Повторне входження, атаки цінового оракула та використання семи протоколів призвели до того, що простір децентралізованих фінансів (DeFi) втратив щонайменше 21 мільйон доларів у криптовалюті в лютому.
За до DeFi-центричного платформа аналізу даних DefiLlama, однією з наймасштабніших за місяць стала атака повторного входу на Platypus Finance, що призвела до втрати 8.5 мільйонів доларів США.
DefiLlama виділила шість інших важливих хаків за місяць, першим з яких була атака цінового оракула на BonqDAO 1 лютого.
BonqDAO: 1.7 мільйона доларів
У дописі від 1 лютого BonqDAO повідомила своїм підписникам, що це Було викрито протокол Bonq до атаки оракула, яка дозволила експлуататору маніпулювати ціною токена AllianceBlock (ALBT).
Експлуататор підвищив ціну ALBT і викарбував велику кількість BEUR. Потім BEUR було обміняно на інші токени на Uniswap. Потім ціна була знижена майже до нуля, що стало поштовхом до ліквідації ALBT troves.
Фірма безпеки блокчейну PeckShield оцінила збитки приблизно в 120 мільйонів доларів, однак пізніше виявилося, що хакери лише перерахував близько 1 мільйона доларів через брак ліквідності на BonqDAO.
Orion Protocol: 3 мільйони доларів
Буквально через день децентралізована біржа Orion Protocol постраждала від приблизно на 3 мільйони доларів 2 лютого через атаку повторного входу, коли зловмисники використовували зловмисний смарт-контракт, щоб витягти кошти з об’єкта за допомогою повторних наказів на виведення коштів.
Ми розслідували цю дуже витончену атаку з того моменту, як вона сталася. Ми не відкриємо функцію депозиту, доки не будемо впевнені, що помилку виправлено, а це буде лише після успішного проходження нових перевірок від провідних аудиторських фірм.
— Олексій Колосков (@alexeykoloskov) 2 Лютого, 2023
Генеральний директор Orion Protocol Олексій Колосков тоді підтвердив атаку, запевнивши всіх: «Усі кошти користувачів у безпеці».
«У нас є підстави вважати, що проблема не була результатом будь-яких недоліків у нашому коді основного протоколу, а могла бути викликана вразливістю в змішуванні бібліотек сторонніх розробників в одному зі смарт-контрактів, які використовують наші експериментальні та приватні брокери. ," він сказав.
dForce Network: $3.65 млн
Мережа протоколу DeFi dForce стала ще однією жертвою атаки повторного входу в лютому, що призвело до збитків на суму близько 3.65 мільйона доларів.
10 лютого після, dForce підтвердив експлойт; однак у повороті всі кошти були повернуті, коли хакер виступив як хакер білої капелюхи.
2/5 Невдовзі після інциденту ми вступили в розмову з експлуататором, який виступив як білий капелюх. Ми погодилися запропонувати винагороду та припинимо всі поточні розслідування та дії правоохоронних органів.
— dForce (@dForcenet) 13 Лютого, 2023
«13 лютого 2023 року використані кошти було повністю повернуто нашій мультипідписці як на Arbitrum, так і на Optimism, ідеальне завершення для всіх», — сказав dForce.
Platypus Finance: $9.1 млн
16 лютого протокол DeFi Platypus Finance зазнала атаки швидкої позики в результаті чого з протоколу було виведено 8.5 мільйонів доларів США.
У посмертному звіті аудитора Platypus Omniscia зазначено, що напад був можливий через код у неправильному порядку.
23 лютого команда оголосила, що вона прагне повернути близько 78% коштів основного пулу шляхом повторного карбування заморожених стейблкоїнів.
Оновлена сторінка компенсації
Сьогодні ми оновили нашу сторінку компенсації! Якщо ви внесли або зняли токени LP з наших агрегаторів дохідності до призупинення пулу, суму вашої компенсації буде відповідно оновлено.
більше https://t.co/GfLIn5jmtF— Качкодзьоб (++) (@Platypusdefi) Березня 3, 2023
Команда також підтвердила другий і третій інциденти, які призвели до використання ще 667,000 9.1 доларів США, що призвело до загальних збитків на суму близько XNUMX мільйона доларів.
Французька поліція затримали двох підозрюваних у причетності до злому 222,000 лютого конфіскував криптоактиви на суму близько 25 XNUMX доларів США.
Hope Finance: $1.86 млн
Кілька днів потому користувачі алгоритмічного стейблкойну Hope Finance на основі арбітруму став жертвою експлойту смарт-контракту 20 лютого, коли у користувачів було вкрадено приблизно 2 мільйони доларів.
#Сповіщення спільноти @hope_fin оголосили, що спільноту ошукали на ~2 мільйони доларів, що робить це найбільшим #exitscam на Arbitrum у 2023 році.
1.86 млн дол @TornadoCash.
Hope_fin опублікував кроки для користувачів, щоб відкликати свій ставку LPhttps://t.co/hJbFXiKujt
— Сповіщення CertiK (@CertiKAlert) 21 Лютого, 2023
Сертифікована фірма безпеки Web3 CertiK повідомила про цей інцидент 21 лютого після того, як обліковий запис Hope Finance в Твіттері повідомило користувачів про аферу.
Член команди CertiK тоді розповів Cointelegraph, що шахрай змінив деталі смарт-контракту, що призвело до витоку коштів із протоколу Hope Finance genesis:
«Схоже, шахрай змінив контракт TradingHelper, що означало, що коли 0x4481 викликає OpenTrade у GenesisRewardPool, кошти перераховуються шахраю».
Dexible: 2 мільйони доларів
Багатоланцюговий біржовий агрегатор Dexible постраждав від експлойту, націленого на функцію selfSwap програми, у результаті чого було втрачено криптовалюту на суму 2 мільйони доларів США. напад 17 лютого.
Згідно з повідомленням біржі від 18 лютого, «хакер скористався вразливістю в нашому новітньому смарт-контракті. Це дозволило хакеру викрасти кошти з будь-якого гаманця, який мав схвалення невитрачених витрат за контрактом».
Шановна спільното Dexible, з жалем повідомляємо вам, що вранці 17 лютого хакер скористався вразливістю в нашому найновішому розумному контракті. Це дозволило хакеру викрасти кошти з будь-якого гаманця, який мав схвалення невитрачених витрат за контрактом.
1/5
— Dexible (@DexibleApp) 17 Лютого, 2023
Після розслідування команда Dexible виявила, що зловмисник скористався функцією selfSwap програми, щоб перемістити криптовалюту на суму понад 2 мільйони доларів від користувачів, які раніше авторизували програму для переміщення своїх жетонів.
Після отримання токенів у власний смарт-контракт зловмисник вивів монети через Tornado Cash на невідомі гаманці BNB.
LaunchZone: $700,000 XNUMX
Децентралізоване фінансування на основі BNB Chain (DeFi) протокол LaunchZone мав $700,000 XNUMX на суму коштів, злитих 27 лютого.
За для фірми безпеки блокчейну Immunefi, зловмисник використав неперевірений контракт для виведення коштів.
«Схвалення неперевіреного контракту було зроблено 473 дні тому розгортачем LaunchZone», — сказав Імунефі.
За даними DefiLlama, лютневі цифри різко зросли порівняно з січнем.
Трекер перераховує лише 740,000 XNUMX доларів у вигляді зламу платформ DeFi за місяць за двома протоколами — Midas Capital і ROE Finance.
У своєму 2023 Криптовалютний звіт, компанія Chainalysis, що працює з блокчейном, виявила, що хакери вкрали 3.1 мільярда доларів із протоколів DeFi у 2022 році, що становить понад 82% від загальної суми, викраденої за рік.
Джерело: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama