Ponovni vstop, napadi cenovnega orakla in izkoriščanja v sedmih protokolih so povzročili, da je prostor za decentralizirane finance (DeFi) februarja izgubil najmanj 21 milijonov dolarjev v kripto.
Po osredotočen na DeFi platforma za analizo podatkov DefiLlama, eden največjih v tem mesecu je bil hitri napad ponovnega vstopa posojila na Platypus Finance, ki je povzročil 8.5 milijona dolarjev izgubljenih sredstev.
DefiLlama je poudaril šest drugih omembe vrednih vdorov v tem mesecu, prvi je bil napad cenovnega orakla na BonqDAO 1. februarja.
BonqDAO: 1.7 milijona dolarjev
BonqDAO je svojim sledilcem v objavi 1. februarja razkril, da je Protokol Bonq je bil razkrit do napada Oracle, ki je izkoriščevalcu omogočil manipulacijo s ceno žetona AllianceBlock (ALBT).
Izkoriščevalec je zvišal ceno ALBT in koval velike količine BEUR. BEUR je bil nato na Uniswapu zamenjan za druge žetone. Nato se je cena znižala skoraj na nič, kar je sprožilo likvidacijo trgov ALBT.
Varnostno podjetje za blokovne verige PeckShield je ocenilo izgubo na okoli 120 milijonov dolarjev, vendar se je pozneje izkazalo, da naj bi hekerji le izplačal približno 1 milijon dolarjev zaradi pomanjkanja likvidnosti na BonqDAO.
Orionski protokol: 3 milijone dolarjev
Samo dan kasneje je decentralizirana borza Orion Protocol utrpela a off približno 3 milijone dolarjev 2. februarja z napadom ponovnega vstopa, kjer so napadalci uporabili zlonamerno pametno pogodbo za črpanje sredstev iz tarče s ponavljajočimi se ukazi za dvig.
Ta zelo prefinjen napad preiskujemo od trenutka, ko se je zgodil. Funkcije depozita ne bomo znova odprli, dokler ne bomo prepričani, da je bila napaka odpravljena, kar se bo zgodilo šele, ko bomo uspešno opravili nove revizije vodilnih revizijskih podjetij.
— Aleksej Koloskov (@alexeykoloskov) Februar 2, 2023
Izvršni direktor Orion Protocol Alexey Koloskov je takrat potrdil napad in vsem zagotovil, da so "sredstva vseh uporabnikov varna."
»Imamo razloge za domnevo, da težava ni bila posledica kakršnih koli pomanjkljivosti v naši osnovni kodi protokola, temveč jo je morda povzročila ranljivost pri mešanju knjižnic tretjih oseb v eni od pametnih pogodb, ki jih uporabljajo naši eksperimentalni in zasebni posredniki. ," rekel je.
dForce Network: 3.65 milijona dolarjev
Protokol DeFi omrežje dForce je bil še ena februarska žrtev napada ponovnega vstopa, ki je povzročil izgube v višini približno 3.65 milijona USD.
10. februarja objava, dForce je potrdil izkoriščanje; vendar so bila vsa sredstva vrnjena, ko se je heker pojavil kot heker z belim klobukom.
2/5 Kmalu po incidentu smo se zapletli v pogovore z izkoriščevalcem, ki se je oglasil kot beloglavec. Strinjali smo se, da bomo ponudili nagrado in opustili vse tekoče preiskave in ukrepe kazenskega pregona.
— dForce (@dForcenet) Februar 13, 2023
"13. februarja 2023 so bila izkoriščena sredstva v celoti vrnjena naši multi-sig tako na Arbitrumu kot na Optimizmu, popoln konec za vse," je dejal dForce.
Platypus Finance: 9.1 milijona dolarjev
16. februarja protokol DeFi Platypus Finance doživel napad hitrega posojila zaradi česar je bilo iz protokola odtečenih 8.5 milijona dolarjev.
Posmrtno poročilo revizorja Platypusa Omniscia je ugotovilo, da je bil napad možen zaradi kodo v napačnem vrstnem redu.
23. februarja je ekipa objavila, da želi vrniti približno 78 % sredstev glavnega sklada s ponovnim kovanjem zamrznjenih stabilnih kovancev.
Posodobljena stran za nadomestila
Danes smo posodobili našo stran za nadomestila! Če ste deponirali ali dvignili žetone LP iz naših agregatorjev donosa pred premorom sklada, bo vaš znesek nadomestila ustrezno posodobljen.
Več https://t.co/GfLIn5jmtF— Platypus (++) (@Platypusdefi) Marec 3, 2023
Ekipa je potrdila tudi drugi in tretji incident, ki sta povzročila dodatnih 667,000 $ izkoriščanja, kar je prineslo skupne izgube v višini okoli 9.1 milijona $.
Francoska policija aretirali dva osumljenca, povezana z vdorom in 222,000. februarja zasegli kripto sredstva v vrednosti okoli 25 $.
Hope Finance: 1.86 milijona dolarjev
Nekaj dni pozneje so uporabniki projekta Hope Finance, ki temelji na algoritmu stabilnega kovanca, postal žrtev izkoriščanja pametne pogodbe 20. februarja, kjer so uporabnikom ukradli približno 2 milijona dolarjev.
#CommunityAlert @hope_fin so objavili, da je bila skupnost prevarana za ~2 milijona dolarjev, zaradi česar je to največja #exitscam na Arbitrumu leta 2023.
1.86 milijona dolarjev je bilo prenesenih na @TornadoCash.
Hope_fin je objavil korake za uporabnike, da umaknejo svoj vloženi LPhttps://t.co/hJbFXiKujt
— Opozorilo CertiK (@CertiKAlert) Februar 21, 2023
Varnostno podjetje Web3 CertiK je incident označilo 21. februarja po objavi Twitter računa Hope Finance, ki je uporabnike obvestila o prevari.
Član ekipe CertiK je takrat za Cointelegraph povedal, da je prevarant spremenil podrobnosti pametne pogodbe, zaradi česar so bila sredstva izčrpana iz protokola Hope Finance genesis:
»Kaže, da je goljuf spremenil pogodbo TradingHelper, kar je pomenilo, da ko 0x4481 pokliče OpenTrade na GenesisRewardPool, se sredstva prenesejo na goljufa.«
Prilagodljiv: 2 milijona dolarjev
Večverižni menjalni agregator Dexible je bil prizadet zaradi izkoriščanja, ki je ciljalo na funkcijo selfSwap aplikacije, pri čemer je bilo izgubljenih 2 milijona dolarjev kriptovalute kot posledica napad 17. februarja.
Glede na objavo borze z dne 18. februarja je »heker izkoristil ranljivost v naši najnovejši pametni pogodbi. To je hekerju omogočilo krajo sredstev iz katere koli denarnice, ki je imela neporabljeno odobritev porabe v pogodbi.«
Draga skupnost Dexible, žal vas moramo obvestiti, da je v zgodnjih urah 17. februarja heker izkoristil ranljivost v naši najnovejši pametni pogodbi. To je hekerju omogočilo krajo sredstev iz katere koli denarnice, ki je imela neporabljeno odobritev porabe v pogodbi.
1/5
— Dexible (@DexibleApp) Februar 17, 2023
Po preiskavi je ekipa Dexible ugotovila, da je napadalec uporabil funkcijo selfSwap aplikacije, da bi premaknil kriptovalute v vrednosti več kot 2 milijona dolarjev od uporabnikov, ki so predhodno pooblastili aplikacijo za premikanje njihovih žetonov.
Po prejemu žetonov v lastno pametno pogodbo je napadalec kovance dvignil prek Tornado Cash v neznane denarnice BNB.
LaunchZone: 700,000 $
Decentralizirane finance na podlagi verige BNB (DeFi) protokol LaunchZone je imel 700,000 $ vrednost sredstev, izčrpanih 27. feb.
Po podjetju za varnost blokovnih verig Immunefi je napadalec izkoristil nepreverjeno pogodbo za črpanje sredstev.
"Razvajalec LaunchZone je pred 473 dnevi odobril nepreverjeno pogodbo," je dejal Immunefi.
Povezano: Izgube zaradi izkoriščanja kripto v januarju so se medletno zmanjšale za skoraj 93 %
Po podatkih DefiLlame so februarske številke močno višje od januarskih.
Sledilnik navaja le 740,000 $ vdorov v platforme DeFi v mesecu prek dveh protokolov — Midas Capital in ROE Finance.
V svojem 2023 Kripto krivicno poročilo, podatkovno podjetje za verigo blokov Chainalysis je razkrilo, da so hekerji leta 3.1l iz protokolov DeFi ukradli 2022 milijarde dolarjev, kar predstavlja več kot 82 % skupnega zneska, ukradenega v letu.
Vir: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama