Sicherheit auf einen Blick 👀
Im Februar 2024 führten DeFi-Exploits zu Verlusten von rund 8 Millionen US-Dollar. Zahlreiche bösartige Vorschläge wurden entdeckt, was eine Warnung für DAOs darstellt. Darüber hinaus ermöglichte eine im Frontend von Tornado Cash gefundene Backdoor einem Angreifer den Diebstahl von über 3200 Ether.
DeFi-Exploits
- Seneca Exploit Vorfall
Am 29. Februar erlitt Seneca auf Ethereum und Arbitrum einen Exploit, der zu einem Verlust von 6 Millionen US-Dollar führte. Die Hauptursache war ein Problem mit willkürlichen Aufrufen. DeFi-Nutzer sollten regelmäßig ihre Genehmigungen überprüfen und wachsam bleiben! Lesen Sie mehr dazu.
- Blueberry Exploit Vorfall
Am 23. Februar erlitt Blueberry auf Ethereum einen Exploit, der zu einem Verlust von 1,4 Millionen US-Dollar führte. Die Hauptursache war die Verwendung inkonsistenter Logik für die Tokenpreisnormalisierung, die eine Diskrepanz zwischen den Preisquellen und ihren jeweiligen Normalisierungsmethoden beinhaltete. Der MEV-Bot von coffeebabe_eth nutzte den Exploit erfolgreich aus und gab 367 Ether zurück. Lesen Sie mehr dazu.
- DeezNutz_404 Exploit Vorfall
Am 22. Februar wurde DeezNutz_404 auf Ethereum ausgenutzt, wobei die Gesamtverluste auf rund 170.000 US-Dollar geschätzt werden. Die Hauptursache war ein Berechnungsproblem, das durch Selbsttransfers verursacht wurde. Die ERC404-Tokenreihe hat mehrere ähnliche Exploits erlebt. Bitte seien Sie bei Investitionen vorsichtig. Lesen Sie mehr dazu.
- Particle Trade Exploit Vorfall
Am 15. Februar wurde Particle Trade auf Ethereum ausgenutzt, was zu Verlusten von etwa 140.000 US-Dollar führte. Die Hauptursache war nicht verifizierte Benutzereingaben. Lesen Sie mehr dazu.
- CheckDot Protocol Bösartiger Vorschlag Vorfall
Am 1. Februar reichte ein Angreifer einen bösartigen Vorschlag bei Checkdot Protocol ein, mit potenziellen Verlusten von 120.000 US-Dollar. Nachdem wir das Checkdot-Team informiert hatten, erkannten sie die Schwere der Bedrohung als kritisch an und implementierten eine Korrektur.
We thwarted a sneaky attack on @Checkdot_proto and kept users' assets safe. The team acknowledged the severity of the threat as critical and has implemented a fix.
— BlockSec Phalcon (@Phalcon_xyz) February 4, 2024
Here's a breakdown of the incident.
🚨 Wir haben im Februar mehrere bösartige Vorschläge entdeckt (nounsbr, LeagueDAO, wearecultdao usw.) und möchten DAOs daran erinnern, sich des Risikos von Angriffen auf Vorschläge bewusst zu sein.
👉 Angriffs-Transaktionen, Ursachen und Proof-of-Concepts der oben genannten Vorfälle finden Sie in unserer Liste der Sicherheitsvorfälle.
Backdoor
- Tornado Cash Frontend Backdoor Vorfall
Ein böswilliger Entwickler hat eine Backdoor im Frontend von Tornado Cash platziert, wodurch die Anmeldedaten von Einlegern und mindestens 3200 Ether an Einlagen gestohlen wurden. Nach der Verhängung von Sanktionen gegen Tornado Cash ging das Projekt zur Community-Governance über. Seitdem wurde das Projekt mehrfach Ziel von Angriffen auf Vorschläge.
Blog-Artikel
Die Top Zehn "Beeindruckenden" Sicherheitsvorfälle im Jahr 2023
"Was wir aus der Geschichte lernen, ist, dass wir nicht aus der Geschichte lernen."
In diesem Blog umreißen wir die zehn wichtigsten Sicherheitsvorfälle des Jahres 2023 und ihre Gründe.
Für jeden Sicherheitsvorfall präsentieren wir in den folgenden separaten Blogbeiträgen auch die Ursachen und die Angriffsschritte.
-
Nr. 1: Harvesting von MEV-Bots durch Ausnutzung von Schwachstellen im Flashbots Relay
-
Nr. 2: Euler Finance Vorfall: Der größte Hack des Jahres 2023
-
Nr. 3: KyberSwap Vorfall: Meisterhafte Ausnutzung von Rundungsfehlern mit äußerst subtilen Berechnungen
-
Nr. 4: Curve Vorfall: Compilerfehler erzeugt fehlerhaften Bytecode aus unbedenklichem Quellcode
-
Nr. 5: Platypus Finance: Überleben von drei Angriffen mit einer Portion Glück
-
Nr. 8: SushiSwap Vorfall: Ein ungeschickter Rettungsversuch führt zu einer Reihe von Nachahmungsangriffen
-
Nr. 9: MEV Bot 0xd61492: Vom Raubtier zum Opfer in einem genialen Exploit
-
Nr. 10: ThirdWeb Vorfall: Inkompatibilität zwischen vertrauenswürdigen Modulen legt Schwachstelle offen
Demystifizierung des Zugriffssteuerungsmechanismus in Puffer Protocol
Neugierig, wie #PufferProtocol seine Gelder schützt? Sehen Sie sich BlockSecs tiefgehenden Einblick in seine Zugriffssteuerungsarchitektur an! Verstehen Sie die Rollen, Smart Contracts und Strategien für die Verwaltung von über 900 Millionen US-Dollar an Vermögenswerten. Wissen ist Macht!
BlockSecs Perspektiven und Lösungen zur Sicherheit von L2 Blockchains
In diesem Blog werden wir zunächst die Sicherheitsherausforderungen von L2 Blockchains systematisch überprüfen und dann unsere Lösungen vorschlagen.
Podcast: Wie BlockSec Web3-Exploits im Wert von 15 Millionen US-Dollar in Echtzeit abgefangen hat
Andy Zhou, unser CEO, sprach mit dem Gastgeber DeGatchi im Scraping Bits Podcast darüber, wie wir Angriffe im Web3 blockieren. Dieser Blog ist eine Abschrift des Podcast-Inhalts.
Spannende Partnerschaft
Wir freuen uns, unsere Zusammenarbeit mit Puffer Finance (einem der Top-Restaking-Protokolle mit einem TVL von 461 Millionen US-Dollar) für ein umfassendes Audit der Kampagne bekannt zu geben.
Darüber hinaus integrieren wir Phalcon (unsere Plattform zur Überwachung und Blockierung von Angriffen) in das Protokoll von Puffer ein, um deren Sicherheitsmaßnahmen zu verbessern.
Veranstaltungen
Vom 1. bis 9. März begibt sich das BlockSec-Team auf seine US-Reise.
Wir sind offen für Kooperationen, Gespräche und alles, was mit Blockchain zu tun hat. DM uns für Treffen!
📍 Erster Halt: #ETHDenver, 1. bis 2. März
📍 Zweiter Halt: Silicon Valley, 3. bis 9. März
Produkt-Updates
Im Februar veranstalteten wir das Phalcon 3.0 Webinar und sammelten wertvolles Feedback von Nutzern zu Phalcon.
Im März werden wir Phalcon 3.0 launchen – eine nächste Generation von SaaS-Plattformen, die automatisch Hacks erkennt und blockiert, zugeschnitten auf Protokolle, LPs/Trader, L1/L2-Ketten und Börsen.
Machen Sie sich bereit für eine Web3-Sicherheitsrevolution! 🚀
Bleiben Sie informiert, bleiben Sie sicher! Bis zum nächsten Mal! 👋
