Kemasukan semula, serangan harga oracle dan eksploitasi merentas tujuh protokol menyebabkan ruang kewangan terdesentralisasi (DeFi) mengalirkan sekurang-kurangnya $21 juta dalam kripto pada bulan Februari.
Menurut kepada DeFi-centric platform analisis data DefiLlama, salah satu yang terbesar pada bulan itu ialah serangan kemasukan semula pinjaman kilat ke atas Platypus Finance, yang membawa kepada $8.5 juta dana hilang.
DefiLlama menyerlahkan enam lagi penggodaman penting pada bulan itu, yang pertama ialah serangan harga oracle ke atas BonqDAO pada 1 Feb.
BonqDAO: $1.7 juta
BonqDAO mendedahkan kepada pengikutnya dalam siaran 1 Feb bahawa ia Protokol Bonq telah didedahkan kepada serangan oracle yang membenarkan pengeksploitasi memanipulasi harga token AllianceBlock (ALBT).
Pengeksploitasi menaikkan harga ALBT dan menghasilkan sejumlah besar BEUR. BEUR kemudiannya ditukar dengan token lain di Uniswap. Kemudian, harga telah menurun kepada hampir sifar, yang mencetuskan pembubaran troves ALBT.
Firma keselamatan rantaian blok PeckShield menganggarkan kerugian sekitar $120 juta, bagaimanapun, ia kemudiannya didedahkan penggodam dilaporkan hanya mengeluarkan wang sekitar $1 juta disebabkan kekurangan kecairan pada BonqDAO.
Protokol Orion: $3 juta
Hanya sehari kemudian, pertukaran terdesentralisasi Orion Protocol mengalami a off kira-kira $3 juta pada 2 Februari melalui serangan kemasukan semula, di mana penyerang menggunakan kontrak pintar berniat jahat untuk mengalirkan dana daripada sasaran dengan perintah pengeluaran berulang.
Kami telah menyiasat serangan yang sangat canggih ini dari minit ia berlaku. Kami tidak akan membuka semula fungsi Deposit sehingga kami berasa yakin bahawa pepijat telah diperbaiki yang hanya akan berlaku selepas berjaya lulus audit baharu daripada firma audit terkemuka.
— Alexey Koloskov (@alexeykoloskov) Februari 2, 2023
Ketua Pegawai Eksekutif Orion Protocol Alexey Koloskov mengesahkan serangan itu pada masa itu, memberi jaminan kepada semua orang, "Semua dana pengguna selamat dan terjamin."
“Kami mempunyai sebab untuk mempercayai bahawa isu itu bukan akibat daripada sebarang kekurangan dalam kod protokol teras kami, tetapi mungkin disebabkan oleh kelemahan dalam mencampurkan perpustakaan pihak ketiga dalam salah satu kontrak pintar yang digunakan oleh broker eksperimen dan swasta kami. ,” katanya.
Rangkaian dForce: $3.65 juta
Rangkaian dForce protokol DeFi adalah satu lagi mangsa serangan masuk semula pada Februari yang mengakibatkan kerugian sekitar $3.65 juta.
Pada 10 Februari hantar, dForce mengesahkan eksploitasi; namun secara tiba-tiba, semua dana dikembalikan apabila penggodam itu tampil sebagai penggodam whitehat.
2/5 Tidak lama selepas kejadian itu, kami mengadakan perbualan dengan pengeksploitasi, yang tampil ke hadapan sebagai whitehat. Kami telah bersetuju untuk menawarkan hadiah dan akan menggugurkan semua tindakan penyiasatan dan penguatkuasaan undang-undang yang sedang berjalan.
— dForce (@dForcenet) Februari 13, 2023
"Pada 13 Feb. 2023, dana yang dieksploitasi telah dikembalikan sepenuhnya kepada multi-sig kami pada kedua-dua Arbitrum dan Optimisme, pengakhiran yang sempurna untuk semua," kata dForce.
Platypus Finance: $9.1 juta
Pada 16 Februari, protokol DeFi Platypus Finance mengalami serangan pinjaman kilat mengakibatkan $8.5 juta dihabiskan daripada protokol.
Laporan bedah siasat daripada juruaudit Platypus Omniscia menyatakan bahawa serangan itu mungkin berlaku kerana kod dalam susunan yang salah.
Pada 23 Februari, pasukan itu mengumumkan bahawa mereka sedang berusaha untuk mengembalikan kira-kira 78% daripada dana kumpulan utama dengan mengembalikan stablecoin beku.
Halaman pampasan dikemas kini
Kami telah mengemas kini halaman pampasan kami hari ini! Jika anda telah mendepositkan atau mengeluarkan token LP daripada pengagregat hasil kami sebelum kumpulan dijeda, jumlah pampasan anda akan dikemas kini dengan sewajarnya.
lebih https://t.co/GfLIn5jmtF— Platypus (++) (@Platypusdefi) Mac 3, 2023
Pasukan itu juga mengesahkan insiden kedua dan ketiga, yang membawa kepada $667,000 lagi dieksploitasi, membawa jumlah kerugian sekitar $9.1 juta.
polis Perancis menahan dua suspek yang berkaitan dengan hack itu dan merampas sekitar $222,000 aset kripto pada 25 Februari.
Harapan Kewangan: $1.86 juta
Beberapa hari kemudian, pengguna projek stablecoin algoritma berasaskan arbitrum, Hope Finance, menjadi mangsa eksploitasi kontrak pintar pada 20 Feb, yang menyaksikan kira-kira $2 juta dicuri daripada pengguna.
#Amaran Komuniti @hope_fin telah mengumumkan komuniti telah ditipu untuk ~$2j menjadikan ini yang terbesar #exitscam pada Arbitrum pada 2023.
$1.86m telah dipindahkan ke @TornadoCash.
Hope_fin telah menyiarkan langkah untuk pengguna menarik balik LP yang dipertaruhkan merekahttps://t.co/hJbFXiKujt
— CertiK Alert (@CertiKAlert) Februari 21, 2023
Firma keselamatan Web3 CertiK membenderakan insiden itu pada 21 Februari, berikutan pengumuman daripada akaun Twitter Hope Finance yang memberitahu pengguna tentang penipuan itu.
Seorang ahli pasukan CertiK memberitahu Cointelegraph pada masa itu bahawa penipu telah menukar butiran kontrak pintar, yang menyebabkan dana disalirkan daripada protokol genesis Hope Finance:
“Nampaknya penipu menukar kontrak TradingHelper yang bermakna apabila 0x4481 memanggil OpenTrade di GenesisRewardPool dana dipindahkan kepada penipu.”
Dexible: $2 juta
Pengagregat pertukaran berbilang rantaian Dexible telah dilanda eksploitasi yang menyasarkan fungsi SelfSwap aplikasi, dengan mata wang kripto bernilai $2 juta telah hilang akibat daripada serangan 17 Feb.
Menurut catatan 18 Feb dari bursa itu, “seorang penggodam mengeksploitasi kelemahan dalam kontrak pintar terbaru kami. Ini membenarkan penggodam untuk mencuri dana daripada mana-mana dompet yang mempunyai kelulusan perbelanjaan yang tidak dibelanjakan pada kontrak."
Komuniti Dexible yang dihormati, dukacita dimaklumkan kepada anda bahawa pada awal pagi 17 Februari, seorang penggodam mengeksploitasi kelemahan dalam kontrak pintar terbaharu kami. Ini membenarkan penggodam untuk mencuri dana daripada mana-mana dompet yang mempunyai kelulusan perbelanjaan yang tidak dibelanjakan pada kontrak.
1/5
— Dexible (@DexibleApp) Februari 17, 2023
Selepas menyiasat, pasukan Dexible mendapati bahawa penyerang telah menggunakan fungsi SelfSwap apl untuk memindahkan lebih daripada $2 juta nilai kripto daripada pengguna yang sebelum ini membenarkan apl untuk memindahkan token mereka.
Selepas menerima token ke dalam kontrak pintar mereka sendiri, penyerang mengeluarkan syiling melalui Tornado Cash ke dalam dompet BNB yang tidak diketahui.
Zon Pelancaran: $700,000
Kewangan terdesentralisasi (DeFi) berasaskan Rantaian BNB Protokol LaunchZone mempunyai $700,000 nilai dana habis pada 27 Feb.
Menurut kepada firma keselamatan blockchain Immunefi, seorang penyerang memanfaatkan kontrak yang tidak disahkan untuk mengalirkan dana.
"Kelulusan telah dibuat kepada kontrak yang tidak disahkan 473 hari lalu oleh pengerahan LaunchZone," kata Immunefi.
Berkaitan: Kerugian eksploitasi kripto pada bulan Januari menyaksikan penurunan hampir 93% tahun ke tahun
Angka Februari adalah peningkatan yang ketara dari Januari, menurut angka DefiLlama.
Penjejak itu menyenaraikan hanya $740,000 dalam penggodaman ke platform DeFi pada bulan itu merentas dua protokol — Midas Capital dan ROE Finance.
Dalam 2023 yang Laporan Jenayah Kripto, firma data blockchain Chainalysis mendedahkan bahawa penggodam mencuri $3.1 bilion daripada protokol DeFi pada 2022l, menyumbang lebih daripada 82% daripada jumlah yang dicuri pada tahun itu.
Sumber: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama