Повторното влизане, атаките на ценови оракули и експлойтите в седем протокола накараха пространството за децентрализирано финансиране (DeFi) да загуби поне 21 милиона долара в крипто през февруари.
Според към DeFi-центричен платформа за анализ на данни DefiLlama, една от най-големите през месеца беше флаш атаката за повторно влизане на заеми срещу Platypus Finance, която доведе до загуба на $8.5 милиона средства.
DefiLlama подчерта шест други забележителни хака през месеца, като първият беше атаката на ценовия оракул срещу BonqDAO на 1 февруари.
BonqDAO: 1.7 милиона долара
BonqDAO разкри на своите последователи в публикация от 1 февруари, че нейната Протоколът Bonq беше разкрит към атака на оракул, която позволи на експлоататора да манипулира цената на токена AllianceBlock (ALBT).
Експлоататорът увеличи цената на ALBT и изсече големи количества BEUR. След това BEUR беше разменен за други токени на Uniswap. След това цената беше намалена почти до нула, което предизвика ликвидацията на ALBT troves.
Фирмата за сигурност на блокчейн PeckShield изчисли загубите на около 120 милиона долара, но по-късно беше разкрито, че според съобщенията само хакери изтегли около 1 милион долара поради липса на ликвидност на BonqDAO.
Orion Protocol: 3 милиона долара
Само ден по-късно децентрализираният обмен Orion Protocol претърпя a от от приблизително $3 милиона на 2 февруари чрез атака за повторно влизане, при която нападателите са използвали злонамерен интелигентен договор, за да източат средства от цел с повтарящи се поръчки за теглене.
Разследваме тази много сложна атака от минутите, когато се случи. Няма да отворим отново функцията за депозит, докато не се почувстваме уверени, че грешката е отстранена, което ще бъде само след успешно преминаване на нови одити от водещи одиторски фирми.
— Алексей Колосков (@alexeykoloskov) Февруари 2, 2023
Изпълнителният директор на Orion Protocol Алексей Колосков потвърди атаката по това време, като увери всички, „Средствата на всички потребители са безопасни и защитени“.
„Имаме причини да вярваме, че проблемът не е резултат от някакви недостатъци в нашия основен протоколен код, а по-скоро може да е причинен от уязвимост при смесването на библиотеки на трети страни в един от интелигентните договори, използвани от нашите експериментални и частни брокери ," той каза.
dForce Network: 3.65 милиона долара
DeFi протоколът dForce мрежа беше друга жертва през февруари на атака за повторно влизане, което доведе до загуби от около 3.65 милиона долара.
През 10 февруари пускат, dForce потвърди експлойта; обаче в обрат, всички средства бяха върнати, когато хакерът излезе напред като хакер с бяла шапка.
2/5 Малко след инцидента, ние влязохме в разговори с експлоататора, който излезе напред като бяла шапка. Съгласихме се да предложим премия и ще прекратим всички текущи разследвания и действия на правоприлагащите органи.
— dForce (@dForcenet) Февруари 13, 2023
„На 13 февруари 2023 г. експлоатираните средства бяха напълно върнати на нашата мулти-подписка както на Arbitrum, така и на Optimism, перфектен край за всички“, каза dForce.
Platypus Finance: 9.1 милиона долара
На 16 февруари DeFi протокол Platypus Finance претърпя атака на флаш заем което води до източване на 8.5 милиона долара от протокола.
Доклад от аутопсията от одитора на Platypus Omniscia отбелязва, че атаката е възможна поради код в грешен ред.
На 23 февруари екипът обяви, че се стреми да върне около 78% от средствата на основния пул чрез повторно копаене на замразени стабилни монети.
Актуализирана страница за компенсации
Актуализирахме нашата страница за компенсации днес! Ако сте депозирали или изтеглили LP токени от нашите агрегатори на доходност преди паузата на пула, сумата на вашата компенсация ще бъде съответно актуализирана.
Повече https://t.co/GfLIn5jmtF— Птицечовка (++) (@Platypusdefi) Март 3, 2023
Екипът също така потвърди втори и трети инциденти, които доведоха до други експлоатирани $667,000 9.1, което доведе до общи загуби от около $XNUMX милиона.
Френска полиция арестува двама заподозрени, свързани с хакването и конфискува крипто активи на стойност около $222,000 25 на XNUMX февруари.
Hope Finance: 1.86 милиона долара
Няколко дни по-късно потребителите на базиран на арбитрум алгоритмичен стейбълкойн проект, Hope Finance, стана жертва на експлоатация на интелигентен договор на 20 февруари, където бяха откраднати около 2 милиона долара от потребителите.
#Сигнал на общността @hope_fin обявиха, че общността е била измамена за ~$2 милиона, което прави това най-голямото #exitscam на Arbitrum през 2023 г.
1.86 милиона долара бяха прехвърлени на @TornadoCash.
Hope_fin публикува стъпки за потребителите да изтеглят своите заложени LPhttps://t.co/hJbFXiKujt
— Сигнал за CertiK (@CertiKAlert) Февруари 21, 2023
Фирмата за сигурност на Web3 CertiK маркира инцидента на 21 февруари след съобщение от Twitter акаунта на Hope Finance, уведомяващо потребителите за измамата.
Член на екипа на CertiK каза на Cointelegraph по това време, че измамникът е променил детайлите на интелигентния договор, което е довело до източване на средства от протокола Hope Finance genesis:
„Изглежда, че измамникът е променил договора на TradingHelper, което означава, че когато 0x4481 извика OpenTrade на GenesisRewardPool, средствата се прехвърлят на измамника.“
Гъвкав: 2 милиона долара
Агрегаторът за многоверижен обмен Dexible беше засегнат от експлойт, насочен към функцията selfSwap на приложението, като криптовалута на стойност $2 милиона беше загубена в резултат на атаката на 17 февруари.
Според публикация от борсата от 18 февруари „хакер е използвал уязвимост в най-новия ни интелигентен договор. Това позволи на хакера да открадне средства от всеки портфейл, който имаше одобрение за неизразходвани разходи по договора.
Уважаема общност на Dexible, със съжаление ви информираме, че в ранните часове на 17 февруари хакер се възползва от уязвимост в най-новия ни интелигентен договор. Това позволи на хакера да открадне средства от всеки портфейл, който имаше одобрение за неизразходвани разходи по договора.
1/5
— Dexible (@DexibleApp) Февруари 17, 2023
След разследване екипът на Dexible установи, че нападател е използвал функцията selfSwap на приложението, за да премести крипто на стойност над $2 милиона от потребители, които преди това са упълномощили приложението да премести техните токени.
След като получи токените в собствения си интелигентен договор, нападателят изтегли монетите чрез Tornado Cash в неизвестни портфейли на BNB.
LaunchZone: $700,000 XNUMX
Децентрализирани финанси, базирани на BNB Chain (DeFi) протоколът LaunchZone имаше $700,000 XNUMX стойност на средствата, източени на 27 фев.
Според към фирмата за сигурност на блокчейн Immunefi, нападател използва непроверен договор, за да източи средствата.
„Беше направено одобрение на непроверения договор преди 473 дни от внедрителя на LaunchZone“, каза Immunefi.
Свързани: Загубите от крипто експлоатация през януари отбелязват почти 93% спад на годишна база
Цифрите за февруари са рязко увеличение спрямо януари, според данните на DefiLlama.
Тракерът изброява само $740,000 XNUMX хакове към DeFi платформи през месеца през два протокола — Midas Capital и ROE Finance.
В 2023 Крипто криминален доклад, фирмата за блокчейн данни Chainalysis разкри, че хакерите са откраднали $3.1 милиарда от DeFi протоколи през 2022l, което представлява повече от 82% от общата сума, открадната през годината.
Източник: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama