7 פריצות לפרוטוקול DeFi בפברואר מביאות לגניבת כספים של 21 מיליון דולר: DefiLlama

כניסה מחודשת, התקפות אורקל וניצול מחירים על פני שבעה פרוטוקולים גרמו לשטח פיננסי מבוזר (DeFi) לדמם לפחות 21 מיליון דולר בקריפטו בפברואר.

פי ל-DeFi-centric פלטפורמת ניתוח נתונים DefiLlama, אחד הגדולים בחודש היה מתקפת החזרת הלוואות הבזק על Platypus Finance, שהובילה לאיבוד של 8.5 מיליון דולר.

DefiLlama הדגישה שש פריצות ראויות לציון נוספות בחודש, הראשונה הייתה מתקפת האורקל במחיר על BonqDAO ב-1 בפברואר.

*פלטפורמות DeFi ספגו שבעה התקפות במהלך פברואר. מקור: DefiLlama*

BonqDAO: 1.7 מיליון דולר

BonqDAO חשפה לעוקביה בפוסט ב-1 בפברואר כי זה פרוטוקול Bonq נחשף למתקפת אורקל שאפשרה לנצלן לתמרן את מחיר האסימון AllianceBlock (ALBT).

המנצל העלה את מחיר ALBT והטביע כמויות גדולות של BEUR. לאחר מכן, ה-BEUR הוחלף לאסימונים אחרים ב-Uniswap. לאחר מכן, המחיר ירד לכמעט אפס, מה שגרם לחיסול של ALBT troves.

חברת האבטחה בלוקצ'יין PeckShield העריכה את ההפסדים בסביבות 120 מיליון דולר, אולם מאוחר יותר התברר כי האקרים בלבד הוציא כמיליון דולר עקב חוסר נזילות ב-BonqDAO.

פרוטוקול אוריון: 3 מיליון דולר

רק יממה לאחר מכן, הבורסה המבוזרת אוריון פרוטוקול סבלה מא את של כ-3 מיליון דולר ב-2 בפברואר באמצעות מתקפת כניסה חוזרת, שבה השתמשו התוקפים בחוזה חכם זדוני כדי לנקז כספים ממטרה עם הוראות משיכה חוזרות ונשנות.

חקרנו את המתקפה המאוד מתוחכמת הזו מהדקות שהיא התרחשה. לא נפתח מחדש את פונקציית ההפקדה עד שנרגיש בטוחים שהבאג תוקן, וזה יהיה רק לאחר העברת ביקורת חדשה בהצלחה של משרדי ביקורת מובילים.
- אלכסיי קולוסקוב (@alexeykoloskov) פברואר 2, 2023

מנכ"ל פרוטוקול אוריון, אלכסיי קולוסקוב, אישר את המתקפה בזמנו, והבטיח לכולם, "כל הכספים של המשתמשים בטוחים ומאובטחים".

"יש לנו סיבות להאמין שהבעיה לא הייתה תוצאה של ליקויים כלשהם בקוד פרוטוקול הליבה שלנו, אלא אולי נגרמה מפגיעות בערבוב ספריות של צד שלישי באחד החוזים החכמים המשמשים את הברוקרים הניסיוניים והפרטיים שלנו. ," הוא אמר.

רשת dForce: 3.65 מיליון דולר

פרוטוקול DeFi רשת dForce הייתה קורבן נוסף בפברואר של התקפת כניסה חוזרת שהביאה להפסדים של כ-3.65 מיליון דולר.

ב -10 בפברואר פוסט, dForce אישרה את הניצול; אולם בטוויסט, כל הכספים הוחזרו כאשר ההאקר התייצב כהאקר Whitehat.

2/5 זמן קצר לאחר האירוע, נכנסנו לשיחות עם המנצל, שהתייצב ככובע לבן. הסכמנו להציע פרס ונבטל את כל החקירה המתמשכת ופעולות אכיפת החוק.
— dForce (@dForcenet) פברואר 13, 2023

"ב-13 בפברואר 2023, הכספים המנוצלים הוחזרו במלואם למולטי-סיג שלנו הן ב-Arbitrum והן באופטימיות, סוף מושלם לכולם", אמר dForce.

Platypus Finance: 9.1 מיליון דולר

ב-16 בפברואר, פרוטוקול DeFi Platypus Finance ספג התקפת הלוואת בזק וכתוצאה מכך התרוקנו מהפרוטוקול 8.5 מיליון דולר.

דוח נתיחה שלאחר המוות ממבקר פלטיפוס אומנישיה ציין כי ההתקפה הייתה אפשרית בגלל קוד בסדר לא נכון.

ב-23 בפברואר, הצוות הודיע כי הם מבקשים להחזיר כ-78% מקרנות המאגר העיקריות על ידי החזרת מטבעות סטאבל קפואים.

