Palautuminen, hinta-oraakkelihyökkäykset ja hyväksikäytöt seitsemän protokollan välillä saivat hajautetun rahoituksen (DeFi) tilan vuotamaan vähintään 21 miljoonan dollarin krypton helmikuussa.
Mukaan DeFi-keskeiseksi data-analytiikka-alusta DefiLlamaYksi kuukauden suurimmista oli Platypus Financen pikalainojen palautushyökkäys, joka johti 8.5 miljoonan dollarin varojen menettämiseen.
DefiLlama korosti kuutta muuta huomionarvoista hakkerointia kuukauden aikana, joista ensimmäinen oli hinta-oraakkelihyökkäys BonqDAO:ta vastaan 1. helmikuuta.
BonqDAO: 1.7 miljoonaa dollaria
BonqDAO paljasti seuraajilleen 1. helmikuuta julkaisemassaan viestissä, että sen Bonq-protokolla paljastettiin oraakkelihyökkäykseen, joka antoi hyväksikäyttäjälle mahdollisuuden manipuloida AllianceBlock (ALBT) -tunnuksen hintaa.
Hyökkääjä nosti ALBT-hintaa ja lyöi suuria määriä BEUR. BEUR vaihdettiin sitten muihin Uniswapin tokeneihin. Sitten hinta laskettiin lähes nollaan, mikä laukaisi ALBT-tilojen selvitystilan.
Blockchain-turvayritys PeckShield arvioi tappiot noin 120 miljoonaksi dollariksi, mutta myöhemmin paljastettiin, että hakkerit tiettävästi vain nosti noin miljoona dollaria BonqDAO:n likviditeetin puutteen vuoksi.
Orion-protokolla: 3 miljoonaa dollaria
Vain päivää myöhemmin hajautettu pörssi Orion Protocol kärsi a pois noin 3 miljoonan dollarin 2. helmikuuta palautushyökkäyksen kautta, jossa hyökkääjät käyttivät haitallista älykästä sopimusta tyhjentääkseen varoja kohteelta toistuvilla nostomääräyksillä.
Olemme tutkineet tätä erittäin kehittynyttä hyökkäystä siitä hetkestä lähtien, kun se tapahtui. Emme avaa Talletustoimintoa uudelleen ennen kuin olemme varmoja, että virhe on korjattu, mikä tapahtuu vasta sen jälkeen, kun johtavien tilintarkastusyritysten uudet auditoinnit ovat läpäisseet onnistuneesti.
— Aleksei Koloskov (@alexeykoloskov) Helmikuu 2, 2023
Orion Protocolin toimitusjohtaja Aleksei Koloskov vahvisti hyökkäyksen tuolloin ja vakuutti kaikille: "Kaikki käyttäjien varat ovat turvassa."
"Meillä on syytä uskoa, että ongelma ei johtunut ydinprotokollakoodimme puutteista, vaan se saattoi johtua haavoittuvuudesta kolmannen osapuolen kirjastojen sekoittamisessa yhdessä kokeellisten ja yksityisten välittäjiemme käyttämistä älykkäistä sopimuksista. ," hän sanoi.
dForce Network: 3.65 miljoonaa dollaria
DeFi-protokollan dForce-verkko joutui helmikuussa jälleen sisääntulohyökkäyksen uhriksi, mikä johti noin 3.65 miljoonan dollarin tappioihin.
Helmikuun 10. päivänä posti, dForce vahvisti hyväksikäytön; kuitenkin kierre, kaikki varat palautettiin, kun hakkeri tuli esiin whitehat-hakkerina.
2/5 Pian tapahtuman jälkeen kävimme keskusteluja hyväksikäyttäjän kanssa, joka esiintyi valkohattuina. Olemme sopineet tarjoavamme palkkion ja lopetamme kaikki meneillään olevat tutkinta- ja lainvalvontatoimet.
- dForce (@dForcenet) Helmikuu 13, 2023
"13. helmikuuta 2023 hyödynnetyt varat palautettiin täysin Arbitrumin ja Optimismin monitoimipisteeseen, mikä oli täydellinen loppu kaikille", dForce sanoi.
Platypus Finance: 9.1 miljoonaa dollaria
16. helmikuuta, DeFi-protokolla Platypus Finance joutui pikalainahyökkäykseen seurauksena 8.5 miljoonaa dollaria tyhjennettiin pöytäkirjasta.
Platypuksen tarkastaja Omniscian post mortem -raportissa todettiin, että hyökkäys oli mahdollinen johtuen koodi väärässä järjestyksessä.
Helmikuun 23. päivänä tiimi ilmoitti, että he pyrkivät palauttamaan noin 78 % pääpoolin varoista lyömällä uudelleen jäädytettyjä vakaakolikoita.
Päivitetty korvaussivu
Olemme päivittäneet korvaussivumme tänään! Jos olet tallettanut tai nostanut LP-tokeneita tuottoaggregaattoreistamme ennen poolin taukoa, korvaussummasi päivitetään vastaavasti.
Lisää: https://t.co/GfLIn5jmtF— Platypus (++) (@Platypusdefi) Maaliskuussa 3, 2023
Tiimi vahvisti myös toisen ja kolmannen tapauksen, jotka johtivat vielä 667,000 9.1 dollarin hyväksikäyttöön, mikä toi yhteensä noin XNUMX miljoonan dollarin tappiot.
Ranskan poliisi pidätti kaksi hakkerointiin liittyvää epäiltyä ja takavarikoi noin 222,000 25 dollarin arvosta kryptoomaisuutta XNUMX. helmikuuta.
Hope Finance: 1.86 miljoonaa dollaria
Muutamaa päivää myöhemmin arbitrum-pohjaisen algoritmisen stablecoin-projektin käyttäjät, Hope Finance, joutui älykkään sopimushyödynnyksen uhriksi 20. helmikuuta, jolloin käyttäjiltä varastettiin noin 2 miljoonaa dollaria.
#CommunityAlert @hope_fin ovat ilmoittaneet, että yhteisöä on huijattu noin 2 miljoonalla dollarilla, mikä tekee tästä suurimman #poistokamera Arbitrumissa vuonna 2023.
1.86 miljoonaa dollaria siirrettiin @TornadoCash.
Hope_fin on julkaissut ohjeet, joiden avulla käyttäjä voi nostaa panoksensahttps://t.co/hJbFXiKujt
— CertiKAlert (@CertiKAlert) Helmikuu 21, 2023
Web3-tietoturvayritys CertiK ilmoitti tapauksesta 21. helmikuuta Hope Financen Twitter-tilin ilmoituksen jälkeen, joka ilmoitti käyttäjille huijauksesta.
CertiK-tiimin jäsen kertoi Cointelegraphille tuolloin, että huijari oli muuttanut älykkään sopimuksen yksityiskohtia, mikä johti varojen tyhjentämiseen Hope Finance Genesis -protokollasta:
"Näyttää siltä, että huijari muutti TradingHelper-sopimusta, mikä tarkoitti, että kun 0x4481 kutsuu OpenTradea GenesisRewardPoolissa, varat siirretään huijarille."
Irrotettava: 2 miljoonaa dollaria
Moniketjuinen pörssiaggregaattori Dexible joutui hyväksikäyttöön, joka kohdistui sovelluksen selfSwap-toimintoon, ja 2 miljoonan dollarin arvosta kryptovaluuttaa menetettiin helmikuun 17. päivän hyökkäys.
Pörssin 18. helmikuuta julkaiseman viestin mukaan "hakkeri käytti hyväkseen haavoittuvuutta uusimmassa älykkäässä sopimuksessamme. Tämän ansiosta hakkeri saattoi varastaa varoja mistä tahansa lompakosta, jolla oli käyttämättä jäänyt lupa sopimukseen."
Hyvä Dexible-yhteisö, voimme valitettavasti ilmoittaa, että helmikuun 17. päivän aamuyöllä hakkeri käytti hyväkseen uusimman älysopimuksenmme haavoittuvuutta. Tämän ansiosta hakkeri saattoi varastaa varoja mistä tahansa lompakosta, jolla oli käyttämättä jäänyt lupa sopimukseen.
1/5
- Dexible (@DexibleApp) Helmikuu 17, 2023
Tutkittuaan Dexible-tiimi havaitsi, että hyökkääjä oli käyttänyt sovelluksen selfSwap-toimintoa siirtääkseen yli 2 miljoonan dollarin arvosta kryptoa käyttäjiltä, jotka olivat aiemmin valtuuttaneet sovelluksen siirtämään tokenejaan.
Vastaanotettuaan rahakkeet omaan älysopimukseensa hyökkääjä nosti kolikot Tornado Cashin kautta tuntemattomiin BNB-lompakoihin.
LaunchZone: 700,000 XNUMX dollaria
BNB-ketjuun perustuva hajautettu rahoitus (DeFi) LaunchZone-protokollalla oli 700,000 XNUMX dollaria 27. helmikuuta tyhjennettyjen varojen arvo.
Mukaan lohkoketjun turvayritykselle Immunefille hyökkääjä hyödynsi vahvistamatonta sopimusta varojen tyhjentämiseksi.
"LaunchZonen käyttöönottaja oli hyväksynyt vahvistamattoman sopimuksen 473 päivää sitten", Immunefi sanoi.
Related: Tammikuussa kryptokäytön tappiot vähenivät lähes 93 prosenttia vuodentakaiseen verrattuna
Helmikuun luvut ovat DefiLlaman lukujen mukaan jyrkkä nousu tammikuusta.
Seuraaja listaa vain 740,000 XNUMX dollaria hakkeroita DeFi-alustoille kuukaudessa kahdessa protokollassa - Midas Capital ja ROE Finance.
Sen 2023 Salausrikosraportti, lohkoketjutietoyritys Chainalysis paljasti, että hakkerit varastivat 3.1 miljardia dollaria DeFi-protokollien kautta vuonna 2022l, mikä vastaa yli 82 prosenttia vuoden kokonaisvarastetusta määrästä.
Lähde: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama