DeFi - "Атаки" и Безопасность

[Bagiira]

Новая вредоносная программа Shamos, разработанная группировкой COOKIE SPIDER, крадет данные криптокошельков с устройств на macOS, сообщили специалисты работающей в области кибербезопасности компании CrowdStrike.

С конца июня Shamos успела заразить более трехсот компаний по всему миру. Жертв заманивают через рекламу или фальшивые хранилища на GitHub, обещая инструкции по решению популярных проблем macOS — например, со сбоями принтера или безопасностью системы.


На сайтах с адресами вроде mac-safer.com или rescue-mac.com хакеры публикуют инструкции, где предлагают посетителям скопировать команду для исправления ошибок. После того как жертва загружает команду, та загружает Shamos в систему. Скрипт собирает пароли, ищет файлы криптокошельков и данные о финансовых транзакциях, рассказали представители CrowdStrike.


После сбора информации вредоносная программа создает архив и отправляет его на сервер злоумышленников. Для разработки Shamos мошенники использовали искусственный интеллект, уточнили специалисты по безопасности. Они рекомендовали с осторожностью относиться к проектам на GitHub — злоумышленники активно используют платформу для распространения вредоносных программ. При проблемах с macOS следует обращаться за помощью на официальные форумы Apple и к службам поддержки, а не загружать неизвестные файлы по рекламным ссылкам из Google, резюмировали представители CrowdStrike.



Источник: https://bits.media/novaya-vredonosnaya-programma-nachala-krast-dannye-kriptokoshelkov-na-macos/

[xandry]

Новая вредоносная программа Shamos, разработанная группировкой COOKIE SPIDER, крадет данные криптокошельков с устройств на macOS, сообщили специалисты работающей в области кибербезопасности компании CrowdStrike.

С конца июня Shamos успела заразить более трехсот компаний по всему миру.

Как интригующе и устрашающе всё начиналось, а в итоге свелось к банальному фишингу и запуску скрипта вручную. Там даже скрипт сложный не надо, просто базовые команды типа загрузка, поиска по маске, архивация и выгрузка на какой-нибудь удалённый сервер.
Занятно, что "Для разработки Shamos мошенники использовали искусственный интеллект", а вот пользователи с популярными проблемами сделать обратное, то есть попробовать решить проблемы с помощью ИИ не догадались. Или хотя бы могли у ИИ спросить, безопасно ли пользоваться инструкцией с сайта...

[baeva]

JS инфра опять пострадала. В этот раз задели старые JS пакеты - debug и chalk, первый в неделю скачивают 357млн раз, второй не сильно меньше - 299млн, но это не единственные пакеты, которые подверглись атаке. Скрипт внедрятеся в любую страницу, где есть JS код, проверяет наличие кошелька Ethereum и при попытке отправки любой транзакции подменяет адрес кошелька. Уязвимым может оказаться любой сайт, который обновлял пакеты в последнее время, будьте внимательны

https://github.com/debug-js/debug/issues/1005
https://github.com/chalk/chalk/issues/656

[Numeral]

Недавно протокол Yala подвергся попытке атаки, которая на короткое время повлияла на привязку YU. Благодаря быстрому сотрудничеству с SlowMist и непосредственно партнерами по безопасности удалось выявить проблему и уже начать внедрение апдейтов для приведения в порядок системы. Все ресурсы пользователей остаются в безопасности.


Из-за уязвимости «transferFrom» на сети Base произошел ущерб примерно на 90 тыс $ (рекомендуется немедленно отозвать все разрешения для неизвестного контракта: 0xD9f4a3238154ff6439e37F98c9B11489353715Bb).

[Bagiira]

Мост Shibarium криптопроекта Shiba Inu подвергся взлому

Злоумышленник применил атаку мгновенного займа, получив контроль над 10 из 12 ключей валидатора, и смог вывести из сети ETH и SHIB на общую сумму $2,4 млн, взяв займ в токенах BONE на сумму $4,6 млн, а получив контроль над ключами, опустошил контракт моста, выведя из него 224,57 ETH и 92,6 млрд SHIB.
Команда Shiba Inu выразила готовность вести переговоры с хакером, пообещав не выдвигать против него обвинения, если средства будут возвращены за вознаграждение.


Источник: https://bits.media/khaker-vzlomal-most-shibarium-i-vyvel-kriptoaktivy-na-2-4-mln/

[Numeral]

Abracadabra Money снова подверглись хакерской атаке. Потеряно около 1,7 млн $. Все украденные средства были переведены в Tornado Cash. Стоит напомнить, что в конце марта в результате атаки на токен MIM было потеряно 6 261,13 ETH (~12,9 млн $ на тот момент). Abracadabra подтвердили взлом и готовы были предоставить хакерам 20% от общего количества украденных средств в качестве награды. В общем за полгода дважды взломаны, в первый раз, конечно, на порядки жестче было чем сейчас.

[zasad@]

https://x.com/PeckShieldAlert/status/1973637096251465871
PeckShield:  В сентябре хакеры украли криптовалюты на $127,000,000+.

"ТОП-5 взломов:

🔺 #UXLINK – $44.14M
🔺 #SwissBorg – $41.5M
🔺 A user of Venus – $13.5M
🔺 #Yala – $7.64M
🔺 #GriffAI – $3M"

[Unsoldier]

DEX Bunni закрылась после взлома на $8,4 млн

Команда децентрализованной биржи Bunni объявила о прекращении работы. Причиной стал взлом на $8,4 млн, после которого у проекта не осталось средств на безопасный перезапуск.

Злоумышленник использовал ошибку округления в функции вывода средств в смарт-контракте. Похищенные активы он отмыл через миксер Tornado Cash. Команда сотрудничает с правоохранителями и предложила хакеру 10% в качестве вознаграждения за возврат оставшихся средств.

Представители Bunni заверили, что пользователи по-прежнему смогут выводить активы с платформы до дальнейших уведомлений. Оставшиеся средства из казны распределят между держателями токенов BUNNI, LIT и veBUNNI на основе снэпшота после юридической проверки.

Источник: https://forklog.com/news/dex-bunni-zakrylas-posle-vzloma-na-8-4-mln

[Numeral]

Garden Finance, вероятно, была взломана на сумму более 10,8 млн долларов в нескольких сетях.

Адрес, связанный с командой, отправил сообщение предполагаемому злоумышленнику, предлагая 10% вознаграждение за обнаружение уязвимости. Все замороженные активы были быстро обменены.

Сами Garden Finance пишут, что они обнаружили утечку. Приложение временно отключено, пока они проводят полное расследование. Средства пользователей и протокол Garden не подвергаются риску. Они сообщат об обновлениях, как только у них появится больше информации.

[Altryist]

DeFi-протокол Balancer подвергся взлому на $116 млн. Неизвестные взломали децентрализованный протокол Balancer. По последним данным, хакеры вывели по меньшей мере $128 млн. Специалисты Nansen одними из первых зафиксировали подозрительные переводы токенов WETH, osETH и wstETH на новый кошелек.

На момент написания атака продолжается сразу в нескольких сетях, в которых развернут проект. Его команда пока не прокомментировала произошедшее. 

Соучредитель и гендиректор Trading Strategy Микко Охтамаа предположил, что причиной стала ошибка в проверке смарт-контракта. Однако он добавил, что одновременно наблюдаются транзакции, которые изменяют внутренний учет балансов.

Взлом затронул не все версии Balancer — только v2.

По данным Cyvers, хакеры приступили к отмыванию средств через Tornado Cash.

[Unsoldier]

Port3 Network был взломан. Хакер добыл 1 млрд токенов PORT3 и начал их продавать.

Источник: https://x.com/bwenews/status/1992343541474009513

Команда Port3 Network объявила о миграции токенов, чтобы обеспечить стабильность экосистемы и защитить активы пользователей. Токены команды будут сожжены, чтобы компенсировать несанкционированный минт.

Подробнее о плане миграции: https://x.com/Port3Network/status/1992582528822391031

[klarki]

DeFi-протокол Balancer подвергся взлому на $116 млн. Неизвестные взломали децентрализованный протокол Balancer. По последним данным, хакеры вывели по меньшей мере $128 млн. Специалисты Nansen одними из первых зафиксировали подозрительные переводы токенов WETH, osETH и wstETH на новый кошелек.

Balancer представил план возмещения после взлома на $128 млн:

Команда DeFi-протокола Balancer предложила распределить около $8 млн среди участников сообщества, пострадавших от хакерской атаки. 

Согласно заявлению, указанную сумму удалось вернуть благодаря белым хакерам и другим операциям. В общей сложности «спасли» примерно $28 млн, но представленные в виде osETH и osGNO $19,7 млн заблокированы в протоколе ликвидного стейкинга StakeWise.

Источники: https://forum.balancer.fi/t/rfc-distribution-of-rescued-funds-from-balancer-v2-november-3rd-2025-attacks/6883

[Unsoldier]

$3 миллиона в ETH отправлены в Tornado Cash после предполагаемой атаки на Yearn’s yETH

Протокол доходности Yearn Finance, по всей видимости, стал целью атаки, в результате которой были выкачаны миллионы долларов в ликвидных стейкинг-токенах (LST) из его продукта Yearn Ether (yETH) — агрегатора популярных LST в один индексный актив.

Ончейн-данные показывают, что пул yETH был фактически опустошён через тщательно подготовленный эксплойт, позволивший атакующему заминтить почти бесконечное количество yETH и вывести ликвидность одной транзакцией. В рамках этой же транзакции 1,000 ETH (примерно $3 млн по текущему курсу) были отправлены в миксер Tornado Cash.

Похоже, атака использовала несколько свежедеплойных смарт-контрактов, часть из которых самоуничтожилась после выполнения транзакции.

Источник:
https://www.theblock.co/post/380822/3-million-in-eth-sent-to-tornado-cash-following-apparent-attack-on-yearns-yeth

[internetional]

были выкачаны миллионы долларов в ликвидных стейкинг-токенах ... через тщательно подготовленный эксплойт

А эмитент выкачал их обратно через функции burn и mint в смарт-контракте: https://etherscan.io/tx/0x0e83bb95bb9d05fb81213b2fad11c01ea671796752e8770b09935f7052691c35
(https://x.com/yearnfi/status/1995488425785659492)

Оказывается, не нужно было быть хакером, чтобы иметь возможность забрать эти токены с чужого адреса.

[zasad@]

https://x.com/PeckShieldAlert/status/1995372288305492276

PeckShield:  В ноябре хакеры украли криптовалюты почти на $195,000,000.

"Общие потери от взломов выросли более чем в 10 раз по сравнению с октябрьскими показателями.

ТОП-5 взломов:

▪️ Balancer V2 (+форки)  - $137,4m
▪️ Upbit  - $36,8m
▪️ Yearn Finance  - $9m
▪️ HLP (Bad Debt)  - $4,95m
▪️ GANA Payment  - $3,1m

[klarki]

Пользователь Goldfinch Finance, под ником deltatiger.eth, пострадал от атаки хакера. Злоумышленник украл 118 ETH на сумму более 330k$, сообщил PeckShieldAlert у себя на страничке в твиттере .




Если я все правильно понял, то был эксплоит уязвимости (в функции collectInterestRepayment) в устаревшем смарт-контракте Goldfinch, которая позволяла
переводить стейблкоины USDC с любого адреса, выдавшего разрешение).