Rihyrja, sulmet e orakullit të çmimeve dhe shfrytëzimet në shtatë protokolle bënë që hapësira e financave të decentralizuara (DeFi) të rrjedhë të paktën 21 milionë dollarë në kripto në shkurt.
Sipas në DeFi-centric Platforma e analitikës së të dhënave DefiLlama, një nga më të mëdhenjtë në muaj ishte sulmi i rihyrjes së kredisë së shpejtë në Platypus Finance, i cili çoi në humbjen e fondeve prej 8.5 milionë dollarësh.
DefiLlama theksoi gjashtë hakime të tjera të rëndësishme gjatë muajit, i pari që ishte sulmi i çmimeve në BonqDAO më 1 shkurt.
BonqDAO: 1.7 milionë dollarë
BonqDAO u zbuloi ndjekësve të saj në një postim të 1 shkurtit se është Protokolli Bonq u ekspozua ndaj një sulmi orakull që i lejoi shfrytëzuesit të manipulonte çmimin e tokenit AllianceBlock (ALBT).
Shfrytëzuesi rriti çmimin e ALBT dhe prodhoi sasi të mëdha BEUR. BEUR më pas u këmbye me shenja të tjera në Uniswap. Më pas, çmimi u ul pothuajse në zero, gjë që shkaktoi likuidimin e trojeve të ALBT.
Firma e sigurisë Blockchain PeckShield vlerësoi se humbjet ishin rreth 120 milionë dollarë, megjithatë, më vonë u zbulua se vetëm hakerët arkëtoi rreth 1 milion dollarë për shkak të mungesës së likuiditetit në BonqDAO.
Protokolli i Orionit: 3 milionë dollarë
Vetëm një ditë më vonë, Protokolli i Orionit i decentralizuar i shkëmbimit pësoi një nga prej rreth 3 milionë dollarësh më 2 shkurt përmes një sulmi rihyrjeje, ku sulmuesit përdorën një kontratë inteligjente me qëllim të keq për të hequr fondet nga një objektiv me urdhra të përsëritur tërheqjeje.
Ne e kemi hetuar këtë sulm shumë të sofistikuar që nga minutat që ka ndodhur. Ne nuk do ta rihapim funksionin e Depozitës derisa të ndihemi të sigurt se defekti është rregulluar, i cili do të ndodhë vetëm pasi të kemi kaluar me sukses auditimet e reja nga firmat kryesore të auditimit.
— Alexey Koloskov (@alexeykoloskov) Shkurt 2, 2023
CEO i Orion Protocol, Alexey Koloskov, konfirmoi sulmin në atë kohë, duke i siguruar të gjithë se "fondet e të gjithë përdoruesve janë të sigurta dhe të sigurta".
“Ne kemi arsye të besojmë se problemi nuk ishte rezultat i ndonjë mangësie në kodin tonë të protokollit bazë, por mund të ishte shkaktuar nga një dobësi në përzierjen e bibliotekave të palëve të treta në një nga kontratat inteligjente të përdorura nga agjentët tanë eksperimentalë dhe privatë. ”, tha ai.
Rrjeti dForce: 3.65 milionë dollarë
Rrjeti i protokollit DeFi dForce ishte një tjetër viktimë e shkurtit të një sulmi të rihyrjes që rezultoi në humbje prej rreth 3.65 milionë dollarë.
Në një 10 shkurt post, dForce konfirmoi shfrytëzimin; megjithatë në një kthesë, të gjitha fondet u kthyen kur hakeri u shfaq si një haker whitehat.
2/5 Menjëherë pas ngjarjes, ne kemi hyrë në biseda me shfrytëzuesin, i cili doli si kapelë e bardhë. Ne kemi rënë dakord të ofrojmë një shpërblim dhe do të heqim të gjitha veprimet e hetimit në vazhdim dhe zbatimin e ligjit.
— dForce (@dForcenet) Shkurt 13, 2023
"Më 13 shkurt 2023, fondet e shfrytëzuara u kthyen plotësisht në multi-sig tonë si në Arbitrum ashtu edhe në Optimism, një fund i përsosur për të gjithë," tha dForce.
Platypus Finance: 9.1 milionë dollarë
Më 16 shkurt, protokolli DeFi Platypus Finance pësoi një sulm kredie të shpejtë duke rezultuar në 8.5 milionë dollarë që u hoqën nga protokolli.
Një raport pas vdekjes nga auditori i Platypus Omniscia vuri në dukje se sulmi ishte i mundur për shkak të kodi në rendin e gabuar.
Më 23 shkurt, ekipi njoftoi se ata po kërkojnë të kthejnë rreth 78% të fondeve të grupit kryesor duke rimarrë monedhat e ngrira të qëndrueshme.
Faqja e kompensimit e përditësuar
Ne kemi përditësuar faqen tonë të kompensimit sot! Nëse keni depozituar ose tërhequr argumentet LP nga grumbulluesit tanë të rendimentit përpara pauzës së grupit, shuma juaj e kompensimit do të përditësohet në përputhje me rrethanat.
më shumë https://t.co/GfLIn5jmtF— Platypus (++) (@Platypusdefi) March 3, 2023
Ekipi konfirmoi gjithashtu incidentet e dyta dhe të treta, të cilat çuan në shfrytëzimin e 667,000 dollarëve të tjerë, duke sjellë humbje totale prej rreth 9.1 milion dollarë.
policia franceze arrestoi dy të dyshuar në lidhje me hakerimin dhe sekuestroi asete kripto me vlerë rreth 222,000 dollarë më 25 shkurt.
Hope Finance: 1.86 milion dollarë
Disa ditë më vonë, përdoruesit e projektit algoritmik stablecoin të bazuar në arbitrum, Hope Finance, ra pre e një shfrytëzimi të zgjuar të kontratës më 20 shkurt, ku u vodhën rreth 2 milionë dollarë nga përdoruesit.
#Alart në Komunitet @hope_fin kanë njoftuar se komuniteti është mashtruar për 2 milion dollarë duke e bërë këtë më të madhin #dalë nga kamera në Arbitrum në 2023.
1.86 milion dollarë u transferuan në @TornadoCash.
Hope_fin ka postuar hapa që përdoruesit të tërheqin LP-në e tyre të stakuarhttps://t.co/hJbFXiKujt
— CertiKAlert (@CertiKAlert) Shkurt 21, 2023
Firma e sigurisë Web3 CertiK njoftoi incidentin më 21 shkurt, pas një njoftimi nga llogaria e Hope Finance në Twitter që njoftonte përdoruesit për mashtrimin.
Një anëtar i ekipit të CertiK tha për Cointelegraph në atë kohë se mashtruesi kishte ndryshuar detajet e kontratës inteligjente, gjë që çoi në shterimin e fondeve nga protokolli i gjenezës Hope Finance:
"Duket se mashtruesi ndryshoi kontratën TradingHelper që do të thoshte se kur 0x4481 thërret OpenTrade në GenesisRewardPool, fondet i transferohen mashtruesit."
Dexible: 2 milionë dollarë
Agregatori i shkëmbimeve me shumë zinxhirë Dexible u godit nga një shfrytëzim që synonte funksionin selfSwap të aplikacionit, me një kriptomonedhë në vlerë prej 2 milionë dollarësh që humbi si rezultat i sulmi i 17 shkurtit.
Sipas një postimi të 18 shkurtit nga Exchange, “një haker shfrytëzoi një dobësi në kontratën tonë më të re inteligjente. Kjo i lejoi hakerit të vidhte fonde nga çdo portofol që kishte një miratim të shpenzimeve të pashpenzuara për kontratën.”
I nderuar komunitet Dexible, me keqardhje ju informojmë se në orët e para të 17 shkurtit, një haker shfrytëzoi një dobësi në kontratën tonë më të re inteligjente. Kjo i lejoi hakerit të vidhte fonde nga çdo portofol që kishte një miratim të shpenzimeve të pashpenzuara për kontratën.
1/5
— Dexible (@DexibleApp) Shkurt 17, 2023
Pas hetimeve, ekipi i Dexible zbuloi se një sulmues kishte përdorur funksionin selfSwap të aplikacionit për të lëvizur kripto me vlerë mbi 2 milionë dollarë nga përdoruesit që kishin autorizuar më parë aplikacionin për të lëvizur argumentet e tyre.
Pas marrjes së argumenteve në kontratën e tyre inteligjente, sulmuesi i tërhoqi monedhat përmes Tornado Cash në kuletat e panjohura BNB.
LaunchZone: 700,000 dollarë
Financa e decentralizuar e bazuar në zinxhirin BNB (DeFi) protokolli LaunchZone kishte 700,000 dollarë Vlera e fondeve u zbraz më 27 shkurt.
Sipas për firmën e sigurisë blockchain Immunefi, një sulmues përdori një kontratë të paverifikuar për të kulluar fondet.
“Kontrata e paverifikuar ishte bërë një miratim 473 ditë më parë nga shpërndarësi i LaunchZone,” tha Immunefi.
Related: Humbjet e shfrytëzimit të kriptove në janar shohin gati 93% rënie nga viti në vit
Shifrat e shkurtit janë një rritje e theksuar nga janari, sipas shifrave të DefiLlama.
Gjurmuesi liston vetëm 740,000 dollarë hakime në platformat DeFi në muaj në dy protokolle - Midas Capital dhe ROE Finance.
Në 2023 saj Raporti i Krimit Crypto, firma e të dhënave blockchain Chainalysis zbuloi se hakerët vodhën 3.1 miliardë dollarë nga protokollet DeFi në 2022l, duke përbërë më shumë se 82% të shumës totale të vjedhur në vit.
Burimi: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama