Краткий обзор безопасности 👀
В феврале 2024 года DeFi-эксплойты привели к убыткам в размере около 8 миллионов долларов. Было обнаружено множество вредоносных предложений, что является предупреждающим сигналом для DAO. Кроме того, бэкдор, обнаруженный во фронтенде Tornado Cash, позволил злоумышленникам украсть более 3200 Ether.
DeFi-эксплойты
- Инцидент с эксплойтом Seneca
29 февраля Seneca в сетях Ethereum и Arbitrum подверглась эксплойту, повлекшему убытки в размере 6 миллионов долларов. Первопричиной стала проблема с произвольным вызовом (arbitrary call issue). Пользователям DeFi следует регулярно проверять разрешения (approvals) и сохранять бдительность! Узнайте больше об этом.
- Инцидент с эксплойтом Blueberry
23 февраля Blueberry в сети Ethereum подверглась эксплойту, повлекшему убытки в размере 1,4 миллиона долларов. Первопричиной стало использование противоречивой логики для нормализации цен на токены, что включало несоответствие между источниками цен и соответствующими методами их нормализации. MEV-бот coffeebabe_eth успешно опередил эксплойт (front-run) и вернул 367 Ether. Узнайте больше об этом.
- Инцидент с эксплойтом DeezNutz_404
22 февраля DeezNutz_404 в сети Ethereum был взломан, при этом общие убытки оцениваются примерно в 170 тысяч долларов. Первопричиной стала ошибка вычислений, вызванная самопереводом (self-transfer). Серия токенов ERC404 уже неоднократно подвергалась подобным эксплойтам. Пожалуйста, соблюдайте осторожность при инвестициях. Узнайте больше об этом.
- Инцидент с эксплойтом Particle Trade
15 февраля Particle Trade в сети Ethereum был взломан, что привело к убыткам в размере приблизительно 140 тысяч долларов. Первопричиной стали непроверенные пользовательские данные. Узнайте больше об этом.
- Инцидент с вредоносным предложением протокола CheckDot
1 февраля злоумышленник подал вредоносное предложение для Checkdot Protocol, потенциальные убытки могли составить 120 тысяч долларов. После того как мы проинформировали команду Checkdot, они признали серьезность угрозы критической и внедрили исправление.
Мы предотвратили скрытую атаку на @Checkdot_proto и обеспечили сохранность активов пользователей. Команда признала серьезность угрозы критической и внедрила исправление.
— BlockSec Phalcon (@Phalcon_xyz) February 4, 2024
Вот подробный разбор инцидента.
🚨 В феврале мы обнаружили множество вредоносных предложений (nounsbr, LeagueDAO, wearecultdao и др.) и хотели бы напомнить DAO о рисках атак через предложения.
👉 Вы можете просмотреть транзакции атаки, первопричины и PoC вышеуказанных инцидентов в нашем Списке инцидентов безопасности.
Бэкдор
- Инцидент с бэкдором во фронтенде Tornado Cash
Злоумышленник внедрил бэкдор во фронтенд Tornado Cash, похитив учетные данные вкладчиков и как минимум 3200 Ether из депозитов. После введения санкций против Tornado Cash проект перешел к управлению сообществом. С тех пор проект неоднократно подвергался атакам через предложения.
Статьи в блоге
Топ-10 «потрясающих» инцидентов безопасности 2023 года
"История учит нас тому, что она ничему не учит".
В этом блоге мы описываем десять главных инцидентов безопасности 2023 года, заслуживающих внимания, и их причины.
Для каждого инцидента мы также представили первопричину и шаги атаки в следующих отдельных публикациях блога.
-
№1: Сбор MEV-ботов путем эксплуатации уязвимостей в ретрансляторе Flashbots
-
№4: Инцидент с Curve: Ошибка компилятора создает дефектный байт-код из безобидного исходного кода
-
№5: Platypus Finance: Как пережить три атаки по чистой случайности
-
№6: Инцидент с Hundred Finance: Катализатор волны эксплойтов точности в уязвимых форкнутых протоколах
-
№7: Инцидент с ParaSpace: Гонка со временем для предотвращения самой критической атаки в индустрии
-
№8: Инцидент с SushiSwap: Неуклюжая попытка спасения, приведшая к серии подражательных атак
-
№9: MEV-бот 0xd61492: Из хищника в добычу в гениальном эксплойте
-
№10: Инцидент с ThirdWeb: Несовместимость между доверенными модулями открывает уязвимость
Раскрываем механизм контроля доступа в протоколе Puffer
Интересно, как #PufferProtocol обеспечивает безопасность своих средств? Ознакомьтесь с подробным разбором архитектуры контроля доступа от BlockSec! Изучите роли, смарт-контракты и стратегии управления активами стоимостью более 900 миллионов долларов. Знание — сила!
Взгляды и решения BlockSec по обеспечению безопасности L2-блокчейнов
В этом блоге мы сначала систематически рассмотрим проблемы безопасности L2-блокчейнов, а затем предложим наши решения.
Энди Чжоу, наш генеральный директор, присоединился к ведущему DeGatchi в подкасте Scraping Bits, чтобы рассказать о том, как мы блокируем атаки в Web3. Этот блог является транскриптом подкаста.
Захватывающее партнерство
Мы рады объявить о нашем сотрудничестве с Puffer Finance (одним из ведущих протоколов рестейкинга с TVL 461 млн долларов) для проведения всестороннего аудита их кампании.
Более того, мы интегрируем Phalcon (нашу платформу для мониторинга и блокировки атак) в протокол Puffer для усиления мер безопасности.
Мероприятия
С 1 по 9 марта команда BlockSec отправляется в поездку по США.
Мы открыты для сотрудничества, общения и всего, что связано с блокчейном. Пишите нам в DM для организации встреч!
📍 Первая остановка: #ETHDenver, 1–2 марта
📍 Вторая остановка: Кремниевая долина, 3–9 марта
Обновления продуктов
В феврале мы провели вебинар по Phalcon 3.0 и собрали ценные отзывы пользователей о работе платформы.
В марте мы запускаем Phalcon 3.0 — SaaS-платформу нового поколения, которая автоматически обнаруживает и блокирует хакерские атаки, специально разработанную для протоколов, LP/трейдеров, L1/L2-сетей и бирж.
Готовьтесь к революции в сфере Web3-безопасности! 🚀
Будьте в курсе, будьте в безопасности! До встречи! 👋
