DeFi - "Атаки" и Безопасность

[Bohdan820]

​​Взлом DAO Maker

Совсем недавно произошёл взлом популярного лаунчпада DAO Maker. Хакер тогда смог украсть около 7-ми миллионов USDC с префаундинг контракта (новость). Тогда владельцы этого проекта предложили план компенсации всем пострадавшим (статья) и обещали, что они сменят протоколы безопасности для снижения возможности хака.

Но сегодня (меньше, чем через месяц после первого) случился второй хак: хакер взломал вестинговые контракты нескольких проектов, которые выходили на DAO Maker, и вывел оттуда все токены, сразу слив их на рынок. Всего он смог заработать 4 миллиона долларов.

После такого слива цена токенов DERC упала в 40 раз, CPD - в 8 раз, CAPS - в 4 раза и SHO - в 10 раз.

Данный хак подпортил репутацию не только самому DAO Maker, но и проектам, токены которых смогли украсть, ведь если обычный юзер зайдёт посмотреть график монеты, которую он хочет купить, и увидит подобные резкие обвалы в несколько десятков раз, то он очень усомнится в проекте, подумав, что в те моменты токены слили админы проектов, а не какой-то "хакер".

Я не знаю, какой план компенсации предложит DAO Maker (им придётся восстановить токенов на очень приличную сумму, ведь хакер сливал токены по очень низким ценам и всё же смог вытащить 4 миллиона), но я знаю наверняка, что и проекты, и новые юзеры теперь будут относиться с опаской к нему, что может сказаться как на курсе их токена DAO, так и на иксах с проектов, выходящих на их площадке.

источник: https://t.me/rektovalshik/153

[1714692443]

1714692443

[zasad@]

https://cryptonews.net/en/1635083/
"Повальное увлечение невзаимозаменяемыми токенами (NFT) в сети Solana привело к первой серьезной неудаче. Сообщается, что пользователи потеряли более 500 000 долларов на фишинговом веб-сайте, который содержал вредоносный код, который переместил все средства пользователя на адрес хакера.

Игровой проект Aurory, созданный на основе Solana, объявил о предстоящем выпуске своих NFT сегодня, 31 августа. После их первоначального выпуска пользователям обычно требуется подключить свои кошельки к контракту NFT для чеканки токенов. Однако в этом случае некоторые пользователи попали на фишинговый веб-сайт с аналогичным адресом, то есть app.aurory vs aurory (dot) app."

[safar1980]

Paзpaбoтчики пpeкpaтили paбoту нaд DeFi-пpoтoкoлoм Cover

Цeнa COVER упaлa нa 16% нa фoнe peзкoгo pocтa тopгoвыx oбъёмoв пocлe зaявлeния oднoгo из глaвныx paзpaбoтчикoв пpoтoкoлa c никoм DeFi Ted. Пpoeкт пo cтpaxoвaнию cepвиcoв в DeFi-пpocтpaнcтвe Cover Protocol и eгo кpиптoвaлютa, выпуcкaeмaя нa Ethereum, лишилиcь пoддepжки и paзвития, чтo cвязaнo c внeзaпным уxoдoм инжeнepoв из ocнoвнoй кoмaнды пpoeктa. Глaвный paзpaбoтчик DeFi Ted oбъявил o зaкpытии пpoeктa в вocкpeceньe утpoм. Ha мoмeнт этoгo зaявлeния pынoчнaя кaпитaлизaция COVER cocтaвлялa oкoлo $ 21 млн. B тeчeниe нecкoлькиx чacoв цeнa тoкeнa упaлa бoлee чeм нa 16% c $ 269 дo тeкущиx $ 217.

Источник
https://happycoin.club/razrabotchiki-prekratili-rabotu-nad-defi-protokolom-cover/

[Unsoldier]

Paзpaбoтчики пpeкpaтили paбoту нaд DeFi-пpoтoкoлoм Cover

Цeнa COVER упaлa нa 16% нa фoнe peзкoгo pocтa тopгoвыx oбъёмoв пocлe зaявлeния oднoгo из глaвныx paзpaбoтчикoв пpoтoкoлa c никoм DeFi Ted. Пpoeкт пo cтpaxoвaнию cepвиcoв в DeFi-пpocтpaнcтвe Cover Protocol и eгo кpиптoвaлютa, выпуcкaeмaя нa Ethereum, лишилиcь пoддepжки и paзвития, чтo cвязaнo c внeзaпным уxoдoм инжeнepoв из ocнoвнoй кoмaнды пpoeктa. Глaвный paзpaбoтчик DeFi Ted oбъявил o зaкpытии пpoeктa в вocкpeceньe утpoм. Ha мoмeнт этoгo зaявлeния pынoчнaя кaпитaлизaция COVER cocтaвлялa oкoлo $ 21 млн. B тeчeниe нecкoлькиx чacoв цeнa тoкeнa упaлa бoлee чeм нa 16% c $ 269 дo тeкущиx $ 217.

Источник
https://happycoin.club/razrabotchiki-prekratili-rabotu-nad-defi-protokolom-cover/

И сразу добавка к вышесказанному. Там проект назывался RULER & COVER Protocol и второй их токен RULER сейчас упал на более чем 50%. Один из разрабов написал, что оставшиеся средства будут равномерно распределены между пользователями протоколов. Компенсацию будут выплачивать после нахождения блока 13162680 по снепшоту.

Разработчики просят как можно скорее вывести свои средства из обоих протоколов, т.к. его интерфейс в скором времени не будет поддерживаться.

Источник: https://defited.medium.com/project-shutdown-cover-ruler-bb2df50e2a95

[Bohdan820]

Серия flash-loan атак на Cream Finance привела к краже $18M+ в токенах AMP и ETH

Взломщик DeFi-протокола Cream Finance вернул $17,6 млн

Хакер децентрализованного протокола Cream Finance возместил большую часть похищенных в результате недавней атаки средств в размере 5152,6 ETH ($17,6 млн на момент написания). На это обратили внимание специалисты компании в сфере блокчейн-безопасности PeckShield Inc.

https://forklog.com/haker-defi-protokola-cream-finance-vernul-17-6-mln/

[viljy]

Один из самых наглых скамов произошел вчера, примерно 12 часов назад AFK System из Polygon похитили около $12 млн. Пострадали несколько партнерских проектов. Мерзкие скамеры втерлись в доверие не только к нескольким крупным проектам, но даже и к Polygon. Накапливали TVL с августа, и спустя день после заключения партнерства с Polycat, которому порекомендовал этих Iron Finance (ну как всегда приносящий несчастье) украли абсолютно все, в том числе рыбу вкладчиков, которую продали и уронили цену. Ну и остальной TVL тоже был весь украден. В числе пострадавших также Iron, Dfyn, Gravity, Firebird... Причем, экстренный вывод средств был злонамеренно отключен!

Подробности в этой ветке: https://twitter.com/ObeliskOrg/status/1436493898180931588?s=20

И в этой: https://twitter.com/RugDocIO/status/1436440660517793798?s=20
 
Здесь картина ситуации в целом: https://patrik.finance/afksystem/

[zasad@]

Zabu Finance -3,2M

Краткий анализ взлома Zabu Finance
https://slowmist.medium.com/?p=44243919ea29

По данным SlowMist Zone, 12 сентября 2021 года проект Zabu Finance на Avalanche подвергся атаке при помощи флэш-кредита.

https://twitter.com/zabufinance/status/1436780056236331012

[zasad@]

MISO IDO platform (Хак и быстрый возврат) -865 ETH (3M)
Перевод

На платформе MISO IDO протокола SushiSwap хакер снял с аукциона NFT 864,8 ETH (что-то более 3 миллионов долларов), внедрив вредоносный код во внешний интерфейс MISO и подделав адрес аукциона. Об этом в Twitter сообщил технический директор SushiSwap Джозеф Делонг. ID транзакции хакера: https://etherscan.io/address/0x3ddd8b6d092df917473680d6c41f80f708c45395#internaltx

