Катастрофы DeFi: $31 млн украдено из MonoX, убытки BadgerDAO превысили $120 млн
Неутешительная неделя эксплойтов временно омрачила начало последнего месяца 2021 года, когда BadgerDAO и MonoX, зарегистрированные на Huobi, понесли серьезные убытки. На этой неделе было потеряно более 150 миллионов долларов из-за отдельных нарушений безопасности в проектах DeFi MonoX и BadgerDAO.
Мультичейновая децентрализованная биржа MonoX (MONO) 30 ноября подверглась кибератаке, что привело к убыткам в размере около 31 миллиона долларов. BadgerDAO (BADGER) подвергся внешней атаке, которая была обнаружена 2 декабря. На тот момент сообщалось об ущербе в размере 10 млн долларов, но сейчас потери Badger составили уже более 120 миллионов долларов.
Платформа MonoX DEX подверглась единственной атаке 30 ноября. В этой атаке ошибка в смарт-контракте привела к несоответствию между ценами на активы при ручном изменении.
Rekt News объяснил, что хакеры смогли завышать цену MONO с помощью смарт-контракта, а затем скупать другие активы по протоколу с помощью MONO.
«Хакер создал цикл, в котором цена tokenOut перезаписывала цену tokenIn, накачивая цену MONO в течение многих «свопов»», - сообщается в результатах вскрытия.
Команда MonoX подтвердила это в твите 30 ноября. В ходе вскрытия, опубликованного 2 декабря, было подтверждено, что общие убытки составили около 31 миллиона долларов. Команда добавила:
«Дни, подобные вчерашнему, ужасны, суровая реальность эксплуатируемого контракта и потери денег людьми невозможно подсластить. Наши сторонники поверили в новый проект, такой как у нас, а вчера мы их подвели».
Токен MONO был добавлен на Huobi всего за пять дней до взлома MonoX.
Нарушение безопасности Badger было постоянной угрозой для пользователей, взаимодействующих с платформой Badger DAO, а не отдельным крупным эксплойтом.
Пользователи Discord начали сообщать о необычных запросах на расходы от платформы Badger и уведомили администраторов в социальных сетях и на Discord уже 27 ноября.
Администратор Blackbear ответил, что запрос был необычным, но, вероятно, вызван незначительной ошибкой во внешнем пользовательском интерфейсе (UI).
So someone on the $BADGER discord flagged the Increase Allowance exploit on the Badger UI a few days ago. Sadly, the team brushed it aside.
If your users are saying they're being requested to do things on your platform that seem odd, PLEASE take it seriously. https://t.co/WUYMhU9viz pic.twitter.com/S7VaqJ2DEr
— 0xMoves (@0xMoves) December 2, 2021
Ошибка в пользовательском интерфейсе оказалась попыткой злоумышленника украсть средства из вывода этого пользователя. Та же самая тактика будет применяться к случайным пользователям в течение нескольких дней или даже недель, прежде чем будет обнаружена эта брешь в безопасности.
На момент написания убытки от атаки Badger составили более 120 миллионов долларов, включая 2078,76 BTC, 30,27 ibBTC и 151,32 ETH, по данным аналитической компании PeckShield. Команда Badger изучает проблему и приостановила все смарт-контракты в протоколе, чтобы избежать дальнейших потерь.