DeFi - "Атаки" и Безопасность

[Polkeins]

https://debank.com/stream/144395

Интересно к чему это?

Просто интересно а бывают дни без взломов\рагпулов\скамов в дефи? Судя по новостям один\два взлома в день это минимум без которого не обходится. Поэтому может кто следит за темой скажет в чем смысл сидеть там и нести деньги, если там такой процент скама и взлома?
Есть какое-то рациональное зерно в этом?

Взломы дефи проектов в различных сетях действительно происходят довольно-таки часто, но явно не каждый день. Вообще, если учитывать общее количество взломов с января по июль этого года, то получается, что в среднем каждый месяц происходит примерно по 6 взломов. Ну, а причин, почему люди продолжают нести и держать деньги в дефи проектах может быть масса. Например, кто-то просто хочет получать пассивных доход, но не хочет использовать для этого централизованные биржи.

6 в месяц это довольно много, за год 72 натекает. Причем там есть и большие взломы на десятки и сотни миллионов и все спокойны. Вон Атомик валлет частично скаманулся так вой поднялся такой, что аж до форума добрался. Там всего 4% от общих активов было, а тут прям бывает по 99% активов в ноль и тишина.
Видимо нормально так денег отмывают там, что никто особо внимания не обращает.
Пассивный доход можно и в стейкинге получить, на биржах есть разные варианты в долг отдать под проценты. Причем на кошельках стейкинг в среднем 5-9%, но можно и под 20% найти, если не боишься.

[1714515542]

1714515542

[1714515542]

1714515542

[dwyane36]

6 в месяц это довольно много, за год 72 натекает. Причем там есть и большие взломы на десятки и сотни миллионов и все спокойны. Вон Атомик валлет частично скаманулся так вой поднялся такой, что аж до форума добрался. Там всего 4% от общих активов было, а тут прям бывает по 99% активов в ноль и тишина.
Видимо нормально так денег отмывают там, что никто особо внимания не обращает.

К концу года количество взломов может быть как больше, так и меньше. Зависит от того, сохранится ли текущая тенденция в последующие месяца или нет. Для сравнения, за прошлый год было вроде бы всего 58 взломов дефи проектов в различных сетях и, если я не ошибаюсь, прошлый год стал рекордным по общему объему украденных средств (~3,3млрд баксов).

[Alice_Sit]

Неплохой скам репорт за июнь
https://blog.hashex.org/scam-report-june-2023-6256aa2850e8?source=collection_home---4------0-----------------------

[Unsoldier]

PeckShieldAlert подвели итоги по атакам на крипто проекты за первое полугодие 2023 года.

В первом полугодии 2023 года в Web3-пространстве произошло более 395 крупных взломов (386 атак на DeFi). Потери составили около 479,4 млн долларов.

Просмотреть отчеты с инфографиками можно по ссылкам:

https://twitter.com/PeckShieldAlert/status/1680897837947813894
https://twitter.com/PeckShieldAlert/status/1680897839734620161
https://forklog.com/news/analitiki-podschitali-chislo-hakerskih-atak-na-kriptoproekty-za-polgoda

[Polkeins]

PeckShieldAlert подвели итоги по атакам на крипто проекты за первое полугодие 2023 года.

В первом полугодии 2023 года в Web3-пространстве произошло более 395 крупных взломов (386 атак на DeFi). Потери составили около 479,4 млн долларов.

Просмотреть отчеты с инфографиками можно по ссылкам:

https://twitter.com/PeckShieldAlert/status/1680897837947813894
https://twitter.com/PeckShieldAlert/status/1680897839734620161
https://forklog.com/news/analitiki-podschitali-chislo-hakerskih-atak-na-kriptoproekty-za-polgoda

Вот что и требовалось доказать. Больше одного в день получается, значит ощущение не обманывает. Хоть dwyane36 и писал что всего 58 крупных взломов в прошлом году было , но видимо теперь раскачались получше.
Потери вроде небольшие 500 мультов около 1.2-1.3 млн за взлом, но это деньги которые у людей украли и обычно если например ломают кошелек (типа атомика) и урон там пара десятков мультов, то все кошелек хоронят, стоит вой и все, будущего уже считай у проекта нет, а тут по одному-двум взломам в день происходит и ничего, никто вроде не парится.
В общем есть стойкое ощущение, что дефи используется для распила бабла и потом все выдается под "взлом".

[dwyane36]

PeckShieldAlert подвели итоги по атакам на крипто проекты за первое полугодие 2023 года.

В первом полугодии 2023 года в Web3-пространстве произошло более 395 крупных взломов (386 атак на DeFi). Потери составили около 479,4 млн долларов.

Просмотреть отчеты с инфографиками можно по ссылкам:

https://twitter.com/PeckShieldAlert/status/1680897837947813894
https://twitter.com/PeckShieldAlert/status/1680897839734620161
https://forklog.com/news/analitiki-podschitali-chislo-hakerskih-atak-na-kriptoproekty-za-polgoda

Вот что и требовалось доказать. Больше одного в день получается, значит ощущение не обманывает. Хоть dwyane36 и писал что всего 58 крупных взломов в прошлом году было , но видимо теперь раскачались получше.
Потери вроде небольшие 500 мультов около 1.2-1.3 млн за взлом, но это деньги которые у людей украли и обычно если например ломают кошелек (типа атомика) и урон там пара десятков мультов, то все кошелек хоронят, стоит вой и все, будущего уже считай у проекта нет, а тут по одному-двум взломам в день происходит и ничего, никто вроде не парится.
В общем есть стойкое ощущение, что дефи используется для распила бабла и потом все выдается под "взлом".

Любопытная инфографика. Обратите внимание на то, что основная масса взломов(почти 300) произошла в сети bnb и потери там всего 34 млн баксов, в то время как в эфире произошло менее 75 взломов, но потери составили почти 287 млн баксов за этот же период времени. Фактически, в этом году хакеры украли пока значительно меньше средств, если сравнивать с прошлогодними данными.

[zasad@]

https://cointelegraph.com/news/multichain-was-a-big-blow-says-andre-cronje-as-fantom-tvl-slumps
TVL Fantom упал с более чем 364 миллионов долларов в начале мая до примерно 70 миллионов долларов на 14 июля. На пике в 2022 ТVL Fantom превысил 7,5 миллиардов долларов.

"Соучредитель сети Fantom Андре Кронье сказал, что недавний крах Multichain стал «большим ударом» по платформе смарт-контрактов, активность которой за последние несколько недель резко снизилась.
Волновой эффект проблем Multichain также затронул кредитный протокол Geist Finance, который был вынужден навсегда закрыться из-за убытков от эксплойта."

[zasad@]

https://cointelegraph.com/news/eth-curve-omnipool-platform-conic-finance-hacked-for-3-2-million-in-eth
Gлатформа Curve Conic Finance взломана на 3,2 миллиона долларов в монетах ETH
Согласно первоначальному анализу Peckshield, основной причиной взлома Conic Finance был новый смарт контракт CurveLPORacleV2.

В настоящее время команда изучает эксплойт и будем делиться новостями по мере их появления
https://twitter.com/ConicFinance/status/1682346727578255360?s=20

[madnessteat]

" Сезон взломов на ZKsync объявляется открытым

Первый пострадавший - Era Lend.

Транзакция взлома на $1.7M USDC:

https://explorer.zksync.io/tx/0x99efebacb3edaa3ac34f7ef462fd8eed85b46be281bd1329abfb215a494ab0ef

Вероятная - причина в используемом коллатериале LP токенах протокола synсswap, где ошибка двойного reentrance - возможность сжигания токена перед вызовом функции update_reserves, что привело к неправильному трактованию стоимости резервов и манипуляции с ценой LP токенов по ораклу.

Ущерб оценивается в $2.7M USDC.

https://twitter.com/spreekaway/status/1683817944470396928 "

Источник: https://t.me/Defiscamcheck/3101

[baeva]

Не уверена, что это подходит под тему топика, но первый раз такое вижу, как никак децентрализованные финансы .

Сегодня появился один "интересный" токен - $PNDX. С виду обычный щиток, ничего в нем особенного, но... Через контракт этого токена можно совершенно спокойно украсть токены(только PNDX) с чужого кошелька и продать их, никаких препятствий абсолютно. В последние несколько часов газ в эфире сильно вырос, так что если задаетесь вопросом почему - то вот ответ, сейчас в наглую люди играются, воруя друг у друга токены(и у обычных работяг тоже) пытаясь их быстро продать, игра свеч прям

[madnessteat]

" Curve пулы alETH / msETH / pETH, использовавшие Vyper 0.2.15, были взломаны в результате недолжного функционирования reentrancy lock (ошибки повторной траты).

Совокупный ущерб превысил $24M:

https://twitter.com/shoucccc/status/1685688647637725184

$11M - JpegD, $13M - Alchemix - крупнейшие жертвы. "

Источник: https://t.me/Defiscamcheck/3103


" Curve пул CRV/ETH обчистили на $21M (7680ETH, 7,2M CRV)

https://etherscan.io/tx/0x2e7dc8b2fb7e25fd00ed9565dcc0ad4546363171d5e00f196d48103983ae477c

Фаундер Curve подтвердил факт хака и уточнил, что они не успели первыми обезопасить пул. "

Источник: https://t.me/Defiscamcheck/3104

[dwyane36]

" Curve пулы alETH / msETH / pETH, использовавшие Vyper 0.2.15, были взломаны в результате недолжного функционирования reentrancy lock (ошибки повторной траты).

Не только 0.2.15, другие версии компилятора Vyper (0.2.16 и 0.3.0) так же были подвержены данной уязвимости, а если быть точнее, то контракты curve были уязвимы при вызове функции raw_call. Кстати, примечательно, что Джастин Сан решил помочь главе curve finance в этой ситуации и выкупил у него 5 млн crv за 2 млн usdt, т.е. по 40 центов за токен. Помимо этого, Сан анонсировал партнерство tron и curve, которое предполагает интеграцию пула ликвидности для stusdt.

[madnessteat]

" Хакеру Curve предложили сделку

Платформы Curve, Metronome и Alchemix, предложили хакеру награду в размере 10% от украденных средств, с просьбой вернуть остальное.

Соответственно, если злоумышленник примет предложение, то ему гарантируют отсутствие дальнейшего юридического преследования.

На сегодняшний день известно, что было украдено около $70 млн. "

Источники: https://t.me/evans_crypto/6422, https://twitter.com/curvefinance/status/1687180381714358272?s=46&t=BKJm2kORj-jQHlRZoxyxQw.

[Unsoldier]

Хакер взломал децентрализованную биржу Cypher на базе Solana и вывел около $1 млн в криптовалютах.

Команда проекта заморозила смарт-контракты протокола и начала расследование. Разработчики также предложили хакеру выйти на связь для обсуждения возможности возврата средств.

Источник: https://forklog.com/news/dex-cypher-poteryala-1-mln-v-rezultate-vzloma

[zasad@]

https://www.theblock.co/post/243464/curve-exploit-identity-bounty
"Злоумышленник, который атаковал пул alETH-ETH Alchemix на Curve, вернул все 22 миллиона долларов. Возвращено более 12 000 ETH. Кроме того, вмешательство «белых шляп» успешно предотвратило ограбление сумму 13 миллионов долларов.

Лицо, ответственное за взлом пула pETH-ETH компании JPEGd, вернуло 90% украденных активов на сумму 5 495 ETH (11,5 млн долларов США).

Кроме того, средства, незаконно присвоенные из пула sETH-ETH Metronome и основного пула CRV-ETH Curve Finance, в общей сложности около 7 миллионов долларов, были возвращены оператором бота MEV под именем c0ffeebabe.eth. PeckShield указала, что украденные средства в размере 19,7 млн ​​долларов еще не возвращены."

[Polkeins]

Рубрика не дня без взлома пополняется каждый день и ведь все равно продолжают люди упорно искать счастья в дефи-проектах, как будто вокруг альтернатив нет.
Хотелось бы выложить фрагмент из телеграм канала imhoneer (сам он на форуме к сожалению практически перестал писать) потому что мысли здравые и в общем сам склонюсь к таким же выводам, но к сожалению сформулировать также хорошо не могу

"Главная проблема DeFi не в процентах. А в том, что достаточно вложить всего 5%-10% в ненадежный проект, привлекающий высокой доходностью, чтобы потерять вообще всё, что можно заработать вкладывая остальные 90-95% в надежные проекты. При том что надёжные проекты тоже имеют риски.

Аудиты не спасают, потому что там работают либо не особо квалифицированные программисты, либо нет времени полностью погрузиться в логику работы проекта.
Сейчас идет резкая потеря доверия в DeFi, потому что последние хаки показывают, что разрабатывают протоколы и даже повсеместно используемые компиляторы со всяких Python на Solidity не вполне компетентные программисты. И открытый исходный код становится не преимуществом, а главной причиной опасности.

Всегда можно держаться только надежных проектов, где APR 5%-10% в среднем. И надеяться, что снова не будет хакнут, тот же Curve и не будет цепной реакции. Но если здесь говорим о росте DeFi в целом, то может ли такой подход вызвать рост? Особенно когда большинство продолжает прыгать между проектами однодневками и потом потеряв деньги начинают распространять недоверие к DeFi в целом.
Поэтому лучшим подходом, на мой взгляд, является хранение своих средств только на своём кошельке и не гнаться за дополнительными 5%-15% годовых рискуя всем".
https://t.me/imho_idea

[Cryptmuster]

DeFi-протокол Zunami в ходе эксплойта потерял $2,1 млн. Аналитики PeckShield отметили, что атака произошла благодаря манипулированию ценами, из-за чего произошел неправильный расчет курсов активов. По данным экспертов, хакер уже направил украденные средства в миксер Tornado Cash.

Представители проекта добавили, что атака произошла на протокол стейблкоинов zStables. Команда Zunami рекомендовала на время воздержаться от покупки zETH и UZD. Основатель компании по безопасности SlowMist Сянь Юй рассказал в X (ранее Twitter), что его фирма обнаружила уязвимость еще два месяца назад и проинформировала об этом протокол.

«К сожалению, это общение стало неприятным опытом… Оглядываясь назад, кажется, что можно было бы избежать [взлома]», — заявил он.

[dwyane36]

Дефи протокол RocketSwap в сети Base взломали на 471 эфира (870k баксов на данный момент). Пишут, что команде проекта пришлось использовать офлайн-подписи при развертывании лаунчпада и размещении приватных ключей на сервере. Хакер якобы взломал сервер с помощью обычного брутфорса, а из-за прокси-контракта, использовавшегося для фарм-контракта, было получено множество разрешений с высокой степенью риска, что привело к передаче фарм-активов.

[zasad@]

https://www.theblock.co/post/246196/exactly-protocol-exploited-7-million-optimism-layer-2-network
Exact Protocol потерял более 7 миллионов долларов в экосистеме Optimism

"Эксплойт, обнаруженный аналитическими компаниями BlockSec и Beosin, привел к убыткам в размере более 4300 ЕТН (7,3 миллиона долларов).

Злоумышленник воспользовался уязвимостью в смарт-контрактах Exactly Protocol, что привело к значительным потерям. Подробности эксплойта пока не разглашаются."

[Cryptmuster]

https://www.theblock.co/post/246196/exactly-protocol-exploited-7-million-optimism-layer-2-network
Exact Protocol потерял более 7 миллионов долларов в экосистеме Optimism

"Эксплойт, обнаруженный аналитическими компаениями BlockSec и Beosin, привел к убыткам в размере более 4300 ЕТН (7,3 миллиона долларов).

Злоумышленник воспользовался уязвимостью в смарт-контрактах Exactly Protocol, что привело к значительным потерям. Подробности эксплойта пока не разглашаются."

А форклог уже пишет о более 7160 ETH (~$12 млн на момент написания).  Компания блокчейн-безопасности PeckShield сообщила, что атака еще продолжается.

Взломщик вывел средства тремя транзакциями по 910 ETH, 226 731 USDC и еще 2,64 млн USDC. Эксперты предположили, что в будущем могут обнаружить дополнительные украденные активы.

Хакер уже перевел 1500 ETH (~$2,5 млн) через мост с помощью Across Protocol.