" Повторный вход, атаки ценового оракула и эксплойты в семи протоколах привели к тому, что в феврале сектор децентрализованных финансов (DeFi) потерял не менее 21 миллиона долларов в криптовалюте.
Согласно платформе аналитики данных DefiLlama, ориентированной на DeFi, одной из крупнейших атак в этом месяце стала атака повторного входа на Platypus Finance, которая привела к потере 8,5 млн долларов.
DefiLlama выделил шесть других заслуживающих внимания взломов в этом месяце, первым из которых стала атака ценового оракула на BonqDAO 1 февраля.
Платформы DeFi подверглись семи атакам в течение февраля. Источник: DefiLlama.
BonqDAO: $1,7 млн
BonqDAO сообщил своим подписчикам в сообщении от 1 февраля, что его протокол Bonq подвергся атаке оракула, которая позволила злоумышленнику манипулировать ценой токена AllianceBlock (ALBT).
Эксплойтер увеличил цену ALBT и отчеканил большое количество BEUR. Затем BEUR был заменен на другие токены на Uniswap. Затем цена была снижена почти до нуля, что повлекло за собой ликвидацию запасов ALBT.
Компания по обеспечению безопасности блокчейна PeckShield оценила убытки примерно в 120 миллионов долларов, однако позже выяснилось, что хакеры, как сообщается, обналичили только около 1 миллиона долларов из-за отсутствия ликвидности на BonqDAO.
Orion Protocol: $3 млн
Всего через день децентрализованная биржа Orion Protocol 2 февраля понесла убытки в размере около 3 миллионов долларов в результате атаки повторного входа, когда злоумышленники использовали вредоносный смарт-контракт для вывода средств из протокола с повторными заказами на вывод средств.
«Мы расследовали эту очень изощренную атаку с момента ее совершения. Мы не будем повторно открывать функцию «Депозит», пока не будем уверены, что ошибка исправлена. Это будет только после успешного прохождения новых проверок от ведущих аудиторских фирм», – сообщил в твиттере Алексей Колосков 2 февраля 2023 г.
Генеральный директор Orion Protocol Алексей Колосков тогда подтвердил атаку, заверив всех: «Средства всех пользователей в безопасности».
«У нас есть основания полагать, что проблема возникла не из-за каких-либо недостатков в коде нашего основного протокола, а, скорее, могла быть вызвана уязвимостью при использовании сторонних библиотек в одном из смарт-контрактов, используемых нашими экспериментальными и частными брокерами», – сказал он.
dForce Network: $3.65 млн
Сеть протокола DeFi dForce Network стала еще одной февральской жертвой атаки повторного входа, в результате которой убытки составили около 3,65 миллиона долларов.
В сообщении от 10 февраля dForce подтвердил эксплойт; однако, как ни странно, все средства были возвращены. Оказалось, что эксплойтер выступил в роли белого хакера.
«Вскоре после инцидента мы вступили в разговор с эксплойтерами, которые выступили в качестве белых хакеров. Мы согласились предложить вознаграждение и прекратим все текущие расследования и действия правоохранительных органов», – говорится в сообщении dForce от 13 февраля 2023 г.
Вскоре все средства были возвращены.
«13 февраля 2023 года использованные средства были полностью возвращены нашей мультиподписи как на Arbitrum, так и на Optimism, что стало идеальным завершением для всех», — сказал dForce.
Platypus Finance: $9,1 млн
16 февраля протокол DeFi Platypus Finance подвергся атаке с использованием мгновенного кредита, в результате чего из протокола было выведено 8,5 миллиона долларов.
В отчете о вскрытии от аудитора Platypus Omniscia отмечается, что атака стала возможной из-за кода в неправильном порядке.
23 февраля команда объявила, что они стремятся вернуть около 78% средств основного пула путем повторного выпуска замороженных стейблкоинов.
Команда также подтвердила второй и третий инциденты, в результате которых было украдено еще 667 000 долларов. В итоге общие убытки составили около 9,1 миллиона долларов.
Французская полиция арестовала двух подозреваемых в причастности к взлому и 25 февраля изъяла криптовалютные активы на сумму около 222 000 долларов.
Hope Finance: $1,86 млн
Несколько дней спустя пользователи алгоритмического проекта стабильной монеты, основанного на арбитраже, Hope Finance, 20 февраля стали жертвами эксплойта смарт-контракта, в результате которого у пользователей было украдено около 2 миллионов долларов.
Фирма CertiK, занимающаяся безопасностью Web3, отметила инцидент 21 февраля после объявления из учетной записи Hope Finance Twitter, уведомляющего пользователей о мошенничестве.
«Вниманию сообщества! Hope Finance объявил, что сообщество было обмануто примерно на 2 миллиона долларов, что сделало это событие крупнейшим мошенничеством с выходом на Arbitrum в 2023 году. 1,86 миллиона долларов было переведено на Tornado Cash. Hope_fin опубликовал шаги для пользователей, чтобы вывести свои поставленные LP», – говорится в сообщении CertiK от 21 февраля 2023 г.
В то время член команды CertiK сообщил, что мошенник изменил детали смарт-контракта, что привело к сливу средств из протокола генезиса Hope Finance:
«Похоже, мошенник изменил контракт TradingHelper, что означало, что когда 0x4481 вызывает OpenTrade на GenesisRewardPool, средства переводятся мошеннику».
Dexible: $2 млн
17 февраля межсетевой агрегатор бирж Dexible пострадал от эксплойта, нацеленного на функцию selfSwap приложения, при этом в результате атаки была потеряна криптовалюта на сумму 2 миллиона долларов.
Согласно сообщению биржи от 18 февраля, «хакер воспользовался уязвимостью в нашем новейшем смарт-контракте. Это позволило хакеру украсть средства из любого кошелька, у которого было неизрасходованное разрешение на трату по контракту».
«Уважаемое сообщество Dexible, с сожалением сообщаем вам, что ранним утром 17 февраля хакер воспользовался уязвимостью в нашем новейшем смарт-контракте. Это позволило хакеру украсть средства из любого кошелька, у которого было неизрасходованное одобрение на расход по контракту», – говорится в сообщении Dexible от 17 февраля 2023 г.
После расследования команда Dexible обнаружила, что злоумышленник использовал функцию selfSwap приложения для перемещения криптовалюты на сумму более 2 миллионов долларов от пользователей, которые ранее разрешили приложению перемещать свои токены.
Получив токены в собственный смарт-контракт, злоумышленник вывел монеты через Tornado Cash на неизвестные кошельки BNB.
LaunchZone: $700 000
27 февраля в протоколе DeFi на основе сети BNB LaunchZone были выведены средства на сумму 700 000 долларов.
По данным компании Immunefi, занимающейся безопасностью блокчейна, злоумышленник использовал непроверенный контракт для вывода средств.
«Утверждение непроверенного контракта было сделано 473 дня назад развертывателем LaunchZone», — сообщила Immunefi.
По данным DefiLlama, февральские цифры резко выросли по сравнению с январскими.
Трекер перечисляет всего 740 000 долларов в результате взлома платформ DeFi за январь по двум протоколам — Midas Capital и ROE Finance.
В своем отчете о криптопреступлениях за 2023 год компания Chainalysis, занимающаяся данными о блокчейне, сообщила, что хакеры украли 3,1 миллиарда долларов из протоколов DeFi в 2022 году, что составляет более 82% от общей суммы, украденной за год.
