DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

В этой статье мы поведаем вам о самых дерзких и крупнейших кражах криптовалют связанные с платформой DeFi. В 2021 году у хакеров был большой год, когда они украли криптовалюту на сумму 3,2 миллиарда долларов. Но в 2022 году сумма краж криптовалют достигла исторического максимума. За первые три месяца этого года хакеры украли 1,3 миллиарда долларов с бирж, платформ и частных лиц, и соответственно непропорционально много жертв приходится на платформу DeFi.

Что такое DeFi?

DeFi — это финансовые инструменты в виде сервисов и приложений, созданных на блокчейне. Главная задача децентрализованных финансов — стать альтернативой банковскому сектору и заменить традиционные технологии нынешней финансовой системы протоколами с открытым исходным кодом. То есть открыть большому количеству людей доступ к децентрализованному кредитованию и новым инвестиционным платформам, а также позволить им получать пассивный доход от криптовалютных активов.

Почти 97% всей криптовалюты, украденной за первые три месяца 2022 года, было взято из протоколов DeFi, по сравнению с 72% в 2021 году и всего 30% в 2020 году.

Эксплойты кода становятся все более распространенным вектором атак, но нарушения безопасности никуда не денутся. В прошлом взломы криптовалют в основном были результатом нарушений безопасности, когда хакеры получали доступ к закрытым ключам жертв — криптоэквивалент карманных краж.  Однако, в частности, для протоколов DeFi самые крупные кражи обычно происходят из-за ошибочного кода. “Code exploits” и “flash loan attacks” — тип эксплойта кода, связанный с манипулированием ценами на криптовалюту, — составляют большую часть стоимости.

Большая часть существующих DeFi создана на блокчейне Ethereum, и количество новых приложений в сфере децентрализованных финансов неуклонно растет. DeFi используют различные технологии, разработанные в сфере блокчейна. Все они находят применение за пределами децентрализованных финансов, но играют важную роль в экосистеме DeFi. В первую очередь проекты DeFi — это блокчейны, распределенные реестры для записи транзакций. В настоящее время большинство сервисов DeFi работают в сети Ethereum из-за ее возможностей и популярности среди разработчиков. Однако активность DeFi также растет и в других блокчейнах. Далее идут цифровые активы, то есть DeFi токены, представляющие ценность, которую можно продать или передать в сети блокчейна. «Биткоин и другие криптовалюты были первыми цифровыми активами на основе блокчейна.

Эксплойты кода возникают по ряду причин. Во-первых, в соответствии с верой DeFi в децентрализацию и прозрачность, разработка с открытым исходным кодом является основным продуктом приложений DeFi. Это важная и в целом положительная тенденция: поскольку протоколы DeFi перемещают средства без вмешательства человека, пользователи должны иметь возможность проверять базовый код, чтобы доверять протоколу. Но это выгодно и киберпреступникам, которые могут анализировать сценарии на наличие уязвимостей и заранее планировать эксплойты.


Ronin Network

ПотерпевшийСумма украденного (долл. США)Тип ОбслуживанияТип взломаОписание
Ronin Network625 миллионов долларовПлатформа DeFi Нарушение безопасностиЗлоумышленник получил доступ к пяти из девяти закрытых ключей валидаторов транзакций, а затем использовал это большинство для подтверждения вывода средств в ETH и USDC.
DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Сеть Ronin от Axie Infinity пострадала от эксплойта на 625 миллионов долларов

Последний крипто-взлом может быть самым крупным.

Сеть Ronin, ориентированная на игры, объявила во вторник об убытках в размере более 625 миллионов долларов США в долларах США и эфире (ETH).

Согласно сообщению в блоге, опубликованному официальным Substack сети Ronin , эксплойт затронул узлы-валидаторы Ronin для Sky Mavis, издателей популярной игры Axie Infinity, и Axie DAO

 (30 марта, 13:23 UTC): Ronin Hacker вряд ли сможет обналичить добычу «размером с ВВП», считают эксперты

Как видно из Etherscan, злоумышленник «использовал взломанные закрытые ключи для фальшивых выводов средств» с моста Ronin через две транзакции .

В то время как сайдчейн Ronin имеет девять валидаторов, требующих пять подписей для вывода средств, и предназначен для защиты от этих типов атак, в сообщении в блоге отмечается, что «злоумышленник нашел бэкдор через наш безгазовый RPC-узел, которым они злоупотребили, чтобы получить подпись для валидатор Axie DAO».

Сообщение в блоге оценивает убытки в 173 600 эфиров и 25,5 миллионов долларов США, что в настоящее время превышает 625 миллионов долларов.

Еще в августе 2021 года хакер скрылся с 611 миллионами долларов, используя протокол межсетевого децентрализованного финансирования (DeFi) Poly Network . Подавляющее большинство средств было возвращено .

Адрес Ethereum злоумышленника Ronin — это новый адрес, по которому неделю назад был переведен ETH с биржи Binance. Записи Etherscan показывают, что атака произошла в прошлую среду.

Большая часть средств остается на адресе злоумышленника, хотя 6 250 ETH были переведены на другие адреса.

Работа Ronin Bridge и автоматизированного маркет-мейкера Katana (AMM) приостановлены на время проведения расследования.

«Мы работаем напрямую с различными государственными органами, чтобы преступники предстали перед правосудием», — отмечается в блоге.

По данным CoinGecko, цена RON , нативного токена сети Ronin, упала на 27% на новостях.


Poly Network

Poly Network612 миллионов долларовПлатформа DeFiЭксплойт кодаЗлоумышленник использовал контракты на межсетевую ретрансляцию для извлечения средств Poly Network из трех разных цепочек: Ethereum, BSC и Polygon. Злоумышленник в итоге вернул украденные средства. Прочтите наше полное тематическое исследование .
DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Эксплойт в смарт-контрактах Poly Network

10 августа 2021 года до сих пор неизвестный злоумышленник украл криптовалюту на сумму 612 миллионов долларов из межсетевого протокола DeFi Poly Network, что сделало это крупнейшей кражей из протокола DeFi. Но по невероятному стечению обстоятельств злоумышленник, похоже, через день возвращает средства Poly Network.

Злоумышленник совершил ограбление, воспользовавшись эксплойтом в смарт-контрактах, которые Poly Network использует для выполнения транзакций между цепочками. Программист Ethereum Кельвин Фихтер написал в Твиттере подробный отчет о том, как именно работал эксплойт, если вы хотите узнать больше Злоумышленник похитил средства в следующих криптовалютах:

cryptocurrencies:

  • ETH
  • WETH
  • WBTC
  • UNI
  • RenBTC
  • USDT
  • USDC
  • DAI
  • SHIB
  • FEI
  • BNB
  • Various BEP-20 Tokens

Poly Network публично идентифицировала три адреса, которые, как мы подтвердили, контролируются злоумышленником:


  • Attacker Address 1: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 (ETH)
  • Attacker address 2: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 (BSC)
  • Attacker address 3: 0x5dc3603C9D42Ff184153a8a9094a73d461663214 (POLYGON)

Ниже мы поделимся некоторыми заметками о том, как была проведена атака, сколько злоумышленник уже вернул в Poly Network, а также о текущих балансах адресов злоумышленников.

Примечания к первоначальным движениям средств

Мы обнаружили несколько интересных фактов, анализируя первоначальные перемещения украденных средств злоумышленником. Посмотрите приведенный ниже график Chainalysis Reactor , на котором показано, что адрес злоумышленника 1 получил 2 857,59 ETH на сумму 274 461 628,15 долларов США от Poly Network в ходе первоначальной кражи.

DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Мы видим, что накануне злоумышленник снял с Hoo.com 0,47 ETH, которые использовались для оплаты комиссий за газ по транзакциям, связанным со взломом. Кроме того, злоумышленник, по-видимому, отправил 13,37 ETH пользователю, известному как Hanashiro.eth, который отправил злоумышленнику транзакцию Ether с сообщением , предупреждающим их о том, что USDT, украденные у Poly Network, заморожены.

DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Судя по всему, злоумышленник Poly Network готов платить хорошие деньги за достоверную информацию.

Злоумышленник также украл 673 227 DAI и 96 389 444 USDC у Poly Network. Злоумышленник отправил полные суммы обоих в протокол Curve DeFi, чтобы отчеканить 95 269 796 токенов 3CRV. В течение часа злоумышленник сжег эти токены 3CRV, чтобы получить 96 942 061 DAI.

DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Мы подозреваем, что цель злоумышленника состояла в том, чтобы обменять свои запасы централизованной стабильной монеты USDC на децентрализованную, такую ​​​​как DAI, чтобы уменьшить вероятность замораживания средств.

Возврат украденных средств и текущих остатков

Удивительно, но сейчас злоумышленник, похоже, находится в процессе возврата украденных средств в Poly Network по их запросу . С 11 августа они начали отправлять средства обратно на три адреса Poly Network:

  • 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
  • 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
  • 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17

По состоянию на 12:45 по восточному времени 12 августа злоумышленник вернул все украденные средства, за исключением замороженных 33,4 млн долларов США. Всего злоумышленник вернул криптовалюту на сумму 578,6 млн долларов из первоначально украденных 612 млн долларов.

  • POLYGON USDC
  • Binance-Peg BTCB
  • Binance-Peg BUSD
  • Binance-Peg USDC
  • FEI
  • SHIB
  • Binance-Peg ETH
  • BNB
  • RenBTC

Во время этого процесса злоумышленник связался с Poly Network через примечание о транзакции эфира , заявив о своем намерении начать с возврата альткойнов и спросив, можно ли разблокировать их украденный USDT в обмен на возврат украденного USDC.

DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Возможно, это уловка, чтобы скрыться с неукраденными USDT, но пока ничто не указывает на то, что злоумышленник не будет продолжать возвращать украденные средства.

Ранее хакер также попросил Poly Network создать для него кошелек с мультиподписью, чтобы он мог продолжать возвращать средства, и попросил Poly начать отправку возвращенных на данный момент средств пострадавшим пользователям.

DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

По состоянию на 10:00 по восточному времени 11 августа 2021 года на трех адресах злоумышленников находятся следующие балансы:

Адрес злоумышленника 1: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 .

  • USDT – 33 431 234,90 долларов США.

Адрес злоумышленника 2: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 .

  • Этот адрес теперь пуст.

Адрес злоумышленника 3: 0x5dc3603C9D42Ff184153a8a9094a73d461663214 .

  • Этот адрес теперь пуст.

Фирма Slowmist, занимающаяся безопасностью криптовалют , утверждает , что идентифицировала почтовый ящик, IP-адрес и отпечатки пальцев устройства злоумышленника, предполагая, что они могут быть близки к их идентификации, но на данный момент у нас нет информации, подтверждающей это. Со своей стороны, злоумышленник отвергает возможность быть идентифицированным в вопросах и ответах , которые они проводят с помощью заметок о транзакциях Ether, где они также объясняют некоторые из своих мотивов для взлома Poly Network.

Взлом Poly Network и последующий возврат средств показывают, что осуществлять крупномасштабную кражу криптовалюты становится все труднее. Это может показаться нелогичным, учитывая, что эта кража на 600 миллионов долларов представляет собой крупнейший взлом DeFi за все время, и что быстрорастущая экосистема DeFi уникально уязвима для взломов. Тем не менее, кража криптовалюты сложнее, чем кража фиатных средств. Отчасти это связано с присущей блокчейнам прозрачностью. В то время как фиатная валюта, полученная преступным путем, может быть перемещена через теневые банковские счета, а власти полагаются на повестки в суд и сотрудничество финансовых учреждений, чтобы отследить ее путь, любой человек в мире может просматривать криптовалютные транзакции, совершенные в общедоступных блокчейнах.

Растущее активное криптовалютное сообщество постоянно повышает прозрачность криптовалют. Через несколько минут после взлома крипто-твиттер заполнился обновлениями от бесчисленных отраслевых операторов, репортеров и анонимных сыщиков, отслеживающих движение средств злоумышленника. Для злоумышленника было бы практически невозможно перевести средства куда-либо без того, чтобы кто-то не транслировал их. Это рисует многообещающую картину для будущих ответов на взлом криптовалюты. С присущей блокчейнам прозрачностью и пристальным вниманием всей индустрии, как любой хакер криптовалюты может рассчитывать на побег с большим кэшем украденных средств? В большинстве случаев лучшее, на что они могли надеяться, — это избежать захвата, поскольку средства заморожены в частном кошельке, занесенном в черный список.

Хотя мы, конечно, не ожидаем, что каждый взлом криптовалюты будет заканчиваться тем, что злоумышленник вернет украденные средства, в этом случае, похоже, Poly Network вернет свои деньги, а также узнала о важной уязвимости, которую ее команда теперь может исправить. В конечном счете, экосистема будет сильнее для этого. Все адреса, связанные со взломом Poly Network, теперь помечены в наших продуктах. Мы продолжим отслеживать движение украденных средств и сообщать обо всех существенных изменениях.


Wormhole

Wormhole320 миллиона долларовПлатформа DeFiЭксплойт кодаЗлоумышленник манипулировал кроссчейн-мостом Solana<->Ethereum Wormhole, заставив поверить, что 120 000 ETH были депонированы, что позволило им чеканить whETH (Wormhole ETH) эквивалентной стоимости на Solana.
DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Сеть Wormhole была использована для кражи 120 000 завернутых ETH (wETH), которые по текущим ценам Ethereum оцениваются примерно в 320 миллионов долларов.

Новости о том, что протокол Wormhole был скомпрометирован, поступили 3 февраля, когда члены криптосообщества предупредили своих коллег в социальных сетях о том, что с моста было слито значительное количество ETH. 

Спустя несколько часов платформа подтвердила, что атака имела место и был использован кросс-цепочный мост Ethereum-Solana.

«Сеть червоточины была использована для получения 120 000 wETH», — говорится в объявлении в Twitter-аккаунте Wormhole. Далее фирма добавила, что «ETH будет добавлен в течение следующих часов, чтобы обеспечить поддержку wETH 1:1», но не объяснила, откуда будут получены дополнительные средства.


BitMart

BitMart196 миллионов долларовОбменНарушение безопасностиЗлоумышленник  украл закрытый ключ, который скомпрометировал два горячих кошелька BitMart.
DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Криптовалютная биржа BitMart взломана, убытки оцениваются в $196 млн

Генеральный директор BitMart подтвердил то, что компания называет «нарушением безопасности».

Последний взлом централизованной биржи может быть одним из самых разрушительных на сегодняшний день, поскольку BitMart потерял 196 миллионов долларов в различных криптовалютах.

Твит аналитической компании PeckShield впервые привлек внимание к предполагаемому взлому в субботу вечером. Один из адресов BitMart в настоящее время демонстрирует постоянный отток всего баланса токенов, некоторые из которых стоят десятки миллионов долларов, на адрес, который в настоящее время Etherscan помечает как «BitMart Hacker».

В последующем твите PeckShield оценил убытки в 100 миллионов долларов в различных криптовалютах на блокчейне Ethereum и 96 миллионов долларов в Binance Smart Chain.

Хакер систематически использовал агрегатор децентрализованной биржи (DEX) 1inch для обмена украденных активов на эфир криптовалюты (ETH) и использовал вторичный адрес для внесения ETH в микшер конфиденциальности Tornado Cash , что затрудняло отслеживание взломанных средств.

В официальном Telegram-канале представители BitMart первоначально заявили, что оттоки были обычными выводами средств, назвав сообщения о взломе «фейковыми новостями».

DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года
DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Однако через несколько часов генеральный директор BitMart Шелдон Ся подтвердил, что отток средств действительно был взломом в результате «нарушения безопасности».

1/3 Мы обнаружили крупномасштабное нарушение безопасности, связанное с одним из наших горячих кошельков ETH и одним из наших горячих кошельков BSC. На данный момент мы все еще завершаем возможные используемые методы. Хакеры смогли вывести активы на сумму около 150 миллионов долларов США.— Шелдон Ся (@sheldonbitmart) 

5 декабря 2021 г.

Убытки в размере 196 миллионов долларов делают это одним из самых разрушительных взломов централизованных бирж на сегодняшний день.


BadgerDAO

BadgerDAO150 миллионов долларовПлатформа DeFiНарушение безопасностиЗлоумышленник использовал скомпрометированный ключ API Cloudflare, чтобы периодически  внедрять вредоносные скрипты в приложение Badger. Скрипты перехватывали транзакции и предлагали пользователям разрешить иностранной учетной записи работать с их токенами ERC-20. После одобрения злоумышленник выкачивал средства из кошельков пользователей.
DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Следователи считают, что неавторизованный ключ API позволил использовать вредоносный код для установки пользователем разрешения Web3 на кошелек злоумышленника

2 декабря 2021 года произошла серия несанкционированных транзакций , в результате которых пользователи Badger потеряли средства. После эксплойта инженеры Badger работали с фирмой по кибербезопасности Mandiant для расследования инцидента и подготовили следующий первоначальный отчет.

В настоящее время Бэджер считает, что, как сообщалось публично, инцидент с фишингом, произошедший 2 декабря 2021 года, был результатом злонамеренно внедренного фрагмента, предоставленного Cloudflare Workers.   Cloudflare Workers — это интерфейс для запуска скриптов, которые работают с веб-трафиком и изменяют его, когда он проходит через прокси-серверы Cloudflare. Злоумышленник развернул рабочий скрипт с помощью скомпрометированного ключа API, который был создан без ведома и разрешения инженеров Badger. Злоумышленники использовали этот доступ к API для периодического внедрения вредоносного кода в приложение Badger таким образом, что это затронуло только подмножество пользовательской базы.

Цепочка событий

Badger ценит терпение нашего сообщества, пока мы выясняем, как сбалансировать нашу приверженность прозрачности с тем фактом, что это все еще продолжается расследование с быстро меняющейся информацией. В настоящее время мы делимся следующей последовательностью событий, чтобы помочь защитить наше сообщество и помочь другим, которые могут подвергнуться аналогичным нападениям.