https://twitter.com/josephdelong/status/1438839165873967107
"100 ETH был возвращен в суши multisig. Надеясь , злоумышленник посылает остальные
https://etherscan.io/tx/0x4bfd68aaaaad03d0dd2d5b9e862e3bc4c7ee90cb85507eb85262e932c8748521"
Остальные:
https://twitter.com/AppletonDave/status/1438854505332764672
https://etherscan.io/tx/0x904e5bcb5ef9cfb19f19afd04849f3b12d17dc347d3e525072fcd139cc08cbdb

https://twitter.com/josephdelong/status/1438861783599652868
"Все денежные средства будут возвращены"

https://twitter.com/skymoon_gt/status/1438847456377192450
"Я думаю, что самые крупные хакеры - это те, кто открывают короткие позиции на биржах прямо в момент инцидента или прямо перед этим. Как только все средства будут возвращены, проверьте также и этих людей / группы. Вероятно, они зарабатывают больше денег таким образом!"

[Unsoldier]

Хакеры взломали кроссчейн-платформу pNetwork на Binance Smart Chain, было выведено токенов на $12.7 млн.

Источник: https://news.coincu.com/17261-the-latest-defi-attack-on-bsc-stole-12-7-million-in-bitcoin-from-pnetwork/

[viljy]

В Кардано подобные взломы априори исключены., потому как есть подозрение, что это не обычный взлом, а кидок со стороны основателя

Почему в кардано взломы исключены? На самом деле важный вопрос. Как только в сеть приходят люди и деньги везде начинаются скамы. В кардано есть какая-то защита или особенность архитектуры? Мало знаю о кардано.

[Woodman]

В Кардано подобные взломы априори исключены., потому как есть подозрение, что это не обычный взлом, а кидок со стороны основателя

Почему в кардано взломы исключены? На самом деле важный вопрос. Как только в сеть приходят люди и деньги везде начинаются скамы. В кардано есть какая-то защита или особенность архитектуры? Мало знаю о кардано.

На уровне сети взломы исключены за счет децентрализации, если рассматривать взлом дефи проектов то без разницы на чем он построен, эфир, полигон или кардано - всех ломают тем или иным способом.

[viljy]

А вслед пострадала лендинговая платформа Vee.Finance, похудевшая на 8804,7 WETH и 213,93 WBTC, которые в совокупности  стоят 35 лимонов баксов. Походу Vee.Finance следует принять новое лого - ни дня без взлома.  В Кардано подобные взломы априори исключены., потому как есть подозрение, что это не обычный взлом, а кидок со стороны основателя

https://twitter.com/VeeFinance/status/1440102406499356675

По этому взлому вчера появилась статья: https://www.rekt.news/veefinance-rekt/
Кому интересно почитайте.

[zasad@]

Лидеры взломов
https://www.rekt.news/leaderboard/

Ссылки в 1 посте обновлены

[Texac]

я вообще не с давних времен в дефи, но понял, что их перед тем вкадить денег, нужно мониторить по сильнее, чем другие проекты. потерял не мало на них денег.

[CryptoBitCoins]

я вообще не с давних времен в дефи, но понял, что их перед тем вкадить денег, нужно мониторить по сильнее, чем другие проекты. потерял не мало на них денег.

Когда успели то? Если вы пишите что "вообще не с давних времен в дефи", и "потерял не мало на них денег." Какая-то несуразица. Или пост для количества?

[Bohdan820]

Обновление протокола Compound содержало ошибку, из-за которой пользователи смогли потребовать большое количество токенов COMP в качестве вознаграждения.

Ошибка позволила некоторым пользователям потребовать уже около 168000 токенов COMP на сумму около 50 миллионов долларов.

https://www.theblockcrypto.com/linked/119086/compound-bug-comp-risk-misreward?utm_source=cryptopanic&utm_medium=rss

UPD. на. русском хорошо расписал дефискамчек - https://t.me/Defiscamcheck/2137

[Bohdan820]

Обновление протокола Compound содержало ошибку, из-за которой пользователи смогли потребовать большое количество токенов COMP в качестве вознаграждения.

