Главные взломы 2020: биржи, обменники, DeFi

Изоляция 2020-го года повлияла на привычный ритм жизни. Главным ключевым изменением стало переводом людей на удалёнку. Это и послужило отличной почвой для хакеров и интернет мошенников. В этой статье как раз о них и пойдет речь. Мы составили список самых громких киберпреступлений 2020 года.

Крупнейшие взломы DeFi в 2020

Сервисы DeFi в этом году росли как на грибах. Сервисов было настолько много, что аудиторы и службы безопасности площадок не успевали качественно проверить каждый их них. Закономерен итог ― барьеры безопасности нарушены, а средства депонирование смарт-контрактов попали в руки киберпреступников.

Warp Finance

Атака на Warp Finance произошла в четверг, 17 декабря, всего через день после включения поддержки по кредиту на этой платформе.

Оператор-злоумышленник запросил срочный заем, который превышал средства, доступные в качестве залога, что привело к потере 7 700 000 долларов в стейблкоинах DAI и USDC. Злоумышленник провел операцию без каких либо препятствий со стороны службы безопасности.

Origin

Хакерная атака позволила злоумышленнику захватить 7 миллионов долларов у Origin. Из этой суммы 1 миллион долларов США — это деньги, внесенные основателями и сотрудниками компании.

Хакеру удалось искусственно раздуть предложение токена, так, чтобы обменять только что выпущенные токены на USD Tether. После атаки токен Origin Dollar (OUSD), который, как считалось, всегда стоил 1 доллар, не сопротивлялся, и его цена резко упала на 85% несколько часов спустя после атаки хакера.

bZx 

В середине сентября злоумышленники напали на bZx.  Убыток биржи составил 8 000 000 долларов США, что составляет 30% средств, депонированных в его смарт-контрактах.

Но, к заверению пользователей, которые продолжали доверять bZx, несмотря на его послужной список, на этот раз их средства не подвергались риску. Злоумышленники не стремились напрямую к деньгам пользователей, а вместо этого использовали уязвимости в платформе для создания «искусственных денег».

Служба безопасности пояснила, как киберпреступникам удалось нанести ущерб:

Используя функцию _internalTransferForm () смарт-контрактов, в которых была ошибка заложенная в коде, пользователи могли искусственно увеличивать свой баланс, чтобы дублировать свои токены, а затем обменивать их на другие.

Lendf.me

Самая большая потеря была у Lendf.me. 18 апреля эта китайская кредитная платформа подверглась атаке и потеряла 25 миллионов долларов.

Как сообщал CriptoNoticias:

Кража была связана с уязвимостью в стандарте ERC-777 Ethereum. Уязвимость возникла после интеграции Lendf.me с imBTC, токеном Ethereum, который поддерживает паритет с биткойном и использует этот стандарт в качестве гарантии.

Платформа в настоящее время выведена из эксплуатации, домен Lendf.me выставлен на продажу, а социальные сети этого протокола были заброшены без обновлений с июня.

Также от хакеров пострадали многие другие сервисы DeFi:

  • Атака на Opyn была совершенна 4 августа 2020 года. Пользователи Opyn узнали, что была использована уязвимость в контрактах ETH Put. Ошибка кода позволила злоумышленнику дважды потратить токены опционов. Opyn в итоге потеряла $361,260.
  • Balancer потерял $450 000 из-за того что злоумышленник, знал, как использовать смарт-контракт для автоматизации множества действий в рамках одной транзакции.
  • Akropolis ― 12 ноября 2020 года поставщики ликвидности платформы получили известие о том, что из пула YCurve-SUSD было взято 2000000 DAI (эквивалентно той же сумме долларов США).
  • На платформе Value DeFi была совершенна кража 6 миллионов долларов. Хоть она меркнет в сравнение с Lendf.me, но кража была вероятно самой запоминающийся. Из-за того что хакер посочувствовал мольбам двух жертв и вернул им часть добычи.

KuCoin — крупнейший взлом в истории

KuCoin — это биржа, базирующийся в Сингапуре. Она была взломана 25 сентября, сумма её потерь из-за дыр в безопасности составила $281 000 000, что поставило этот взлом на 3-те место среди всех взломов криптобирж. Команда KuCoin узнала о нарушении безопасности, когда заметила, что с одного из кошельков KuCoin были сняты крупные суммы, которые команда не санкционировала.

Но благо для всех пользователей, KuCoin заявил: 

Если какой-либо счёт пользователя пострадал от этого инцидента, он будет полностью покрыт KuCoin и нашим страховым фондом

Uniswap

Хакеры развернули две атаки с повторным входом, что стало возможным благодаря известной уязвимости, обнаруженной в токене ERC777 Uniswap Exchange. Tokenlon, компания, создавшая токен imBTC, работающий на платформе Uniswap, предоставляет  хронологию  событий:

18 апреля. Злоумышленник использовал уязвимость с Uniswap и ERC777, чтобы выполнить атаку повторного входа.

12:12 18 апреля в. Команда Tokenlon заметила аномалию, определила инцидент как проблему безопасности уровня P0 и создала группу экстренного реагирования.

18 апреля в 12:49. После оценки ситуации Tokenlon приостановил перевод imBTC и уведомил партнеров imBTC, включая Lendf.Me, для оценки потенциальных рисков безопасности.

18 апреля в 17:45. Перевод imBTC был возобновлен после получения подтверждения от Lendf.Me и других партнеров о том, что это нормально.

19 апреля в 09:28 Tokenlon получил сообщение от Lendf.me об атаке повторного входа, аналогичной той, что произошла с Uniswap, что привело к большому количеству ненормальных заимствований на платформе.

19 апреля в 10:12. Чтобы сотрудничать с расследованием атаки повторного входа, Tokenlon приостановил передачу imBTC ».

Coincheck

31 мая в официальном заявлении токийской организации сообщается, что злоумышленники захватили один из доменов Coincheck для проведения целевых фишинговых атак на клиентов.

Coincheck заявил, что в ходе инцидента была раскрыта определенная личная информация, такая как имена, зарегистрированные адреса, даты рождения, номера телефонов. Однако цифровые активы не пострадали.

Cashaa

Cashaa поделился, что потерял 336 биткойнов из-за хакера. Злоумышленник смог внедрить вредоносное ПО на один из компьютеров биржи. Атака была запущена, когда сотрудник получил доступ к зараженной машине для выполнения двух переводов.

Автор: Кирилл Руддин, аналитик Freedman Сlub Crypto News

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии