Segurança em Destaque 👀
Setor DeFi
- Ataques ao UwU Lend
Em 10 e 13 de junho, o UwU Lend sofreu ataques que resultaram em perdas superiores a $23M.
A causa raiz do primeiro ataque foi a Dependência Vulnerável de Preços. O pool de empréstimos buscava preços de 11 fontes, incluindo 5 preços atuais (AMM) da Curve, 5 preços de oráculo da Curve (EMA) e um preço da Uniswap (TWAP), tomando a mediana ao final. Como os preços atuais podiam ser manipulados em uma única transação, o atacante usou um flash loan para alterar drasticamente os 5 preços atuais, fazendo com que o preço obtido fosse o mínimo ou o máximo dos preços do oráculo. Isso resultou em uma perda de aproximadamente $20M.
Em 13 de junho, a equipe do UwU Lend reiniciou o protocolo e foi atacada novamente. O atacante adicionou uSUSDe e WETH como garantia e então emprestou WETH com base no LTV. O uSUSDe não participava do LTV, mas participava do cálculo do fator de saúde durante a retirada de liquidez, permitindo que o atacante retirasse mais WETH e obtivesse lucro.
Notavelmente, o white hat makemake_kbo tweetou que havia relatado a vulnerabilidade um ano antes e contatado a equipe do projeto sem obter resposta, emitindo eventualmente um aviso no Twitter.
- Ataque ao Velocore
Causa Raiz: A falta de verificação no effectiveFee1e9 levou a um underflow na função velocore__execute.
Após o ataque, a Linea interrompeu a produção de blocos por 1 hora. Para projetos L2, ter um mecanismo de resposta de emergência é mais eficaz do que pausar toda a cadeia. 👉 Saiba mais sobre a primeira plataforma de monitoramento e bloqueio de ataques cripto do mundo aqui.
- Ataque ao Holograph
O Holograph anunciou que um ex-contratado explorou o protocolo para cunhar HLG adicional.
Muitos ataques anteriores mostraram que projetos frequentemente comprometem o gerenciamento de chaves privadas em prol da conveniência. Isso os expõe a riscos graves de ataques internos e externos que obtêm permissões de administrador ou chaves privadas. Usar o Phalcon para monitoramento externo permite o monitoramento operacional com um clique, possibilitando detecção precoce e minimização de perdas.
Outros
- Ataque à DMM Exchange
No início de junho, a DMM Exchange divulgou um incidente de segurança no qual 4.502,9 BTC (mais de $300M) foram roubados em 31 de maio (UTC).
Sem mais detalhes da DMM, a causa permanece desconhecida. No entanto, o endereço do hacker e o endereço normal da DMM compartilhavam os mesmos cinco primeiros e dois últimos caracteres, e o BTC roubado era de um endereço multisig. Especula-se que um ataque off-chain substituiu o endereço de transferência, enganando os responsáveis para que assinassem a transação. Use o MetaSleuth para rastrear os fundos aqui.
- Kraken
Em 19 de junho, o Diretor de Segurança da Kraken, Nick Percoco, divulgou no X que havia recebido um relatório de uma vulnerabilidade "extremamente crítica" de uma empresa de segurança por meio de seu programa de recompensas por bugs. O relatório afirmava ter encontrado uma vulnerabilidade que poderia aumentar artificialmente os saldos das contas. No entanto, após a Kraken corrigir a vulnerabilidade, eles descobriram comportamentos suspeitos durante as negociações com a empresa de segurança, envolvendo $3 milhões. Post de Nick Percoco: Ver Post
A CertiK posteriormente assumiu a responsabilidade pelo assunto no X, divulgou mais informações e explicou suas ações. Eles enfatizaram que haviam realizado testes de vários dias na Kraken e já haviam devolvido os fundos. Este incidente gerou intensa discussão na comunidade. Post da CertiK: Ver Post Confira a causa raiz aqui e a transação de exemplo aqui.
- CoinStats
A CoinStats sofreu uma perda de $2 milhões em um ataque. Seu CEO afirmou que a violação foi causada por um ataque de engenharia social a um funcionário, o que comprometeu sua infraestrutura AWS. Clique aqui para saber mais
Artigos do Blog
A BlockSec organizou a série "Solana Simplificado", que inclui artigos sobre os conceitos básicos do Solana, tutoriais sobre como escrever contratos inteligentes no Solana e guias para analisar transações no Solana. O objetivo é ajudar os leitores a entender o ecossistema Solana e dominar as habilidades essenciais para desenvolver projetos e realizar transações no Solana.
01: Domine os Conceitos Fundamentais do Solana em Uma Leitura
02: Escrevendo Seu Primeiro Contrato Inteligente no Solana do Zero
03: Entenda as Transações do Solana em 5 Minutos
BlockSec X Solana Summit
De 20 a 22 de junho, a BlockSec participou com orgulho do Solana Summit APAC 2024 em KL. Esperamos encontrar todos vocês em mais eventos globais no futuro!
O Phalcon Explorer agora oferece suporte completo ao Solana!
O Phalcon Explorer apresenta novos recursos para aprimorar a experiência de usuários e desenvolvedores, incluindo:
🚀 Relacionamentos de contas e alterações de tokens mais claros
🚀 Marcação de transações MEV e mais de 300M de rótulos de endereços
🚀 Hierarquias de chamadas de funções precisas e claras com níveis expansíveis
Experimente o Phalcon Explorer aqui
Clique aqui para saber mais
