Повторный вход, атаки ценовых оракулов и эксплойты в семи протоколах привели к тому, что в феврале пространство децентрализованных финансов (DeFi) потеряло не менее 21 миллиона долларов в криптовалюте.
Согласно платформе аналитики данных DefiLlama, ориентированной на DeFi, одной из крупнейших атак в этом месяце стала повторная атака на Platypus Finance, которая привела к потере 8,5 млн долларов.
DefiLlama выделил шесть других заслуживающих внимания взломов в этом месяце, первым из которых стала атака ценового оракула на BonqDAO 1 февраля.
BonqDAO: 1,7 миллиона долларов
BonqDAO сообщил своим подписчикам в сообщении от 1 февраля, что его протокол Bonq подвергся атаке оракула, которая позволила злоумышленнику манипулировать ценой токена AllianceBlock (ALBT).
Эксплуататор увеличил цену ALBT и выпустил большое количество BEUR. Затем BEUR был заменен на другие токены на Uniswap. Затем цена была снижена почти до нуля, что повлекло за собой ликвидацию запасов ALBT.
Компания по обеспечению безопасности блокчейна PeckShield оценила убытки примерно в 120 миллионов долларов, однако позже выяснилось, что хакеры, как сообщается, обналичили только около 1 миллиона долларов из-за отсутствия ликвидности на BonqDAO.
Протокол Ориона: 3 миллиона долларов
Всего через день децентрализованная биржа Orion Protocol 2 февраля понесла убытки в размере около 3 миллионов долларов в результате повторной атаки, когда злоумышленники использовали вредоносный смарт-контракт для вывода средств из цели с повторными заказами на вывод средств.
Генеральный директор Orion Protocol Алексей Колосков тогда подтвердил атаку, заверив всех: «Средства всех пользователей в безопасности».
«У нас есть основания полагать, что проблема возникла не из-за каких-либо недостатков в коде нашего основного протокола, а, скорее, могла быть вызвана уязвимостью при смешивании сторонних Libraries в одном из смарт-контрактов, используемых нашими экспериментальными и частными брокерами.,” он сказал.
Сеть dForce: 3,65 миллиона долларов.
Сеть dForce протокола DeFi стала еще одной февральской жертвой повторной атаки, в результате которой убытки составили около 3,65 миллиона долларов.
В сообщении от 10 февраля dForce подтвердил эксплойт;однако, как ни странно, все средства были возвращены, когда хакер выступил в роли белого хакера.
«13 февраля 2023 года использованные средства были полностью возвращены нашей мультиподписи как на Arbitrum, так и на Optimism, что стало идеальным завершением для всех», — сказал dForce.
Platypus Finance: 9,1 миллиона долларов
16 февраля протокол DeFi Platypus Finance подвергся атаке мгновенного кредита, в результате чего из протокола было выведено 8,5 миллиона долларов.
В отчете о вскрытии от аудитора Platypus Omniscia отмечается, что атака стала возможной из-за кода в неправильном порядке.
23 февраля команда объявила, что они стремятся вернуть около 78% средств основного пула путем повторного выпуска замороженных стейблкоинов.
Команда также подтвердила второй и третий инциденты, в результате которых было использовано еще 667 000 долларов, что привело к общим потерям около 9,1 миллиона долларов.
Французская полиция арестовала двух подозреваемых в причастности к взлому и 25 февраля изъяла криптовалютные активы на сумму около 222 000 долларов.
Хоуп Финанс: 1,86 миллиона долларов
Несколько дней спустя пользователи алгоритмического проекта стабильной монеты, основанного на арбитраже, Hope Finance, 20 февраля стали жертвой эксплойта смарт-контракта, в результате которого у пользователей было украдено около 2 миллионов долларов.
Компания CertiK, занимающаяся безопасностью Web3, отметила инцидент 21 февраля после объявления из учетной записи Hope Finance Twitter, уведомляющего пользователей о мошенничестве.
В то время член команды CertiK сообщил Cointelegraph, что мошенник изменил детали смарт-контракта, что привело к сливу средств из протокола генезиса Hope Finance:
«Похоже, мошенник изменил контракт TradingHelper, что означало, что когда 0x4481 вызывает OpenTrade на GenesisRewardPool, средства переводятся мошеннику».
Гибкий: 2 миллиона долларов
Агрегатор многосетевых бирж Dexible пострадал от эксплойта, нацеленного на функцию selfSwap приложения, при этом криптовалюта на сумму 2 миллиона долларов была потеряна в результате атаки 17 февраля.
Согласно сообщению биржи от 18 февраля, «хакер воспользовался уязвимостью в нашем новейшем смарт-контракте. Это позволило хакеру украсть средства из любого кошелька, у которого было неизрасходованное разрешение на трату по контракту».
После расследования команда Dexible обнаружила, что злоумышленник использовал функцию selfSwap приложения для перемещения криптовалюты на сумму более 2 миллионов долларов от пользователей, которые ранее разрешили приложению перемещать свои токены.
Получив токены в собственный смарт-контракт, злоумышленник вывел монеты через Tornado Cash на неизвестные кошельки BNB.
LaunchZone: 700 000 долларов
27 февраля в протоколе децентрализованного финансирования (DeFi) на основе сети BNB LaunchZone были выведены средства на сумму 700 000 долларов.
По данным компании Immunefi, занимающейся безопасностью блокчейна, злоумышленник использовал непроверенный контракт для вывода средств.
«Утверждение непроверенного контракта было сделано 473 дня назад развертывателем LaunchZone», — сказал Иммунефи.
Связанный с этим: убытки от эксплойтов криптовалюты в январе снизились почти на 93% в годовом исчислении
По данным DefiLlama, февральские цифры резко выросли по сравнению с январскими.
Трекер перечисляет всего 740 000 долларов в результате взлома платформ DeFi за месяц по двум протоколам — Midas Capital и ROE Finance.
В своем отчете о преступлениях в области криптовалюты за 2023 год компания Chainalysis, занимающаяся данными блокчейна, сообщила, что хакеры украли 3,1 миллиарда долларов из протоколов DeFi в 2022 году, что составляет более 82% от общей суммы, украденной за год.