Ошибка позволила некоторым пользователям потребовать уже около 168000 токенов COMP на сумму около 50 миллионов долларов.

https://www.theblockcrypto.com/linked/119086/compound-bug-comp-risk-misreward?utm_source=cryptopanic&utm_medium=rss

UPD. на. русском хорошо расписал дефискамчек - https://t.me/Defiscamcheck/2137

CEO Compound умоляет пользователям вернуть деньги

CEO Compound Роберт Лешнер начал угрожать сообществу налоговой службой, если пользователи не вернут средства обратно на указанный кошелек, но разрешил оставить 10% суммы.
«Оставьте 10% в качестве вознаграждения. В противном случае это будет отражено как доход в налоговом управлении, и большинство из вас будут оштрафованы», — заявил CEO Compound.

источник: https://t.me/incrypted/11024

[dwyane36]

Походу в существующих Defi  протоколах содержится огромное множество таких ошибок.

Многие проекты имеют ошибки в коде, не только дефи. Собственно говоря, поэтому некоторые разработчики и делают баг-баунти. Проблема в том, что хакерам явно интереснее своровать несколько миллионов баксов, а не получать пару десятков тысяч баксов за нахождение критических уязвимостей в коде.

[Smartprofit]

Обновление протокола Compound содержало ошибку, из-за которой пользователи смогли потребовать большое количество токенов COMP в качестве вознаграждения.

Ошибка позволила некоторым пользователям потребовать уже около 168000 токенов COMP на сумму около 50 миллионов долларов.

https://www.theblockcrypto.com/linked/119086/compound-bug-comp-risk-misreward?utm_source=cryptopanic&utm_medium=rss

UPD. на. русском хорошо расписал дефискамчек - https://t.me/Defiscamcheck/2137

CEO Compound умоляет пользователям вернуть деньги

CEO Compound Роберт Лешнер начал угрожать сообществу налоговой службой, если пользователи не вернут средства обратно на указанный кошелек, но разрешил оставить 10% суммы.
«Оставьте 10% в качестве вознаграждения. В противном случае это будет отражено как доход в налоговом управлении, и большинство из вас будут оштрафованы», — заявил CEO Compound.

источник: https://t.me/incrypted/11024

Да, очень неоднозначное заявление.

Не понятно как связаны эти вещи - возврат неосновательного обогащения в виде излишне полученных токенов и признание их получения налогооблагаемым доходом.

Первое это вопрос гражданского права, второе - вопрос налогового администрирования.

CEO Compound какой-то малограмотный, сам себя под уголовную статью подводит. Обещает помочь пользователям уйти от уплаты налогов, если они выполнят определенные действия (которые относятся к гражданско-правовым отношениям между компанией Compound и физическими лицами).

Уклонение от уплаты налогов это во всех странах серьезное преступление, а тут еще совершенное группой лиц по предварительному сговору.

По хорошему незаконно полученное нужно возвращать, но учитывая CEO неадеквата, вероятно многие предпочтут послать его подальше и не связываться с неадекватом. Такой и себя утопит, и других заодно.

[Bohdan820]

Обновление протокола Compound содержало ошибку, из-за которой пользователи смогли потребовать большое количество токенов COMP в качестве вознаграждения.

Ошибка позволила некоторым пользователям потребовать уже около 168000 токенов COMP на сумму около 50 миллионов долларов.

https://www.theblockcrypto.com/linked/119086/compound-bug-comp-risk-misreward?utm_source=cryptopanic&utm_medium=rss

UPD. на. русском хорошо расписал дефискамчек - https://t.me/Defiscamcheck/2137

CEO Compound умоляет пользователям вернуть деньги

CEO Compound Роберт Лешнер начал угрожать сообществу налоговой службой, если пользователи не вернут средства обратно на указанный кошелек, но разрешил оставить 10% суммы.
«Оставьте 10% в качестве вознаграждения. В противном случае это будет отражено как доход в налоговом управлении, и большинство из вас будут оштрафованы», — заявил CEO Compound.

источник: https://t.me/incrypted/11024

Смарт-контракт Compound был взломан

Злоумышленник смог воспользовался ошибкой в контракте Compound Comptroller, который является частью протокола, распределяющий вознаграждения за фарминг среди пользователей.

В результате было выведено 202 472 COMP (около $66M на данный момент).
https://twitter.com/bantg/status/1444681295976620036
источник: https://t.me/Crypto_SerJo/70