Статьи #Crypto
December 30, 2022

Итоги взломов и краж 22 года

Краткий обзор, как проекты теряли деньги.

Январь

Arbix Finance

Сумма потерь ~ $10,000,000.00

Арбитражный проект на BSC, тупо заскамили, украв все активы пользователей из пулов, удалив сайт и аккаунты в телеге и твиттере.

LCX

Сумма потерь ~ $7,940,000.00

CEX биржа, потерявшая деньги пользователей из-за эксплоита приватного ключа.

Crypto.com

Сумма потерь ~ $33,700,000.00

Потери от возможного эксплоита, хакеры смогли обойти 2FA и белый список кошельков.

Qubit Finance

Сумма потерь ~ $80,000,000.00

Лендинг на BSC, который позволял взать средства под залог в сети Ethereum.
Атака была на депозитную функцию в сети эфира, из-за чего средства не были заблокированны, при этом можно было получить в сети BSC эквивалент средств. На которые был взять коллатерал.

Февраль

Wormhole

Сумма потерь ~ $326,000,000.00

Кросс-чейн мост, который подвергся эксплоиту в сети Solana.
При этом команда смогла быстро устранить проблему и найти средства для компенсации потери. Так же отметились рекордным на тот момент баунти в $10M, который предложили хакеру.

Meter

Сумма потерь ~ $7,700,000.00

Мост подвергшийся атаке в сети BSC, хакер опустошил пулы ликвидности. А также пострадал протокол Hundred Finance, который занес денег в этот мост. Meter принял на себя ответственность по возмещению потерь.

Superfluid

Сумма потерь ~ $8,700,000.00

Сервис стриминга крипты, зарплата, выплаты и т.д. С помощью уязвимости в контракте, хекер смог увести средства, при этот оставив не тронутыми многие пулы. Протокол устранил уязвимость и компенсировал потери.

Dego Finance

Сумма потерь ~ $10,000,000.00

Потеряли средства в трех чейнах из-за скомпрометированных ключей.

Март

Treasure DAO

Сумма потерь ~ $1,400,000.00

NFT маркетплейс на Арбитруме, благодаря экспоиту и уязвимости повторного входа, угнали NFT пользователей.

Agave DAO & Hundred Finance

Сумма потерь ~ $11,700,000.00

  • Agave - форк Aave;
  • Hundred - форк Compound;

Оба протокола опустошили в сети Gnosis, благодаря уязвимостям в xDai. Которые не были закрыты при форке в новую сеть.

Ronin Network

Сумма потерь ~ $624,000,000.00

Сайдчейн эфира, запущенный в начале 21 года. Из-за гонки за пропускной способностью, в сети было 9 валидаторов, при наличии консунсуса у пяти валидаторов. При этом четыре валидатора управлялись одной командой. А пятым скомпрометированным валидатором стал временный RPC узел, который сделали отдельно для Axie DAO (10-й валидатор), чтобы валидировать транзакции в пиковые нагрузки сети.

Cashio

Сумма потерь ~ $48,000,000.00

Протокол в сети Солана, подвергшийся эксплоиту и бесконечной чеканке $CASH. Спустя 3 часа после эксплоита, хакер вернул средства всем аккаунтам с общей суммой меньше $100k, а остальные средства отправил на благотворительность.

"Account with less 100k have been returned. all other money will be donated to charity."

Revest Finance

Сумма потерь ~ $2,010,000.00

NFT маркетплейс, подвергшийся атаке повторного входа, при этом у проекта был пройден аудит, который проблему не выявил.

Voltage Finance

Сумма потерь ~ $4,000,000.00

Протокол подвергся экслоиту и уязвимости повторного входа от форка Compound, который был сделан их партнером в сети Fuse.

Апрель

Inverse Finance

Сумма потерь ~ $15,600,000.00

Умная MEV атака, завязанная на оракула, манипуляция с которым позволила взять коллатерал с разницей в 23 иска от цены залога.

Beanstalk

Сумма потерь ~ $181,000,000.00

Сресдтва были украдены с помощью голосования. За день до кражи, хакер разместил два голосвания:

  1. Вывод всех средств из контракта.
  2. Перевод $250k в эквиваленте $BEAN на адрес пожертвований Украине.

Хакер взял флэш-займ в размере:

  • 1 миллиарда в ($DAI 35%, $USDC - 50%, $USDT - 15%) от Aave;
  • 32M $BEAN от Uniswap v2;
  • 11.6M $LUSD от SushiSwap.

Эти средства он перелил в $BEAN на пул Curve, чтобы провести голосование. Затем вернул кредиты и ушел в закат с прибылью.

Deus DAO

Сумма потерь ~ $13,400,000.00

С помощью флэш-займа на 143,200,000 $USDC и обмена их в $DEI, хакер смог создать манипуляцию с офчейн оракулом, взяв залог под коллатерал $DEI, затем вернул быстрый займ и остался в прибыли на $13M.

Май

Fei Rari

Сумма потерь ~ $80,000,000.00

Очередной форк протокола Compound, в сети Арбитрум. Очередная атака повторного входа.

Mad Meerkat Finance

Сумма потерь ~ $2,000,000.00

Децентрализованная биржа, подверглась атаке через подмену адреса контракта в коде фронтенда, благодаря чему пользователи совершали обмен, отправляли средства на адррес хакера. Команда возместит потери пользователей из комиссий биржи.

Fortress Protocol

Сумма потерь ~ $3,000,000.00

  1. Было размещено DAO предложение, по внедрению $FTS, в качестве, коллатерала.
  2. Затем из-за наличия уязвимости в коде оракула, хакер опустошил пулы платформы используя залог в 100 $FTS

У проекта было 2 аудита от Hash0x и EtherAuthority, которые не выявили проблему.

Blizz Finance & Venus Protocol

Сумма потерь ~ $21,800,000.00

Обе платфомы потеряли средства из-за ошибки оракула Chainlink, в котором цена $LUNA имела минимально возможную отметку в $0.10. Проблема была в том, что $LUNA, которая использовалась платформами для определения стоимости залога, стремительно падала, и в какой-то момент любой желающий мог выкупить $LUNA по рыночной цене и использовать её в качестве коллатерала с минимальной оценкой в $0.10.

  • Venus - компенсировали потери из риск фонда.
  • Blizz - ушли в закат.

Июнь

Wintermute

Сумма потерь ~ $27,600,000.00

MM предоставил OP Foundation мультисиг адрес в сети Ethereum, как адрес в сети Optimism.
И после подтверждения получения двух транзакций на 1 $OP и 1M $OP, они не удосужились проверить, есть ли у них доступ к адресу.

Gym Network

Сумма потерь ~ $2,100,000.00

Несмотря на прохождение аудита от Certik и Peckshield, проект спустя какое-то время, добавил в код контракта новую функцию, которая позволила украсть токены проекта.

Благодаря эксплоиту создавались депозиты, при этом средства с кошелька не списывались, в дальнейшем злоумышленик просто депозиты $GYMNET и свапнул их на другие токены в BSC.

Inverse Finance №2

Сумма потерь ~ $5,800,000.00

Опять умная MEV атака, завязанная на оракула, манипуляция с которым позволила взять в залог токен $DOLA под коллатерал взятый на флэш-займ в 27,000 WBTC.

Harmony Bridge

Сумма потерь ~ $100,000,000.00

Были скопрометированные приватные ключи, требовалось всего 2 подписи из 5. После инцидента, разработчики изменили мультисиг на 4 из 5, но это уже в пользу бедных.

Июль

Crema Finance

Сумма потерь ~ $8,800,000.00

AMM в сети Солана. Удалось украсть активы с помощью эксплоита метода свопа и создании фэйкового контракта с фиктивными данными. Далее был взят флэш-займ для накрутки ликвидности в протоколе и на основании этой ликвидности, получена комиссия в соответствии с фэйковым контрактом.

Audius

Сумма потерь ~ $6,000,000.00

Музыкальная децентрализованная стриминг платформа. Через DAO, была разграблена казна протокола. Злоумышленик делегировал себе достаточное количество токенов $AUDIO, чтобы иметь возможность продвинуть свое предложение и украсть из казны токены $AUDIO.

Nirvana Finance

Сумма потерь ~ $3,500,000.00

Атаку была проведена с помощью флэш-займа, который был использован для чеканки $ANA, обменянной на $USDT в казначействе протокола.

Август

Nomad Bridge

Сумма потерь ~ $190,000,000.00

После планового обновления, в контракте моста была допущена ошибка, которая привела к краже средств, в которой приняли участие все кто только смог.

Slope

Сумма потерь ~ $5,300,000.00

Средства были украдены примерно с 8000 кошельков пользователей. Вероятно, было скомпрометировано приложение кошелька.

Curve Finance

Сумма потерь ~ $575,000.00

Атакующий смог перехватить управление DNS для curve.fi с помощью компрометации сервера от поставщика услуг, в следствии чего пользователь направлялся на фейковый сайт, где был подменен адрес контракта, который подписывал пользователь при взаимодействии с платформой.

Сентябрь

Wintermute

Сумма потерь ~ $162,300,000.00

Потеряли средства OP Foundation, т.к. предоставили для перевода мультисиг в сети Ethereum, вместо Optimism, не проверив доступ к хранилищу.

OP сделал два проверочных перевода на 1$OP и 1,000,000 $OP, которые wintermute подтвердил, но не проверил есть ли у них доступ к ним. Остальные 19,000,000 переслали позже.

После консультаций Wintermute и Safe, они пришли к ложному выводу, что возврат может получить только Wintermute. Хотя средства были в открытом доступе и кто угодно мог развернуть контракт.

Возможность эксплоита заключалась в том, что сейф был развернут в 2020 и содержал старую версию контракта. Благодаря чему, эксплоитер смог подобрать адрес сейфа и вывести средства.

Октябрь

Transit Swap

Сумма потерь ~ $21,200,000.00

Уязвимость находилась в закрытом контракте, и позволила злоумышленику получать подержимое кошельков, которые ранее давали разрешение на работу своп контрактов.

Но благодаря помощи со стороны, удалось получить информацию о хакере и вернуть большинство средств.

Sovryn

Сумма потерь ~ $1,111,000.00

Полу-скамовый протокол, позиционирующий себя, как DeFi, в сети биткоин. По факту не более, чем обертка предлагающая обменять свой shit токен, на битки.

Были разграблены 2 устаревших пула ликвидности, с помощью флэш-займа.

Протокол заявляет, что все потери были компенсированны.

BNB Bridge

Сумма потерь ~ $586,000,000.00

Было упраденно ~ 2,000,000 $BNB, из моста BSC Token Hub, который связывает BEP2 (Binance Beacon Chain) и BEP20 сети (Binance Smart Chain).

Эксплоит заключался в фальсификации доказательства депозита в BEP2, благодаря которому удалось отчеканить 2M монет.

Хакеру удалосьв вывести примерный эквивалент 433,000 $BNB в другие сети, пока всю сеть не отключили на 8 часов. Он разместил отчеканнеые монеты в коллатерал, из-за чего в первое время не было ясности, что именно происходит.

Mango Markets

Сумма потерь ~ $115,000,000.00

Флагманский протокол маржинальной торговли в сети Солана.

Манипуляция с ценой $MNGO

  1. 5+M $USDC, были размещены на Mango Markets;
  2. Была открыта позиция в MNGO-PERP;
  3. Спотовая цена $MNGO, была раздута в 30 раз благодаря встречной торговой позиции с другого аккаунта.
  4. Нереализованная прибыль длинной позиции была использована в качестве коллатерала, под который была взята ликвидность из пулов.

Так как хакер украл все достпуные $MNGO, он создал голосование в котором прописал условия баунти в размере $65M, проголосовав всеми 32M $MNGO за.

Спойлер - The proposal has failed.

TempleDAO

Сумма потерь ~ $2,300,000.00

Очередной форк OHM, залили контракт в котором не оказалось проверки на валидность передаваемого параметра.

Moola Market

Сумма потерь ~ $8,400,000.00

Атака с помощью манипулирования рыночной ценой нативного токена $MOO и использование его в качестве коллатерала для займов.

К счатью для всех, средства вернули протоколу оставив $525k в качестве баунти.

Team Finance

Сумма потерь ~ $15,800,000.00

Занимаются безопасностью проектов и автоматизацией. Но больше похожи на хранилище шит-коинов.

Эксплоит был в функции миграции, которая прошла аудит от Zokyo Security.

Ноябрь

Deribit

Сумма потерь ~ $28,000,000.00

Крупнейшая централизованная биржа опционов на Ethereum, Bitcoin, Solana.

Средства были украдены из скомпротированных горячих кошельков.

Биржа заявила, что все потери будут возмещены из резервов, а 99% активов храниться на холодных кошельках.

Skyward Finance

Сумма потерь ~ $3,200,000.00

Платформа на базе блокчейна NEAR. Из казны украли 1.1M $NEAR.

Суть эксплоита заключалась в отсутствии верификации параметра контракта, что позволяло бесконечно обменивать $SKYWARD на $wNEAR, пока казна не опустела.

SBF

Сумма потерь ~ $477,000,000.00

Крайне прохладная история, которая требует детального расследования.

Суть в следующем, когда валился FTX, была полная неразбериха, вывод средств с биржи приостанавливали, затем возобновляли, затем опять останавливали.

Когда начались "подозрительные" выводы, в первую очередь была идея, что SBF, дал добро на вывод китам. Затем появилась информация, что у SBF есть незадокументированная возможность выводить средства с биржи. И уже в коце всё списали на "хакера".

Стоит помнить, что никакого официального расследования еще не было, и эти средства мог спокойно увести сам SBF, либо по его указанию.

Декабрь

Ankr & Helio

Сумма потерь ~ $24,000,000.00

  1. Компрометация ключей, возможно в результате фишинговой атаки.

Скомпрометированный адрес обновил версию контракта, добавив вредоносную функицию, позволяющую чеканить монеты $aBNBc на адрес злоумышленика.

При этом аудиторы, указывали проекту на данную уязвимость.

$aBNBc токен, является токеном, который используется протоколом Ankr в прогрмме вознаграждений, за стейк токена BNB.

Все на что хватило злоумышленика, это опустощение пула на PancakeSwap и уход в закат.

  1. Один из предпреичивый спектаторов, скупая подешевевший токен $aBNBc, отправил их в проект Helio Money, до того, как оракул зафиксировал падение цены. Где отправив в коллатерал $aBNBc, взял в долг 16M $HAY, примерно $15.5M.
  2. Другой предпреимчивый пользователь, сделавший прибыль в $3.5M на этих же действиях, догадался отправить полученную прибыть на Binance, где эти средства и были успешно замороженны.

Lodestar Finance

Сумма потерь ~ $6,500,000.00

Флэш-займ и манипуляция ценой коллатерал токена $plvGLP, предоставляемую оракулом.
Ну и вишенкой, Lodestar является форком Compound.

Raydium

Сумма потерь ~ $4,400,000.00

Компрометация ключа владеющего контрактами Raydium. Позволила хакеру получить всю комиссию протокола для 9 пулов ликвидности.

ИТОГО: $ 3,296,836,000.00

Подписывайся на телеграм канал Smart Move

>>> https://t.me/smrtmv <<<

Обзоры проектов, токеномика, аналитика, сравнения.