Yedi protokoldeki yeniden giriş, fiyat oracle saldırıları ve istismarlar, merkezi olmayan finans (DeFi) alanının Şubat ayında kriptoda en az 21 milyon dolar akmasına neden oldu.
Göre DeFi merkezli veri analitiği platformu DefiLlama, ayın en büyüklerinden biri, Platypus Finance'e yapılan ve 8.5 milyon dolarlık fon kaybına yol açan ani kredi yeniden giriş saldırısıydı.
DefiLlama, ay içinde altı kayda değer hack daha vurguladı, ilki 1 Şubat'ta BonqDAO'ya yapılan fiyat kehaneti saldırısıydı.
BonqDAO: 1.7 milyon dolar
BonqDAO, 1 Şubat'ta yaptığı bir gönderiyle takipçilerine açıkladı. Bonq protokolü açığa çıktı istismarcının AllianceBlock (ALBT) belirtecinin fiyatını manipüle etmesine izin veren bir kehanet saldırısına.
Sömürücü, ALBT fiyatını artırdı ve büyük miktarlarda BEUR bastı. BEUR daha sonra Uniswap'teki diğer belirteçlerle değiştirildi. Ardından, fiyat neredeyse sıfıra düşürüldü ve bu da ALBT hazinelerinin tasfiyesini tetikledi.
Blockchain güvenlik firması PeckShield, kayıpların yaklaşık 120 milyon dolar olduğunu tahmin etti, ancak daha sonra bilgisayar korsanlarının yalnızca bildirildiğine göre ortaya çıktı. 1 milyon dolar civarında para kazandı BonqDAO'daki likidite eksikliği nedeniyle.
Orion Protokolü: 3 milyon dolar
Sadece bir gün sonra, merkezi olmayan borsa Orion Protokolü bir sorun yaşadı. kayıp Saldırganların tekrarlanan para çekme emirleri olan bir hedeften para çekmek için kötü niyetli bir akıllı sözleşme kullandığı yeniden giriş saldırısı yoluyla 3 Şubat'ta yaklaşık 2 milyon dolar.
Bu çok karmaşık saldırıyı meydana geldiği andan itibaren araştırıyoruz. Hatanın giderildiğinden emin olana kadar Mevduat işlevini yeniden açmayacağız; bu, ancak önde gelen denetim şirketlerinin yeni denetimlerini başarıyla geçtikten sonra mümkün olacaktır.
— Alexey Koloskov (@alexeykoloskov) Şubat 2, 2023
Orion Protokolü CEO'su Alexey Koloskov o sırada saldırıyı doğruladı ve herkese şu güvenceyi verdi: "Tüm kullanıcıların fonları güvende ve emniyette."
"Sorunun temel protokol kodumuzdaki herhangi bir eksiklikten kaynaklanmadığına, daha ziyade deneysel ve özel komisyoncularımız tarafından kullanılan akıllı sözleşmelerden birinde üçüncü taraf kitaplıkların karıştırılmasındaki bir güvenlik açığından kaynaklanmış olabileceğine inanmak için nedenlerimiz var" dedi.
dForce Ağı: 3.65 milyon dolar
DeFi protokolü dForce ağı, Şubat ayında yaklaşık 3.65 milyon dolar kayıpla sonuçlanan bir yeniden giriş saldırısının kurbanı oldu.
10 Şubat'ta Facebook post, dForce açıktan yararlanmayı onayladı; ancak bir değişiklikle, bilgisayar korsanı beyaz şapkalı bilgisayar korsanı olarak öne çıktığında tüm paralar iade edildi.
2/5 Olaydan kısa bir süre sonra beyaz şapkalı olarak öne çıkan istismarcı ile sohbete girdik. Bir ödül teklif etmeyi kabul ettik ve devam eden tüm soruşturma ve yasa uygulama eylemlerini bırakacağız.
— dForce (@dForcenet) Şubat 13, 2023
dForce, "13 Şubat 2023'te, istismar edilen fonlar, hem Tahkim hem de İyimserlik konusundaki çoklu imzamıza tamamen iade edildi, bu herkes için mükemmel bir son," dedi.
Platypus Finans: 9.1 milyon dolar
16 Şubat'ta DeFi protokolü Platypus Finance ani bir kredi saldırısına uğradı protokolden 8.5 milyon doların çekilmesiyle sonuçlandı.
Platypus denetçisi Omniscia'nın otopsi raporu, saldırının şu nedenlerle mümkün olduğunu kaydetti: kod yanlış sırada.
23 Şubat'ta ekip, ana havuz fonlarının yaklaşık %78'ini donmuş stablecoin'leri yeniden basarak iade etmeye çalıştıklarını duyurdu.
Tazminat sayfası güncellendi
Tazminat sayfamızı bugün güncelledik! Havuz duraklatılmadan önce getiri toplayıcılarımızdan LP tokenleri yatırdıysanız veya çektiyseniz, tazminat tutarınız buna göre güncellenecektir.
Daha https://t.co/GfLIn5jmtF— Ornitorenk (++) (@Platypusdefi) 3 Mart, 2023
Ekip ayrıca ikinci ve üçüncü vakaların da 667,000 dolarlık başka bir istismara neden olduğunu ve toplamda yaklaşık 9.1 milyon dolarlık zarara yol açtığını doğruladı.
Fransız polisi bilgisayar korsanlığıyla ilgili iki zanlı tutuklandı ve 222,000 Şubat'ta yaklaşık 25 $ değerinde kripto varlığı ele geçirdi.
Umut Finansmanı: 1.86 milyon dolar
Birkaç gün sonra, arbitrum tabanlı algoritmik stablecoin projesi Hope Finance'in kullanıcıları, bir akıllı sözleşme istismarının kurbanı oldu 20 Şubat'ta, kullanıcılardan yaklaşık 2 milyon doların çalındığı görüldü.
#Topluluk Uyarısı @hope_fin Topluluğun ~2 milyon dolar için dolandırıldığını duyurdu, bu da bunu en büyüğü yapıyor #kameradan çıkış 2023'te Arbitrum'da.
1.86 milyon dolar transfer edildi @Hayalhanemersin.
Hope_fin, kullanıcının stake edilmiş LP'lerini geri çekmesi için adımlar yayınladıhttps://t.co/hJbFXiKujt
— CertiK Uyarısı (@CertiKAlert) Şubat 21, 2023
Web3 güvenlik şirketi CertiK, Hope Finance Twitter hesabından kullanıcılara dolandırıcılığı bildiren bir duyurunun ardından 21 Şubat'ta olayı işaretledi.
CertiK ekibinin bir üyesi o sırada Cointelegraph'a dolandırıcının akıllı sözleşmenin ayrıntılarını değiştirdiğini ve bunun da Hope Finance oluşum protokolünden fonların çekilmesine yol açtığını söyledi:
"Görünüşe göre dolandırıcı TradingHelper sözleşmesini değiştirmiş, bu da 0x4481 GenesisRewardPool'da OpenTrade'i çağırdığında fonların dolandırıcıya aktarıldığı anlamına geliyordu."
Dexible: 2 milyon dolar
Çok zincirli borsa toplayıcı Dexible, uygulamanın selfSwap işlevini hedef alan bir istismardan etkilendi ve bunun sonucunda 2 milyon dolar değerinde kripto para kaybedildi. 17 Şubat saldırısı.
Borsadan 18 Şubat tarihli bir gönderiye göre, “bir bilgisayar korsanı en yeni akıllı sözleşmemizdeki bir güvenlik açığından yararlandı. Bu, bilgisayar korsanının sözleşmede harcanmamış harcama onayı olan herhangi bir cüzdandan para çalmasına izin verdi.”
Sevgili Dexible topluluğu, 17 Şubat'ın erken saatlerinde bir bilgisayar korsanının en yeni akıllı sözleşmemizdeki bir güvenlik açığından yararlandığını üzülerek bildiririz. Bu, bilgisayar korsanının sözleşmede harcanmamış harcama onayı olan herhangi bir cüzdandan para çalmasına izin verdi.
1/5
— Dexible (@DexibleApp) Şubat 17, 2023
Araştırmanın ardından Dexible ekibi, bir saldırganın uygulamanın selfSwap işlevini kullanarak, daha önce uygulamaya tokenlarını taşıma yetkisi vermiş olan kullanıcılardan 2 milyon dolar değerindeki kriptoyu taşıdığını tespit etti.
Saldırgan, jetonları kendi akıllı sözleşmesine aldıktan sonra, jetonları Tornado Cash aracılığıyla bilinmeyen BNB cüzdanlarına çekti.
LaunchZone: 700,000 Dolar
BNB Zinciri tabanlı merkezi olmayan finans (DeFi) protokol LaunchZone'un 700,000 doları vardı değerinde fon 27 Şubat'ta çekildi.
Göre Bir saldırgan, blockchain güvenlik firması Immunefi'ye fonları boşaltmak için doğrulanmamış bir sözleşmeden yararlandı.
Immunefi, "Doğrulanmamış sözleşmeye 473 gün önce LaunchZone dağıtıcısı tarafından onay verildi" dedi.
İlgili: Ocak ayındaki kripto istismar kayıpları yıllık bazda yaklaşık %93 düşüş gördü
DefiLlama rakamlarına göre Şubat rakamları Ocak ayına göre büyük bir artış.
İzleyici, iki protokolde (Midas Capital ve ROE Finance) DeFi platformlarında bir ay içinde yalnızca 740,000 $'lık saldırıları listeliyor.
Onun 2023 içinde Kripto Suç RaporuBlockchain veri şirketi Chainaliz, bilgisayar korsanlarının 3.1 yılında DeFi protokollerinden 2022 milyar dolar çaldığını ve bunun yıl içinde çalınan toplam miktarın %82'sinden fazlasını oluşturduğunu ortaya çıkardı.
Kaynak: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama