Back to Blog

Ежемесячный обзор безопасности: апрель 2024 г.

May 1, 2024
5 min read

Обзор безопасности 👀

В апреле 2024 года инциденты безопасности, связанные с эксплуатацией уязвимостей в DeFi, привели к общим убыткам в размере ~5 млн долларов США. Большинство инцидентов было вызвано «непроверенным вводом данных пользователем» (Unverified User Input) и «проблемами контроля доступа» (Access Control Issues), при этом значительные инциденты коснулись Hedgey Finance и SaitaChain.

Совет разработчикам: Внимательно проверяйте контроль доступа к критически важным функциям и содержимое пользовательского ввода, особенно для протоколов с гибкими данными вызова (calldata). Нажмите здесь, чтобы ознакомиться с прошлыми подобными инцидентами.

  • Инцидент с Hedgey Finance

19 апреля проект @hedgeyfinance в сети Ethereum подвергся атаке, в результате которой было потеряно более 1,8 млн долларов США. Первопричиной стал непроверенный ввод данных пользователем. Важно отметить, что, хотя команда проекта и охранная компания заявляли об убытках в 40 млн долларов, реальная прибыль атакующего была ограничена из-за нехватки ликвидности в токене. В конечном итоге злоумышленник мог обналичить лишь несколько сотен долларов, поэтому мы не доверяем этой статистике. Нажмите здесь, чтобы узнать первопричину.

  • Инцидент с SaitaChain

24 апреля был атакован протокол Xbridge компании SaitaChain, что привело к потере около 1 млн долларов США из-за проблемы контроля доступа. Атакующий смог перевести все токены, разместив токен всего за 0,15 Ether. Мы обнаружили атаку немедленно и уведомили команду проекта.

  • Неизвестный контракт (0x80a0)

15 апреля был атакован неизвестный контракт (0x80a0) в сети BSC, что привело к потере ~600 тыс. долларов США. Первопричиной стал непроверенный ввод данных пользователем. Проверить оповещение.

  • Инцидент с Pike Finance

26 апреля Pike Finance потеряла около 300 тыс. долларов США в сетях Ethereum, Arbitrum и Optimism. Первопричиной стал непроверенный ввод данных пользователем из-за поддельного сообщения CCTP для вывода USDC. Мы зафиксировали инцидент немедленно, но поскольку контракт не был с открытым исходным кодом, нам пришлось ждать подтверждения и действий от команды проекта, прежде чем раскрывать транзакцию атаки.

  • Первое в США дело об эксплуатации смарт-контрактов

В первом в истории США судебном процессе, касающемся эксплуатации смарт-контрактов, обвиняемый был признан виновным в незаконном присвоении активов на сумму более 12 млн долларов США, приговорен к 3 годам тюремного заключения и конфискации полученных средств.

Эксплуатация включала проекты CremaFinance и NIRVANA FINANCE. Только из CremaFinance было незаконно присвоено более 8,8 млн долларов США. После переговоров CremaFinance согласилась выплатить 1,5 млн долларов (45 455 SOL) в качестве награды за «белый хакинг». Вот анализ потока средств инцидента с CremaFinance, который мы провели с помощью MetaSleuth.

Анализ потока средств в инциденте с CremaFinance в MetaSleuth
Анализ потока средств в инциденте с CremaFinance в MetaSleuth

👉 Чтобы узнать больше о транзакциях атак, первопричинах и доказательствах концепции (PoC) различных инцидентов безопасности, посетите наш Список инцидентов безопасности.

Статьи в блоге

В этом блоге представлена базовая идея EigenLayer и показаны новые угрозы безопасности в экосистеме рестейкинга.

В этом блоге мы покажем, как использовать MetaSleuth для отслеживания «умных» денег на примере токена $TIM в Solana, который подвергся критике как инсайдерский проект, позволивший заработать миллионы долларов США на покупке токенов $TIM.

Блог разоблачает фишинговую схему «Inferno Drainer», которая приводит к значительным убыткам, и советует пользователям совершать транзакции с осторожностью, чтобы избежать подобных мошенничеств.

В этом блоге мы покажем новый тип фишинга в Web3 и дадим рекомендации, как не стать его жертвой.

Блог дает обзор хакерских инцидентов, связанных с дренерами, нацеленными на пользователей Web3, освещает методы, используемые хакерами, и направлен на повышение осведомленности и защиты пользователей от этих тактик.

Обновления продуктов

  • 🥳 Масштабное обновление Phalcon!

Протоколы и поставщики ликвидности теперь могут отслеживать ключевые переменные, включая вложенные структуры, отображения (mappings) и массивы — особенно те, что связаны со сложными структурами данных. Пользователи могут выбирать переменные и настраивать правила мониторинга за 10 секунд без написания кода! Подробнее

Это обновление позволяет разработчикам, исследователям безопасности и поставщикам ликвидности лучше понимать и отслеживать транзакции и состояние протоколов, быстро выявляя угрозы безопасности или ошибки конфигурации для поддержания стабильности протокола и обеспечения сохранности средств.

Теперь он поддерживает полноэкранный режим (сочетание клавиш Shift+F), что позволяет разработчикам и исследователям безопасности работать более погруженно и сосредоточиться на анализе. Попробуйте!

Партнерство

  • Merlin ✖️ BlockSec

BlockSec Phalcon теперь полностью поддерживает Merlin, ведущий BTC L2! 🎉 После ETH, BSC и Arbitrum, Merlin стал четвертой сетью, поддерживаемой Phalcon!

🛡️ BlockSec Phalcon активно отслеживает ончейн-активность в Merlin Chain 24/7 и предоставляет своевременные оповещения. Теперь команды протоколов и инвесторы в сети Merlin могут подписаться на Phalcon, чтобы получить возможности мониторинга и блокировки криптохакерских атак.

🚀 Phalcon Explorer также поддерживает Merlin! Изучайте цепочки транзакций, изменения балансов и потоки средств с легкостью. Для некоторых популярных контрактов без исходного кода в проводнике Merlin Blockchain он предоставляет доступ к верифицированным контрактам.

  • Forta ✖️ BlockSec

О компании BlockSec

BlockSec — это передовая компания в области безопасности блокчейна, основанная в 2021 году группой всемирно известных экспертов по безопасности. Компания стремится повысить безопасность и удобство использования для развивающегося мира Web3, чтобы способствовать его массовому внедрению. Для этого BlockSec предоставляет услуги по аудиту безопасности смарт-контрактов и EVM-сетей, платформу Phalcon для безопасной разработки и проактивной блокировки угроз, платформу MetaSleuth для отслеживания и расследования движения средств, а также расширение MetaSuites для эффективной работы Web3-пользователей.

На сегодняшний день компания обслужила более 300 уважаемых клиентов, таких как MetaMask, Uniswap Foundation, Compound, Forta и PancakeSwap, и получила десятки миллионов долларов США в ходе двух раундов финансирования от ведущих инвесторов, включая Matrix Partners, Vitalbridge Capital и Fenbushi Capital.

Официальный сайт: https://blocksec.com/

Официальный аккаунт в Twitter: https://twitter.com/BlockSecTeam

Sign up for the latest updates
Инструменты криптокомплаенса: практическое руководство по интеграции Web3 и TradFi

Инструменты криптокомплаенса: практическое руководство по интеграции Web3 и TradFi

В 2024 году регуляторы наложили штрафы на сумму $4,2 млрд. Для Web3 и TradFi выбор правильного стека комплаенса стал обязательным условием выживания.

Руководство по комплаенс-ПО для криптовалют: технические основы и лучшие инструменты

Руководство по комплаенс-ПО для криптовалют: технические основы и лучшие инструменты

FATF, MiCA, OFAC — три регулятора, один вопрос для VASP: готова ли ваша система комплаенса к завтрашним проверкам или вы все еще живете вчерашним днем?

Как выбрать платформу для комплаенса в блокчейне, подходящую для вашего бизнеса

Как выбрать платформу для комплаенса в блокчейне, подходящую для вашего бизнеса

На каждые 10 000 USDT в сети приходится около 13 USDT «грязных» активов. Выбор платформы определяет, попадут ли эти средства на ваш баланс.