  • В конце сентября пользователи на форуме поддержки сообщества Cloudflare сообщили, что неавторизованные пользователи могли создавать учетные записи, а также могли создавать и просматривать (глобальные) ключи API (которые нельзя удалить или деактивировать) до завершения проверки электронной почты (см . Форум Cloudflare) . Пост ). Было отмечено, что злоумышленник может затем дождаться проверки электронной почты и завершения создания учетной записи, после чего он получит доступ к API.
  • Изучив журналы Cloudflare после эксплойта, Badger обнаружил несанкционированное создание учетной записи и генерацию ключа API для трех учетных записей Badger; два в конце августа, один в начале сентября.
  • В середине сентября Badger по незнанию завершил создание учетной записи для одной из этих трех скомпрометированных учетных записей, которые использовались для законных действий по управлению Cloudflare. Пользовательский интерфейс не делал очевидным, что учетная запись уже была создана, и соответственно был сгенерирован ключ API.
  • 10 ноября злоумышленник начал использовать свой доступ к API для внедрения вредоносных скриптов через Cloudflare Workers в HTML- код app.badger.com . Скрипт перехватывал транзакции web3 и предлагал пользователям разрешить использование внешнего адреса для работы с токенами ERC-20 в их кошельке. 20 ноября для кошелька эксплуататора было сделано первое злонамеренное одобрение в сети.
  • Злоумышленник использовал несколько методов защиты от обнаружения в своей атаке. Они периодически применяли и удаляли сценарий в течение ноября, часто на очень короткие промежутки времени. Злоумышленник также нацеливался только на кошельки с определенным балансом и явно избегал нацеливаться на зарегистрированных подписантов Dev Multisig. Наконец, злоумышленник получил доступ к API с нескольких IP-адресов прокси-серверов и VPN и изменил сценарий для каждого развертывания, чтобы у каждого из них был уникальный хэш, отображающий статические индикаторы ограниченной ценности.
  • Сообщество Badger сообщило через Discord о крупной подозрительной транзакции 2 декабря.
  • Badger немедленно приостановил большинство операций в хранилище в течение 30 минут после предупреждения. Несколько старых контрактов с единственным недоступным опекуном были приостановлены примерно через 15 часов.
  • После этого инцидента ключи API Cloudflare были заменены, пароли изменены, а MFA был передан после обнаружения инцидента.

Поскольку этот эксплойт задействовал векторы Web 2, которые необычны для атак DeFi, мы предоставим краткую вскрытие произошедших событий Web 2 и полное вскрытие Web 3, соответствующее стандартам отчетности в DeFi.

Журнал событий Web2

Badger предоставляет следующую информацию, чтобы помочь другим людям идентифицировать подобный взлом Web2.

Вот как выглядят наши журналы аудита Cloudflare для одной из взломанных учетных записей:


Самые ранние имеющиеся в настоящее время доказательства того, что злоумышленник пытался завладеть учетной записью, относятся к 20 августа 2021 года.

Судя по ответам на форуме Cloudflare, уязвимость была устранена примерно 29 сентября.

Вот как выглядело приложение Badger с внедренным кодом:

Архивная версия приложения Badger с внедренным кодом

В настоящее время Badger редактирует вредоносные сценарии из сводки ниже, пока продолжается расследование.

10 ноября 2021 года вот первый пример вредоносной активности.

Web3: Сетевые события

Шаги по смягчению последствий

Около 2:05 утра по всемирному координированному времени 2 декабря 2021 года Badger был предупрежден о подозрительной активности на платформе. Атака была замечена членом сообщества, когда из хранилища Yearn wBTC было удалено около 900 BTC .

После быстрого расследования вопрос был отмечен как высокоприоритетный и срочный. В 3:14 утра по всемирному координированному времени Badger начал приостанавливать все контракты на хранилища и стратегии.

В соответствии с BIP -33 адреса, утвержденные в опекунском договоре , имеют возможность приостанавливать договоры. Функция приостановки этих контрактов работает таким образом, что блокирует любой депозит, вывод средств, перевод в хранилища ERC20, вывод средств из стратегий и любую чеканку/выкуп ibBTC до тех пор, пока для них не будет вызвана функция возобновления паузы. Возобновление паузы ограничено мультиподписью Dev Multisig, для чего требуется одобрение руководства. Восемь старых стратегий и одно хранилище также требуют временной блокировки для возобновления паузы.

Большинство контрактов были приостановлены к 3:30 утра по всемирному координированному времени. Некоторые старые хранилища (а именно bcrvRenBTC, bcrvSBTC, bcrvTBTC, bBADGER, bharvestcrvRenBTC и buniWbtcBadger) не имеют функции паузы в контракте хранилища. Тем не менее их стратегии были приостановлены, чтобы предотвратить вывод средств. В то время инженеры Badger не могли получить доступ к учетной записи хранителя стратегий bBADGER, bharvestcrvRenBTC и buniWbtcBadger. Дальнейшее расследование показало, что стратег, который помог придумать эту идею смарт-контракта, также имел возможности приостановки, и в конечном итоге приостановившие стратегии смогли приостановить стратегии с помощью учетной записи стратега.

Список всех приостановленных txs можно найти здесь . Как только хранилища были поставлены на паузу, вызовы transferFrom у эксплуататора начали сбоить.

На приведенных ниже графиках показано движение жетонов Badger Sett, останавливающееся после паузы. (Примечание: ось Y показывает исходное количество токенов Badger Sett)

Все Setts, кроме bBADGER, bharvestcrvRenBTC и buniWbtcBadger:DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Ниже представлен график, демонстрирующий движение всех токенов Badger Sett, в том числе и опоздавших на паузу.

Стоит отметить, что последнее злонамеренное изъятие из незакрытых хранилищ произошло в 4:57 утра по всемирному координированному времени. Все выводы, которые происходили после этого и до приостановки последней стратегии, производились обычными пользователями.

Также стоит упомянуть, что злоумышленник смог скомпрометировать токены, отличные от Sett, такие как BADGER, wBTC, CVX и cvxCRV, и смог их ликвидировать после того, как Badger ввел паузы.

Выполнение атаки

Через вторжение Web2 злоумышленник смог получить одобрение токена ERC20 от пользователей Badger через пользовательский интерфейс. Хакер обманом заставлял пользователей подписывать вызовы токена утверждения или увеличения разрешений, позволяя основной учетной записи эксплуататора EOA (0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107) тратить средства.

После фишингового ряда одобрений учетная запись финансирования отправила 8 ETH на учетную запись эксплуататора, чтобы запустить серию вызовов TransferFrom для утвержденных токенов пользователей. Это позволило злоумышленнику перевести средства от имени пользователей на другие счета, которые затем ликвидировали средства и вышли через мост Badger Bridge в BTC.

Вовлеченные стороны

Badger активно отслеживает все средства, связанные с инцидентом, и соответствующая информация доступна ниже:

Адреса назначения:

DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Влияние протокола (украденные средства)

Влияние по базовым активам:

Примечание. Ориентировочные цены в долларах США основаны на фиксированных ценах, взятых с момента запуска скрипта сбора (2 декабря 2021 г.). Их следует воспринимать как указание, а не как абсолют. Подробную разбивку токенов можно найти здесь .

План после инцидента

В учетной записи Badger Cloudflare был обновлен пароль, изменен MFA, а все ключи API либо удалены, либо обновлены, где это возможно.

Badger подтвердил, что эксплойт был исправлен на стороне Cloudflare. Новым учетным записям больше не разрешается просматривать ключи API, пока адрес электронной почты не будет подтвержден.

Путь вперед

В настоящее время Badger оценивает и работает над планом реализации следующих потенциальных идей по улучшению:

  • Пересмотреть аварийную функциональность во всех смарт-контрактах, чтобы убедиться, что она универсальна, и автоматизировать функцию «приостановить все» с целью сократить время экстренного перерыва Badger с 15 минут до 2-3 минут.
  • Перед повторным запуском протокола завершите сторонние аудиты всей инфраструктуры web2 и web3.
  • Badger потенциально может финансировать хакерскую гонку, посвященную созданию технологии обнаружения, чтобы отслеживать все смарт-контракты на предмет неожиданных утверждений или автоматически выдавать оповещения при эвристических изменениях в том, как совершаются вызовы.
  • Добавьте минимизированную версию доверия, развернутую IPFS, для приложения Badger.
  • Создавайте общедоступные репозитории, чтобы люди могли собирать их из исходного кода.
  • Badger мог бы рассказать сообществу о важности бдительности и настроить новые каналы, чтобы убедиться, что изменения в поведении участников сообщества будут быстро услышаны и проанализированы.
  • Badger может создавать инструменты мониторинга, чтобы сравнивать сайт, обслуживаемый всеми маршрутами на https://app.badger.com , и сопоставлять их с локально созданным SPA, чтобы гарантировать отсутствие внедрения кода в будущем.

Примечание для разработчиков DeFi и исследователей информационной безопасности:

Хотя отчет является предварительным и не включает в себя всю информацию из своего расследования, Badger был бы более чем рад обсудить некоторые дополнительные выводы и поделиться дополнительной информацией с сообществом DeFi и Infosec, насколько это возможно, учитывая продолжающееся расследование.


Undisclosed145 миллионов долларовЧастныйДругое — растратаСотрудник якобы перевел средства на личный счет, когда компания попыталась перевести средства между финансовыми счетами.

Venus

Venus145 миллионов долларовПлатформа DeFiЭксплойт кодаЗлоумышленник манипулировал ценой XVS, токена управления Venus Protocol, чтобы заимствовать суммы BTC и ETH, превышающие фактическую стоимость XVS. Когда цена токена управления снизилась, а пользователи протокола объявили дефолт по своим кредитам, Venus остался с долгом в размере 145 миллионов долларов.
DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

BXH139 миллионов долларовПлатформа DeFiУтечка приватных ключейНеизвестный член технической команды BXH предположительно слил закрытый ключ администратора.
DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Взлом биржи BXH на 139 миллионов долларов стал результатом утечки ключа администратора

По словам генерального директора, взлом мог быть делом рук одного из сотрудников BXH.

Взлом Boy X Highspeed (BXH), децентрализованной межсетевой биржи, который истощил 139 миллионов долларов, вероятно, был результатом утечки ключа администратора и, возможно, внутренней работы, сказал CoinDesk генеральный директор Нео Ван.

  • Основываясь на консультации с внешней командой безопасности, BXH говорит, что хакер, вероятно, смог взломать адрес Binance Smart Chain биржи после получения закрытого ключа администратора, сказал Ван.
  • По словам Вана, хакер либо взломал компьютер владельца ключа, либо мог быть одним из технических сотрудников BXH. По словам генерального директора, команда изучает возможность того, что хакер установил вирус на собственном сайте BXH, на который кликнул администратор, что дало злоумышленнику доступ к его компьютеру и, в конечном итоге, к ключу.
  • BXH объявил о взломе в твиттере в воскресенье. По словам команды, средства пользователей BXH в Ethereum, Huobi ECO Chain и OKEx OEC в безопасности. BXH приостановил снятие средств до тех пор, пока проблема не будет решена.
  • Теория внутренней работы подтверждается выводами, указывающими на то, что злоумышленник находился в Китае, где, по словам генерального директора, базируется большая часть технической команды BXH.
  • Ван приписал эти выводы PeckShield, компании по обеспечению безопасности блокчейнов, которая работает над делом с BXH. Он сказал, что уверен, что при поддержке PeckShield и китайских властей хакера выследят.
  • По словам Вана, если хакер не будет найден или не вернет деньги, BXH возьмет на себя полную ответственность за инцидент и разработает план погашения долга.
  • BXH предлагает вознаграждение в размере 1 миллиона долларов всем командам, которые помогут вернуть средства, и даст хакеру неопределенное вознаграждение, если деньги будут возвращены.
  • PeckShield подтвердил теорию об утечке ключа администратора в твиттере рано утром в понедельник, не предоставив подробностей.
  • По словам генерального директора, BXH также подала иск в полицию сетевой безопасности Китая, специальную службу, которая расследует цифровые преступления.
  • Взлом — одна из нескольких атак на проекты DeFi за последние пару месяцев. Всего за несколько дней до атаки на BXH компания Cream Finance понесла убытки в размере 130 миллионов долларов. В августе произошел крупнейший взлом в истории DeFi, когда межсетевой протокол Poly Network потерял 600 миллионов долларов, которые в конечном итоге были возвращены.

Cream Finance

Cream Finance130 миллионов долларовПлатформа DeFiFlash LoanЗлоумышленник  инициировал серию экспресс-кредитов, чтобы отчеканить около 1,5 млн долларов США в crYUSD. Затем злоумышленник воспользовался функцией Cream PriceOracleProxy, чтобы искусственно увеличить стоимость своего crYUSD до ~3 млрд долларов. 2 миллиарда долларов из этой суммы были сняты для погашения непогашенных экспресс-кредитов злоумышленника, а оставшийся 1 миллиард долларов был использован для истощения всех активов Cream, доступных для кредитования (130 миллионов долларов).
DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Хакеры украли 130 миллионов долларов у Cream Finance

Хакеры украли криптовалютные активы на сумму около 130 миллионов долларов из Cream Finance, платформы децентрализованного финансирования (DeFi), которая позволяет пользователям давать кредиты и спекулировать на колебаниях цен на криптовалюту.

Инцидент, обнаруженный ранее сегодня фирмами по безопасности блокчейна  PeckShield  и  SlowMist , был  подтвержден  командой Cream Finance ранее сегодня.

Злоумышленники, как полагают, обнаружили уязвимость в кредитной системе платформы, называемую флэш-кредитованием, и использовали ее для кражи всех активов и токенов Cream, работающих на блокчейне Ethereum, согласно данным компании BlockSec, занимающейся безопасностью блокчейна, которая также опубликовала объяснение уязвимость безопасности в Твиттере ранее сегодня.

Наш первоначальный анализ атаки Cream Finance: https://t.co/TysI7fjyPU @Mudit__Gupta @bantg @CreamdotFinance рис.твиттер.com/wScUvizBtX— BlockSec (@BlockSecTeam) 

27 октября 2021 г.


Разбивка украденных средств доступна ниже, любезно предоставленная командой SlowMist.

DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Примерно через шесть часов после атаки Cream Finance заявила, что исправила ошибку, использованную при взломе, с помощью криптовалютной платформы Yearn.

Даже если первоначальный кошелек злоумышленника, использовавшийся для кражи крупной суммы средств, был  идентифицирован , средства уже были перемещены на новые счета, и существует небольшая вероятность того, что украденную криптовалюту можно будет отследить и вернуть в хранилище. Платформа.

Сегодняшний взлом знаменует собой третий случай взлома Cream Finance в этом году после того, как компания потеряла  37 миллионов долларов в феврале  и еще  29 миллионов долларов в августе .

Все атаки были эксплойтами для флэш-кредитов, что является распространенным способом взлома большинства платформ DeFi за последние два года.

Взломы, связанные с DeFi, составили 76% всех крупных взломов в 2021 году, и пользователи потеряли более 474 миллионов долларов в результате атак на платформы DeFi в этом году,  говорится в отчете CipherTrace за август .

Точно так же взломы DeFi также составили 21% всех взломов криптовалюты и кражи средств в 2020 году после того, как годом ранее, в 2019 году, их почти не существовало, говорится в том же отчете CipherTrace в  прошлом году .

Ограбление Cream также стало вторым по величине взломом криптовалюты в этом году после того, как в августе платформа DeFi Poly Network потеряла  600 миллионов долларов . Однако человек, стоящий за взломом Poly,   через две недели вернул все украденные средства , пообещав, что компания не будет предъявлять обвинения.


Vulcan Forged

Vulcan Forged140 миллиона долларовПлатформа DeFiНарушение безопасностиЗлоумышленник получил доступ к закрытым ключам 96 адресов и отправил их содержимое на подконтрольные хакеру кошельки.
DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Игровая платформа Vulcan Forged Play-to-Earn возвращает деньги пользователям после взлома на 140 миллионов долларов

Цены на токены PYR упали на 34% до 21 доллара в понедельник после новостей о взломе.

Платформа NFT Vulcan Forged заявила во вторник, что вернула токены PYR на сумму 140 миллионов долларов почти всем инвесторам через день после взлома платформы.

  • Платформа, построенная на базе сети Polygon, предлагает более шести игр с блокчейном, децентрализованный обмен, а также невзаимозаменяемый рынок токенов.
  • «Все кошельки My Forge защищены. Лишь немногие нуждаются в возврате PYR», — написали разработчики в твиттере. Они сказали, что обратный выкуп и сжигание токенов — механизмы, с помощью которых проекты покупают токены на открытом рынке и отправляют токены на «сжигающий» адрес соответственно — будут проведены в следующие дни.

Обновление: большая часть PYR была возвращена на затронутые кошельки из казны VF.
Мы изолировали токены, украденные со всех бирж CEX. Мы работаем, чтобы идентифицировать следы.
100% децентрализованное решение было, пожалуй, лучом света в этом.
Все разработки продолжаются.— Вулкан Форджед (@VulcanForged) 

13 декабря 2021 г.

  • Все возвраты производились из казны Vulcan Forged, фонда, который криптопроекты используют для накопления денег на случай кризисов. Возвраты были произведены в токенах PYR и LAVA, начиная с позднего вечера понедельника и продолжаясь до утра вторника.
  • Токены PYR упали на 34% до 21 доллара в понедельник после новостей о взломе. PYR немного восстановился до 24 долларов во время европейских часов в понедельник и снизился до 21,15 доллара на момент публикации.
  • Хакеры украли 4,5 миллиона PYR — почти 9% от общего количества токенов — на тот момент на сумму 140 миллионов долларов, а также относительно небольшое количество эфира (ETH) и полигона (MATIC).
  • Хакеры завладели более чем 96 закрытыми ключами, принадлежащими некоторым из крупнейших пользователей Vulcan Forged. Закрытые ключи — это цифровые подписи, которые подтверждают право собственности на базовый адрес, позволяя только их владельцам перемещать средства с этих адресов.

Вывод:

Эта статья создана благодаря исследованиям “Chainalysis”, предоставленных в Отчете о криптопреступлениях за 2021 - 2022 годы. Наше личное наблюдение дает понять что нужен в целом более строгий подход к безопасности для всех платформ “DeFi”, так как заблокированные средства достигли критической отметки, до более высокого исторического максимума — 256 миллиардов долларов США.


GitHub

Telegram: https://t.me/cryptodeeptech

Видеоматериал: https://youtu.be/2bt71AB2Amw

Источник: https://cryptodeep.ru/defi-attacks


DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

Crypto Deep Tech