דף פיצויים מעודכן
עדכנו את דף התגמול שלנו היום! אם הפקדת או משכת אסימוני LP מצוברי התשואות שלנו לפני הפסקת המאגר, סכום הפיצוי שלך יעודכן בהתאם.
עוד https://t.co/GfLIn5jmtF
— Platypus (++) (@Platypusdefi) במרץ 3, 2023

הצוות גם אישר תקריות שניות ושלישיות, שהובילו לניצול נוסף של 667,000 דולר, והביאו להפסדים של כ-9.1 מיליון דולר.

המשטרה הצרפתית עצר שני חשודים הקשורים לפריצה ותפסה נכסי קריפטו בשווי של כ-222,000 דולר ב-25 בפברואר.

Hope Finance: 1.86 מיליון דולר

כמה ימים לאחר מכן, משתמשים בפרויקט אלגוריתמי סטablecoin מבוסס-ארביטרום, Hope Finance, נפל טרף לניצול חוזה חכם ב-20 בפברואר, שבו נגנבו כ-2 מיליון דולר ממשתמשים.

#CommunityAlert @hope_fin הכריזו על הונאה של הקהילה ב-2 מיליון דולר, מה שהופך אותה לגדולה ביותר #exitscam ב-Arbitrum בשנת 2023.
1.86 מיליון דולר הועברו אל @TornadoCash.
Hope_fin פרסמו שלבים למשתמשים למשוך את ה-LP שלהםhttps://t.co/hJbFXiKujt
— CertiKAlert (@CertiKAlert) פברואר 21, 2023

חברת האבטחה Web3 CertiK סימנה את התקרית ב-21 בפברואר, בעקבות הודעה מחשבון הטוויטר Hope Finance שהודיעה למשתמשים על ההונאה.

חבר בצוות CertiK אמר ל-Cointelegraph בזמנו שהרמאי שינה את פרטי החוזה החכם, מה שהוביל לניקוז הכספים מפרוטוקול Genesis של Hope Finance:

"נראה שהרמאי שינה את חוזה TradingHelper שפירושו שכאשר 0x4481 מתקשר ל-OpenTrade ב- GenesisRewardPool, הכספים מועברים לרמאי."

גמיש: 2 מיליון דולר

אגרגטור חילופי ריבוי שרשרת Dexible נפגע מניצול שכוון לפונקציית החלפה עצמית של האפליקציה, כאשר מטבעות קריפטוגרפיים בשווי 2 מיליון דולר אבדו כתוצאה מכך הפיגוע ב-17 בפברואר.

לפי פוסט מהבורסה ב-18 בפברואר, "האקר ניצל פגיעות בחוזה החכם החדש שלנו. זה איפשר להאקר לגנוב כספים מכל ארנק שהיה לו אישור הוצאה שלא הוצא על החוזה".

קהילת Dexible היקרה, אנו מצטערים להודיע לך שבשעות המוקדמות של ה-17 בפברואר, האקר ניצל פגיעות בחוזה החכם החדש שלנו. זה איפשר להאקר לגנוב כספים מכל ארנק שהיה לו אישור הוצאה שלא הוצא על החוזה.
1/5
— Dexible (@DexibleApp) פברואר 17, 2023

לאחר חקירה, צוות Dexible מצא שתוקף השתמש בפונקציית SelfSwap של האפליקציה כדי להעביר קריפטו בשווי של למעלה מ-2 מיליון דולר ממשתמשים שאישרו בעבר לאפליקציה להעביר את האסימונים שלהם.

לאחר שקיבל את האסימונים לחוזה החכם שלו, התוקף משך את המטבעות דרך טורנדו קאש אל ארנקי BNB לא ידועים.

LaunchZone: $700,000

מימון מבוזר מבוסס שרשרת BNB (DeFi) לפרוטוקול LaunchZone היו $700,000 בשווי הכספים שהתרוקנו ב-27 בפברואר.

פי לחברת אבטחת הבלוקצ'יין Immunefi, תוקף מינף חוזה לא מאומת כדי לרוקן את הכספים.

"התקבל אישור לחוזה הבלתי מאומת לפני 473 ימים על ידי מפרסת LaunchZone", אמר Immunefi.

מידע נוסף: הפסדי ניצול קריפטו בינואר רואים ירידה של כמעט 93% משנה לשנה

נתוני פברואר הם עלייה חדה מינואר, על פי נתוני DefiLlama.

הגשש מפרט רק 740,000 דולר בפריצות לפלטפורמות DeFi בחודש על פני שני פרוטוקולים - Midas Capital ו- ROE Finance.

ב2023 דוח פשע קריפטו, חברת הנתונים בלוקצ'יין Chainalysis חשפה שהאקרים גנבו 3.1 מיליארד דולר מפרוטוקולי DeFi בשנת 2022l, מהווים יותר מ-82% מהסכום הכולל שנגנב בשנה.