Il rientro, gli attacchi agli oracoli dei prezzi e gli exploit su sette protocolli hanno fatto sì che lo spazio della finanza decentralizzata (DeFi) perdesse almeno 21 milioni di dollari in criptovalute a febbraio.
Secondo a DeFi-centric piattaforma di analisi dei dati DefiLlama, uno dei più grandi del mese è stato l'attacco di rientro del prestito lampo a Platypus Finance, che ha portato alla perdita di fondi per 8.5 milioni di dollari.
DefiLlama ha evidenziato altri sei hack degni di nota nel mese, il primo è stato l'attacco dell'oracolo dei prezzi a BonqDAO il 1° febbraio.
BonqDAO: $ 1.7 milioni
BonqDAO ha rivelato ai suoi follower in un post del 1° febbraio che il suo Il protocollo Bonq è stato scoperto ad un attacco Oracle che ha permesso allo sfruttatore di manipolare il prezzo del token AllianceBlock (ALBT).
Lo sfruttatore ha aumentato il prezzo ALBT e ha coniato grandi quantità di BEUR. Il BEUR è stato poi scambiato con altri token su Uniswap. Quindi, il prezzo è stato ridotto quasi a zero, il che ha innescato la liquidazione dei fondi ALBT.
La società di sicurezza blockchain PeckShield ha stimato le perdite in circa $ 120 milioni, tuttavia, è stato successivamente rivelato solo dagli hacker ha incassato circa 1 milione di dollari a causa della mancanza di liquidità su BonqDAO.
Protocollo di Orione: 3 milioni di dollari
Solo un giorno dopo, l'exchange decentralizzato Orion Protocol ha subito un errore spento di circa $ 3 milioni il 2 febbraio attraverso un attacco di rientro, in cui gli aggressori hanno utilizzato uno smart contract dannoso per drenare fondi da un obiettivo con ripetuti ordini di prelievo.
Abbiamo indagato su questo attacco molto sofisticato sin dal momento in cui si è verificato. Non riapriremo la funzione Deposito fino a quando non saremo sicuri che il bug sia stato risolto, il che avverrà solo dopo aver superato con successo nuovi audit da parte delle principali società di revisione.
— Alexey Koloskov (@alexeykoloskov) 2 Febbraio 2023
Il CEO di Orion Protocol, Alexey Koloskov, ha confermato l'attacco in quel momento, assicurando a tutti: "Tutti i fondi degli utenti sono al sicuro".
"Abbiamo motivi per ritenere che il problema non sia stato il risultato di eventuali carenze nel nostro codice di protocollo principale, ma piuttosto potrebbe essere stato causato da una vulnerabilità nella combinazione di librerie di terze parti in uno degli smart contract utilizzati dai nostri broker sperimentali e privati ," Egli ha detto.
Rete dForce: $ 3.65 milioni
La rete dForce del protocollo DeFi è stata un'altra vittima di febbraio di un attacco di rientro che ha provocato perdite per circa 3.65 milioni di dollari.
In un 10 febbraio settimana, dForce ha confermato l'exploit; tuttavia, in una svolta, tutti i fondi sono stati restituiti quando l'hacker si è fatto avanti come hacker whitehat.
2/5 Poco dopo l'incidente, siamo entrati in conversazione con lo sfruttatore, che si è fatto avanti come un cappello bianco. Abbiamo accettato di offrire una taglia e abbandoneremo tutte le indagini in corso e le azioni delle forze dell'ordine.
— dForce (@dForcenet) 13 Febbraio 2023
"Il 13 febbraio 2023, i fondi sfruttati sono stati completamente restituiti al nostro multi-sig sia su Arbitrum che su Optimism, un finale perfetto per tutti", ha affermato dForce.
Platypus Finance: $ 9.1 milioni
Il 16 febbraio, il protocollo DeFi Platypus Finance ha subito un attacco di prestito lampo con il risultato che $ 8.5 milioni sono stati drenati dal protocollo.
Un rapporto post mortem dell'auditor di Platypus Omniscia ha notato che l'attacco è stato possibile a causa di codice nell'ordine sbagliato.
Il 23 febbraio, il team ha annunciato che sta cercando di restituire circa il 78% dei fondi del pool principale tramite il reminting delle stablecoin congelate.
Aggiornata la pagina dei compensi
Oggi abbiamo aggiornato la nostra pagina dei compensi! Se hai depositato o prelevato token LP dai nostri aggregatori di rendimento prima della pausa del pool, l'importo del tuo compenso verrà aggiornato di conseguenza.
Più https://t.co/GfLIn5jmtF— Ornitorinco (++) (@Platypusdefi) 3 Marzo 2023
Il team ha anche confermato il secondo e il terzo incidente, che ha portato allo sfruttamento di altri $ 667,000, con perdite totali di circa $ 9.1 milioni.
polizia francese arrestati due sospetti legati all'hacking e ha sequestrato circa $ 222,000 di asset crittografici il 25 febbraio.
Hope Finance: $ 1.86 milioni
Pochi giorni dopo, gli utenti del progetto di stablecoin algoritmico basato su arbitrato, Hope Finance, cadde preda di un exploit di smart contract il 20 febbraio, che ha visto il furto di circa 2 milioni di dollari agli utenti.
#CommunityAlert @hope_fin hanno annunciato che la comunità è stata truffata per ~ $ 2 milioni, rendendolo il più grande #escetruffa su Arbitrum nel 2023.
$ 1.86 milioni sono stati trasferiti a @TornadoCash.
Hope_fin ha pubblicato i passaggi per consentire agli utenti di ritirare i propri LP in stakehttps://t.co/hJbFXiKujt
— Avviso CertiK (@CertiKAlert) 21 Febbraio 2023
La società di sicurezza Web3 CertiK ha segnalato l'incidente il 21 febbraio, a seguito di un annuncio dell'account Twitter di Hope Finance che informava gli utenti della truffa.
Un membro del team di CertiK ha dichiarato a Cointelegraph che il truffatore aveva modificato i dettagli dello smart contract, il che ha portato al drenaggio dei fondi dal protocollo di genesi di Hope Finance:
"Sembra che il truffatore abbia cambiato il contratto di TradingHelper, il che significa che quando 0x4481 chiama OpenTrade su GenesisRewardPool i fondi vengono trasferiti al truffatore."
Dexible: $ 2 milioni
L'aggregatore di scambi multichain Dexible è stato colpito da un exploit che ha preso di mira la funzione selfSwap dell'app, con 2 milioni di dollari di criptovaluta persi a causa di l'attacco del 17 febbraio.
Secondo un post del 18 febbraio dall'exchange, “un hacker ha sfruttato una vulnerabilità nel nostro ultimo contratto intelligente. Ciò ha consentito all'hacker di rubare fondi da qualsiasi portafoglio che avesse un'approvazione di spesa non spesa sul contratto.
Cara community di Dexible, siamo spiacenti di informarti che nelle prime ore del 17 febbraio un hacker ha sfruttato una vulnerabilità nel nostro ultimo contratto smart. Ciò ha consentito all'hacker di rubare fondi da qualsiasi portafoglio che avesse un'approvazione di spesa non spesa sul contratto.
1/5
— Dexible (@DexibleApp) 17 Febbraio 2023
Dopo aver indagato, il team di Dexible ha scoperto che un utente malintenzionato aveva utilizzato la funzione selfSwap dell'app per spostare oltre 2 milioni di dollari di criptovalute dagli utenti che avevano precedentemente autorizzato l'app a spostare i propri token.
Dopo aver ricevuto i token nel proprio contratto intelligente, l'attaccante ha ritirato le monete tramite Tornado Cash in portafogli BNB sconosciuti.
Zona di lancio: $ 700,000
Finanza decentralizzata basata su BNB Chain (DeFi) il protocollo LaunchZone aveva $ 700,000 valore dei fondi drenato il 27 febbraio.
Secondo alla società di sicurezza blockchain Immunefi, un utente malintenzionato ha sfruttato un contratto non verificato per drenare i fondi.
"Un'approvazione era stata fatta al contratto non verificato 473 giorni fa dal deployer di LaunchZone", ha detto Immunefi.
Correlato: Le perdite di exploit di criptovalute a gennaio registrano un calo di quasi il 93% su base annua
Le cifre di febbraio sono in netto aumento rispetto a gennaio, secondo le cifre di DefiLlama.
Il tracker elenca solo $ 740,000 in hack alle piattaforme DeFi nel mese attraverso due protocolli: Midas Capital e ROE Finance.
Nella sua 2023 Rapporto sul crimine crittografico, la società di dati blockchain Chainalysis ha rivelato che gli hacker hanno rubato 3.1 miliardi di dollari dai protocolli DeFi nel 2022l, rappresentando oltre l'82% dell'importo totale rubato nell'anno.
Fonte: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama