Ang muling pagpasok, pag-atake ng oracle sa presyo at pagsasamantala sa pitong protocol ay nagdulot ng decentralized finance (DeFi) space na dumugo ng hindi bababa sa $21 milyon sa crypto noong Pebrero.
Ayon sa sa DeFi-centric data analytics platform DefiLlama, isa sa pinakamalaki sa buwan ay ang pag-atake ng flash loan reentrancy sa Platypus Finance, na humantong sa $8.5 milyon ng mga pondong nawala.
Itinampok ng DefiLlama ang anim na iba pang kapansin-pansing mga hack sa buwan, ang una ay ang price oracle attack sa BonqDAO noong Peb 1.
BonqDAO: $1.7 milyon
Inihayag ng BonqDAO sa mga tagasunod nito sa isang post noong Peb. 1 na ito Nalantad ang Bonq protocol sa isang oracle attack na nagbigay-daan sa mapagsamantalang manipulahin ang presyo ng AllianceBlock (ALBT) token.
Tinaasan ng mapagsamantala ang presyo ng ALBT at nag-mint ng malaking halaga ng BEUR. Pagkatapos ay pinalitan ang BEUR para sa iba pang mga token sa Uniswap. Pagkatapos, ang presyo ay nabawasan sa halos zero, na nag-trigger ng pagpuksa ng ALBT troves.
Ang kumpanya ng seguridad ng Blockchain na PeckShield ay tinantiya na ang mga pagkalugi ay humigit-kumulang $120 milyon, gayunpaman, sa kalaunan ay nabunyag na ang mga hacker ay naiulat lamang. nag-cash out ng humigit-kumulang $1 milyon dahil sa kakulangan ng pagkatubig sa BonqDAO.
Orion Protocol: $3 milyon
Pagkaraan lamang ng isang araw, ang desentralisadong palitan ng Orion Protocol ay dumanas ng a off ng humigit-kumulang $3 milyon noong Peb. 2 sa pamamagitan ng reentrancy attack, kung saan gumamit ang mga attacker ng malisyosong smart contract para maubos ang mga pondo mula sa isang target na may paulit-ulit na withdrawal order.
Sinisiyasat namin ang napaka sopistikadong pag-atake na ito mula sa mga minutong nangyari ito. Hindi namin muling bubuksan ang pag-andar ng Deposit hanggang sa makadama kami ng kumpiyansa na naayos na ang bug na magiging pagkatapos lamang ng matagumpay na pagpasa ng mga bagong pag-audit mula sa mga nangungunang audit firm.
— Alexey Koloskov (@alexeykoloskov) Pebrero 2, 2023
Kinumpirma ng Orion Protocol CEO Alexey Koloskov ang pag-atake noong panahong iyon, na tinitiyak sa lahat, "Ligtas at secure ang lahat ng pondo ng user."
"Mayroon kaming mga dahilan upang maniwala na ang isyu ay hindi resulta ng anumang mga pagkukulang sa aming pangunahing protocol code, ngunit sa halip ay maaaring sanhi ng isang kahinaan sa paghahalo ng mga third-party na aklatan sa isa sa mga matalinong kontrata na ginagamit ng aming mga eksperimental at pribadong broker ," sinabi niya.
dForce Network: $3.65 milyon
Ang DeFi protocol dForce network ay isa pang biktima ng Pebrero ng reentrancy attack na nagresulta sa pagkalugi ng humigit-kumulang $3.65 milyon.
Sa isang Peb. 10 magpaskil, kinumpirma ng dForce ang pagsasamantala; gayunpaman sa isang twist, ang lahat ng mga pondo ay ibinalik nang ang hacker ay sumulong bilang isang whitehat hacker.
2/5 Di-nagtagal pagkatapos ng insidente, nakipag-usap kami sa mapagsamantala, na humarap bilang isang whitehat. Kami ay sumang-ayon na mag-alok ng bounty at ibababa ang lahat ng patuloy na pagsisiyasat at mga aksyon sa pagpapatupad ng batas.
— dForce (@dForcenet) Pebrero 13, 2023
"Noong Peb. 13, 2023, ang mga pinagsamantalang pondo ay ganap na naibalik sa aming multi-sig sa parehong Arbitrum at Optimism, isang perpektong pagtatapos para sa lahat," sabi ng dForce.
Platypus Finance: $9.1 milyon
Noong Peb. 16, DeFi protocol Platypus Finance nagdusa ng flash loan attack na nagreresulta sa $8.5 milyon na naubos mula sa protocol.
Ang ulat ng post-mortem mula sa auditor ng Platypus na si Omniscia ay nagsabi na ang pag-atake ay posible dahil sa code sa maling pagkakasunod-sunod.
Noong Peb. 23, inanunsyo ng team na hinahangad nilang ibalik ang humigit-kumulang 78% ng pangunahing pondo ng pool sa pamamagitan ng pag-remining ng mga nakapirming stablecoin.
Na-update na pahina ng kompensasyon
Na-update namin ang aming compensation page ngayon! Kung nagdeposito o nag-withdraw ka ng mga LP token mula sa aming mga aggregator ng ani bago ang pag-pause ng pool, ang halaga ng iyong kabayaran ay ia-update nang naaayon.
pa https://t.co/GfLIn5jmtF— Platypus (++) (@Platypusdefi) Marso 3, 2023
Kinumpirma din ng koponan ang pangalawa at pangatlong insidente, na humantong sa isa pang $667,000 na pinagsamantalahan, na nagdala ng kabuuang pagkalugi na humigit-kumulang $9.1 milyon.
Pranses na pulis arestado ang dalawang suspek na may kaugnayan sa hack at nasamsam ang humigit-kumulang $222,000 na halaga ng crypto asset noong Peb. 25.
Hope Finance: $1.86 milyon
Pagkalipas ng ilang araw, ang mga user ng arbitrum-based algorithmic stablecoin project, Hope Finance, naging biktima ng isang matalinong pagsasamantala sa kontrata noong Peb. 20, na nakakita ng humigit-kumulang $2 milyon na ninakaw mula sa mga user.
#CommunityAlert @hope_fin ay inihayag na ang komunidad ay na-scam para sa ~$2m na ginagawa itong pinakamalaki #exitscam sa Arbitrum noong 2023.
$1.86m ay inilipat sa @TornadoCash.
Ang Hope_fin ay nag-post ng mga hakbang para sa mga user na bawiin ang kanilang staked LPhttps://t.co/hJbFXiKujt
— CertiKAlert (@CertiKAlert) Pebrero 21, 2023
Na-flag ng Web3 security firm na CertiK ang insidente noong Peb. 21, kasunod ng isang anunsyo mula sa Hope Finance Twitter account na nag-aabiso sa mga user ng scam.
Sinabi ng isang miyembro ng CertiK team sa Cointelegraph noong panahong iyon na binago ng scammer ang mga detalye ng smart contract, na humantong sa pag-drain ng mga pondo mula sa Hope Finance genesis protocol:
"Lumilitaw na binago ng scammer ang kontrata ng TradingHelper na nangangahulugang kapag tinawagan ng 0x4481 ang OpenTrade sa GenesisRewardPool ang mga pondo ay inililipat sa scammer."
Dexible: $2 milyon
Ang multichain exchange aggregator na si Dexible ay tinamaan ng pagsasamantala na nag-target sa selfSwap function ng app, na $2 milyon na halaga ng cryptocurrency ang nawala bilang resulta ng ang pag-atake noong Pebrero 17.
Ayon sa isang post noong Pebrero 18 mula sa palitan, "sinamantala ng isang hacker ang isang kahinaan sa aming pinakabagong matalinong kontrata. Pinahintulutan nito ang hacker na magnakaw ng mga pondo mula sa anumang pitaka na may hindi nagastos na pag-apruba sa paggastos sa kontrata."
Minamahal naming komunidad ng Dexible, ikinalulungkot naming ipaalam sa iyo na noong unang bahagi ng ika-17 ng Pebrero, sinamantala ng isang hacker ang isang kahinaan sa aming pinakabagong smart contract. Pinahintulutan nito ang hacker na magnakaw ng mga pondo mula sa anumang pitaka na may hindi nagastos na pag-apruba sa paggastos sa kontrata.
1/5
— Dexible (@DexibleApp) Pebrero 17, 2023
Pagkatapos mag-imbestiga, nalaman ng Dexible team na ginamit ng isang attacker ang selfSwap function ng app para ilipat ang mahigit $2 milyong halaga ng crypto mula sa mga user na dati nang nagpahintulot sa app na ilipat ang kanilang mga token.
Matapos matanggap ang mga token sa sarili nilang matalinong kontrata, binawi ng attacker ang mga barya sa pamamagitan ng Tornado Cash sa hindi kilalang mga wallet ng BNB.
LaunchZone: $700,000
BNB Chain-based decentralized finance (DeFi) protocol LaunchZone ay nagkaroon ng $700,000 halaga ng mga pondong naubos noong Peb. 27.
Ayon sa sa blockchain security firm na Immunefi, ginamit ng isang attacker ang isang hindi na-verify na kontrata para maubos ang mga pondo.
"Ang isang pag-apruba ay ginawa sa hindi na-verify na kontrata 473 araw ang nakalipas ng LaunchZone deployer," sabi ni Immunefi.
Ang mga numero ng Pebrero ay isang matinding pagtaas mula sa Enero, ayon sa mga numero ng DefiLlama.
Ang tracker ay naglilista lamang ng $740,000 sa mga hack sa mga DeFi platform sa buwan sa dalawang protocol — Midas Capital at ROE Finance.
Sa 2023 nito Ulat sa Krimen ng Crypto, ang blockchain data firm na Chainalysis ay nagsiwalat na ang mga hacker ay nagnakaw ng $3.1 bilyon mula sa mga protocol ng DeFi noong 2022l, na nagkakahalaga ng higit sa 82% ng kabuuang halaga na ninakaw sa taon.
Pinagmulan: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama