не будзем упэўнены, што памылка выпраўлена, што адбудзецца толькі пасля паспяховага праходжання новых аўдытаў вядучымі аўдытарскімі фірмамі.
— Аляксей Каласков (@alexeykoloskov) Люты 2, 2023
Генеральны дырэктар Orion Protocol Аляксей Каласков пацвердзіў атаку ў той час, запэўніўшы ўсіх: «Усе сродкі карыстальнікаў знаходзяцца ў бяспецы».
«У нас ёсць падставы меркаваць, што праблема не была вынікам якіх-небудзь недахопаў у нашым асноўным кодзе пратаколу, а магла быць выклікана ўразлівасцю ў змешванні старонніх бібліятэк у адным са смарт-кантрактаў, якія выкарыстоўваюцца нашымі эксперыментальнымі і прыватнымі брокерамі. ," ён сказау.
Сетка dForce: 3.65 мільёна долараў
Сетка dForce з пратаколам DeFi стала яшчэ адной ахвярай атакі паўторнага ўваходу ў лютым, у выніку якой страты склалі каля 3.65 мільёна долараў.
У лютым 10 пошта, dForce пацвердзіў эксплойт; аднак у твіст, усе сродкі былі вернутыя, калі хакер выступаў як хакер whitehat.
2/5 Неўзабаве пасля інцыдэнту мы ўступілі ў размову з эксплуататарам, які выступаў як белы капялюш. Мы пагадзіліся прапанаваць узнагароду і адмовімся ад усіх расследаванняў і дзеянняў праваахоўных органаў.
— dForce (@dForcenet) Люты 13, 2023
«13 лютага 2023 г. выкарыстаныя сродкі былі цалкам вернуты нашай мульты-падпісцы як на Arbitrum, так і на Optimism, ідэальны канец для ўсіх», — сказаў dForce.
Platypus Finance: 9.1 мільёна долараў
16 лютага пратакол DeFi Platypus Finance падвергнуўся нападу пазыкі што прывяло да таго, што 8.5 мільёна долараў былі злітыя з пратакола.
У пасмяротнай справаздачы аўдытара Platypus Omniscia адзначаецца, што напад быў магчымы з-за код у няправільным парадку.
23 лютага каманда абвясціла, што імкнецца вярнуць каля 78% сродкаў асноўнага пула шляхам перачаканкі замарожаных стейблкоинов.
Абноўлена старонка кампенсацыі
Мы абнавілі нашу старонку кампенсацыі сёння! Калі вы ўнеслі або знялі токены LP з нашых агрэгатараў прыбытковасці да прыпынення пула, сума вашай кампенсацыі будзе адпаведным чынам абноўлена.
больш https://t.co/GfLIn5jmtF— Качканос (++) (@Platypusdefi) Сакавік 3, 2023
Каманда таксама пацвердзіла другі і трэці інцыдэнты, якія прывялі да выкарыстання яшчэ 667,000 9.1 долараў ЗША, агульныя страты склалі каля XNUMX мільёна долараў.
Французская паліцыя арыштаваныя двое падазраваных ва ўзломе і канфіскаваў крыпта-актывы на суму каля 222,000 25 долараў XNUMX лютага.
Hope Finance: 1.86 мільёна долараў
Праз некалькі дзён карыстальнікі алгарытмічнага стейблкойн-праекта Hope Finance на аснове арбітрума стаў ахвярай эксплойта смарт-кантракту 20 лютага, падчас якога ў карыстальнікаў было скрадзена каля 2 мільёнаў долараў.
#Абвестка аб супольнасці @hope_fin абвясцілі, што суполку падманулі на ~$2 мільёны, што робіць гэта найбуйнейшым #exitscam на Arbitrum у 2023 годзе.
Пералічана $1.86 млн @Tornadocash.
Hope_fin апублікаваў крокі для карыстальнікаў, каб зняць свой пастаўлены LPhttps://t.co/hJbFXiKujt
— Абвестка CertiK (@CertiKAlert) Люты 21, 2023
Фірма бяспекі Web3 CertiK пазначыла інцыдэнт 21 лютага пасля аб'явы з уліковага запісу Hope Finance у Twitter, у якой карыстальнікі апавяшчаліся аб афёры.
У той час член каманды CertiK паведаміў Cointelegraph, што ашуканец змяніў дэталі смарт-кантракту, што прывяло да зліву сродкаў з пратаколу генезісу Hope Finance:
«Падобна на тое, што махляр змяніў кантракт TradingHelper, што азначала, што калі 0x4481 выклікае OpenTrade на GenesisRewardPool, сродкі перадаюцца ашуканцу».
Dexible: 2 мільёны долараў
Агрэгатар шматланцуговых абменаў Dexible пацярпеў ад эксплойта, нацэленага на функцыю selfSwap прыкладання, у выніку чаго крыптавалюта была страчана на 2 мільёны долараў напад 17 лютага.
Згодна з паведамленнем біржы ад 18 лютага, «хакер выкарыстаў уразлівасць у нашым найноўшым смарт-кантракце. Гэта дазволіла хакеру скрасці сродкі з любога кашалька, у якім было пацверджанне нявыдаткаваных расходаў па кантракце».
Дарагая суполка Dexible, з жалем паведамляем вам, што ў першай палове дня 17 лютага хакер выкарыстаў уразлівасць у нашым найноўшым смарт-кантракце. Гэта дазволіла хакеру скрасці сродкі з любога кашалька, у якім было пацверджанне нявыдаткаваных расходаў па кантракце.
1/5
— Dexible (@DexibleApp) Люты 17, 2023
Пасля расследавання каманда Dexible выявіла, што зламыснік выкарыстаў функцыю selfSwap праграмы для перамяшчэння крыптаграфіі на суму больш за 2 мільёны долараў ад карыстальнікаў, якія раней дазволілі праграме перамяшчаць свае токены.
Пасля атрымання токенаў ва ўласны смарт-кантракт зламыснік вывеў манеты праз Tornado Cash на невядомыя кашалькі BNB.
LaunchZone: 700,000 XNUMX долараў
Дэцэнтралізаванае фінансаванне на аснове BNB Chain (DeFi) пратакол LaunchZone меў $700,000 XNUMX на суму сродкаў, злітых 27 лютага.
згодна для фірмы па бяспецы блокчейна Immunefi, зламыснік выкарыстаў неправераны кантракт, каб зліць сродкі.
«Зацвярджэнне неправеранага кантракту было зроблена 473 дні таму распрацоўшчыкам LaunchZone», — сказаў Immunefi.
Па дадзеных DefiLlama, лютаўскія лічбы рэзка выраслі ў параўнанні са студзенем.
Трэкер пералічвае толькі 740,000 XNUMX долараў у выглядзе ўзломаў платформаў DeFi за месяц па двух пратаколах — Midas Capital і ROE Finance.
У сваім 2023 Crypto Report, кампанія па апрацоўцы дадзеных блокчэйнаў Chainalysis паказала, што хакеры скралі 3.1 мільярда долараў з пратаколаў DeFi у 2022 годзе, што складае больш за 82% ад агульнай сумы, скрадзенай за год.
Крыніца: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama