Reintrarea, atacurile oracolului de preț și exploatările în șapte protocoale au făcut ca spațiul financiar descentralizat (DeFi) să scurgă cel puțin 21 de milioane de dolari în cripto în februarie.
Conform spre DeFi-centric platforma de analiză a datelor DefiLlama, unul dintre cele mai mari din această lună a fost atacul de reintrare a împrumuturilor la Platypus Finance, care a dus la pierderi de 8.5 milioane de dolari.
DefiLlama a evidențiat alte șase hack-uri demne de remarcat în această lună, primul fiind atacul oracol al prețurilor asupra BonqDAO pe 1 februarie.
BonqDAO: 1.7 milioane de dolari
BonqDAO a dezvăluit adepților săi într-o postare de 1 februarie că este Protocolul Bonq a fost expus la un atac oracol care a permis exploatatorului să manipuleze prețul jetonului AllianceBlock (ALBT).
Exploatorul a crescut prețul ALBT și a bătut cantități mari de BEUR. BEUR a fost apoi schimbat cu alte jetoane pe Uniswap. Apoi, prețul a fost scăzut până la aproape zero, ceea ce a declanșat lichidarea rezervelor ALBT.
Firma de securitate blockchain PeckShield a estimat pierderile la aproximativ 120 de milioane de dolari, cu toate acestea, s-a dezvăluit ulterior că hackerii ar fi doar a încasat în jur de 1 milion de dolari din cauza lipsei de lichiditate pe BonqDAO.
Protocolul Orion: 3 milioane de dolari
Doar o zi mai târziu, schimbul descentralizat Protocolul Orion a suferit a de pe de aproximativ 3 milioane de dolari pe 2 februarie printr-un atac de reintrare, în care atacatorii au folosit un contract inteligent rău intenționat pentru a scurge fonduri de la o țintă cu ordine de retragere repetate.
Am investigat acest atac foarte sofisticat din minutele în care a avut loc. Nu vom redeschide funcția Depozit până când nu vom fi încrezători că eroarea a fost remediată, ceea ce va fi numai după trecerea cu succes a noilor audituri de la firme de audit de top.
— Alexey Koloskov (@alexeykoloskov) 2 Februarie 2023
CEO-ul Orion Protocol, Alexey Koloskov, a confirmat atacul la momentul respectiv, asigurând pe toată lumea: „Toate fondurile utilizatorilor sunt în siguranță”.
„Avem motive să credem că problema nu a fost rezultatul unor deficiențe în codul protocolului nostru de bază, ci mai degrabă ar fi fost cauzată de o vulnerabilitate în amestecarea bibliotecilor terțe într-unul dintre contractele inteligente utilizate de brokerii noștri experimentali și privați. ," el a spus.
dForce Network: 3.65 milioane USD
Rețeaua dForce cu protocolul DeFi a fost o altă victimă din februarie a unui atac de reintrare care a dus la pierderi de aproximativ 3.65 milioane de dolari.
În 10 februarie post, dForce a confirmat exploitul; cu toate acestea, într-o întorsătură, toate fondurile au fost returnate atunci când hackerul s-a prezentat ca un hacker cu pălărie albă.
2/5 La scurt timp după incident, am intrat în discuții cu exploatatorul, care s-a prezentat ca o pălărie albă. Am convenit să oferim o recompensă și vom renunța la toate investigațiile și acțiunile de aplicare a legii în curs.
— dForce (@dForcenet) 13 Februarie 2023
„La 13 februarie 2023, fondurile exploatate au fost returnate integral la firma noastră multiplă atât pe Arbitrum, cât și pe Optimism, un final perfect pentru toți”, a spus dForce.
Platypus Finance: 9.1 milioane de dolari
Pe 16 februarie, protocolul DeFi Platypus Finance a suferit un atac de împrumut rapid rezultând ca 8.5 milioane de dolari să fie scurți din protocol.
Un raport post-mortem al auditorului Platypus Omniscia a remarcat că atacul a fost posibil din cauza cod în ordine greșită.
Pe 23 februarie, echipa a anunțat că urmărește să returneze aproximativ 78% din fondurile principale din grup, reamintind monedele stabile înghețate.
Pagina de compensare actualizată
Am actualizat pagina noastră de compensare astăzi! Dacă ați depus sau retras jetoane LP de la agregatorii noștri de randament înainte de pauza pool-ului, suma dvs. de compensare va fi actualizată în consecință.
Mai Mult https://t.co/GfLIn5jmtF— Platypus (++) (@Platypusdefi) Martie 3, 2023
Echipa a confirmat, de asemenea, al doilea și al treilea incident, care au dus la alți 667,000 USD exploatate, aducând pierderi totale de aproximativ 9.1 milioane USD.
politia franceza a arestat doi suspecți legati de hack și a confiscat active criptografice în valoare de aproximativ 222,000 USD pe 25 februarie.
Hope Finance: 1.86 milioane USD
Câteva zile mai târziu, utilizatorii proiectului stablecoin algoritmic bazat pe arbitru, Hope Finance, a căzut pradă unui exploat de contract inteligent pe 20 februarie, în care au fost furate aproximativ 2 milioane de dolari de la utilizatori.
#CommunityAlert @hope_fin au anunțat că comunitatea a fost înșelată pentru ~ 2 milioane USD, ceea ce face ca aceasta să fie cea mai mare #exitscam pe Arbitrum în 2023.
1.86 milioane USD au fost transferați către @TornadoCash.
Hope_fin a postat pași pentru ca utilizatorii să își retragă LP-ul mizathttps://t.co/hJbFXiKujt
— CertiKAlert (@CertiKAlert) 21 Februarie 2023
Firma de securitate Web3 CertiK a semnalat incidentul pe 21 februarie, în urma unui anunț din contul de Twitter Hope Finance prin care se anunță utilizatorii despre înșelătorie.
Un membru al echipei CertiK a declarat la acel moment pentru Cointelegraph că escrocul a schimbat detaliile contractului inteligent, ceea ce a dus la scurgerea fondurilor din protocolul de geneză Hope Finance:
„Se pare că escrocul a schimbat contractul TradingHelper, ceea ce însemna că atunci când 0x4481 apelează OpenTrade pe GenesisRewardPool, fondurile sunt transferate escrocului.”
Dexible: 2 milioane de dolari
Agregatorul de schimb multilanț Dexible a fost lovit de un exploit care a vizat funcția selfSwap a aplicației, iar criptomoneda în valoare de 2 milioane de dolari a fost pierdută ca urmare a atacul din 17 februarie.
Potrivit unei postări din 18 februarie de la schimb, „un hacker a exploatat o vulnerabilitate în cel mai nou contract inteligent al nostru. Acest lucru i-a permis hackerului să fure fonduri din orice portofel care a avut o aprobare de cheltuieli necheltuită pentru contract.”
Dragă comunitate Dexible, regretăm să vă informăm că la primele ore ale zilei de 17 februarie, un hacker a exploatat o vulnerabilitate din cel mai nou contract inteligent al nostru. Acest lucru i-a permis hackerului să fure fonduri din orice portofel care a avut o aprobare de cheltuieli necheltuită pentru contract.
1/5
— Dexible (@DexibleApp) 17 Februarie 2023
După ce a investigat, echipa Dexible a descoperit că un atacator a folosit funcția selfSwap a aplicației pentru a muta cripto în valoare de peste 2 milioane de dolari de la utilizatorii care autorizaseră anterior aplicația să-și mute jetoanele.
După ce a primit jetoanele în propriul contract inteligent, atacatorul a retras monedele prin Tornado Cash în portofelele BNB necunoscute.
LaunchZone: 700,000 USD
Finanțe descentralizate bazate pe lanț BNB (DeFi) protocolul LaunchZone avea 700,000 USD valoare de fonduri scurse pe 27 februarie.
Conform pentru firma de securitate blockchain Immunefi, un atacator a folosit un contract neverificat pentru a scurge fondurile.
„O aprobare a contractului neverificat a fost făcută cu 473 de zile în urmă de către angajatorul LaunchZone”, a spus Immunefi.
Cifrele din februarie sunt o creștere semnificativă față de ianuarie, potrivit cifrelor DefiLlama.
Tracker-ul listează doar 740,000 USD în hack-uri către platformele DeFi în cursul lunii prin două protocoale – Midas Capital și ROE Finance.
În 2023 sa Raportul despre infracțiuni Crypto, firma de date blockchain Chainalysis a dezvăluit că hackerii au furat 3.1 miliarde de dolari din protocoalele DeFi în 2022l, reprezentând mai mult de 82% din suma totală furată în anul.
Sursa: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama