Back to Blog

Ежемесячный обзор безопасности: февраль 2024 г.

March 1, 2024
4 min read

Краткий обзор безопасности 👀

В феврале 2024 года DeFi-эксплойты привели к убыткам в размере около 8 миллионов долларов. Было обнаружено множество вредоносных предложений, что является предупреждающим сигналом для DAO. Кроме того, бэкдор, обнаруженный во фронтенде Tornado Cash, позволил злоумышленникам украсть более 3200 Ether.

DeFi-эксплойты

  • Инцидент с эксплойтом Seneca

29 февраля Seneca в сетях Ethereum и Arbitrum подверглась эксплойту, повлекшему убытки в размере 6 миллионов долларов. Первопричиной стала проблема с произвольным вызовом (arbitrary call issue). Пользователям DeFi следует регулярно проверять разрешения (approvals) и сохранять бдительность! Узнайте больше об этом.

  • Инцидент с эксплойтом Blueberry

23 февраля Blueberry в сети Ethereum подверглась эксплойту, повлекшему убытки в размере 1,4 миллиона долларов. Первопричиной стало использование противоречивой логики для нормализации цен на токены, что включало несоответствие между источниками цен и соответствующими методами их нормализации. MEV-бот coffeebabe_eth успешно опередил эксплойт (front-run) и вернул 367 Ether. Узнайте больше об этом.

  • Инцидент с эксплойтом DeezNutz_404

22 февраля DeezNutz_404 в сети Ethereum был взломан, при этом общие убытки оцениваются примерно в 170 тысяч долларов. Первопричиной стала ошибка вычислений, вызванная самопереводом (self-transfer). Серия токенов ERC404 уже неоднократно подвергалась подобным эксплойтам. Пожалуйста, соблюдайте осторожность при инвестициях. Узнайте больше об этом.

  • Инцидент с эксплойтом Particle Trade

15 февраля Particle Trade в сети Ethereum был взломан, что привело к убыткам в размере приблизительно 140 тысяч долларов. Первопричиной стали непроверенные пользовательские данные. Узнайте больше об этом.

  • Инцидент с вредоносным предложением протокола CheckDot

1 февраля злоумышленник подал вредоносное предложение для Checkdot Protocol, потенциальные убытки могли составить 120 тысяч долларов. После того как мы проинформировали команду Checkdot, они признали серьезность угрозы критической и внедрили исправление.

🚨 В феврале мы обнаружили множество вредоносных предложений (nounsbr, LeagueDAO, wearecultdao и др.) и хотели бы напомнить DAO о рисках атак через предложения.

👉 Вы можете просмотреть транзакции атаки, первопричины и PoC вышеуказанных инцидентов в нашем Списке инцидентов безопасности.

Транзакции атаки в инциденте с Seneca
Транзакции атаки в инциденте с Seneca

Бэкдор

  • Инцидент с бэкдором во фронтенде Tornado Cash

Злоумышленник внедрил бэкдор во фронтенд Tornado Cash, похитив учетные данные вкладчиков и как минимум 3200 Ether из депозитов. После введения санкций против Tornado Cash проект перешел к управлению сообществом. С тех пор проект неоднократно подвергался атакам через предложения.

Статьи в блоге

Топ-10 «потрясающих» инцидентов безопасности 2023 года

"История учит нас тому, что она ничему не учит".

В этом блоге мы описываем десять главных инцидентов безопасности 2023 года, заслуживающих внимания, и их причины.

Для каждого инцидента мы также представили первопричину и шаги атаки в следующих отдельных публикациях блога.

Раскрываем механизм контроля доступа в протоколе Puffer

Интересно, как #PufferProtocol обеспечивает безопасность своих средств? Ознакомьтесь с подробным разбором архитектуры контроля доступа от BlockSec! Изучите роли, смарт-контракты и стратегии управления активами стоимостью более 900 миллионов долларов. Знание — сила!

Взгляды и решения BlockSec по обеспечению безопасности L2-блокчейнов

В этом блоге мы сначала систематически рассмотрим проблемы безопасности L2-блокчейнов, а затем предложим наши решения.

Подкаст: Как BlockSec перехватывает Web3-эксплойты на 15 миллионов долларов в режиме реального времени

Энди Чжоу, наш генеральный директор, присоединился к ведущему DeGatchi в подкасте Scraping Bits, чтобы рассказать о том, как мы блокируем атаки в Web3. Этот блог является транскриптом подкаста.

Захватывающее партнерство

Мы рады объявить о нашем сотрудничестве с Puffer Finance (одним из ведущих протоколов рестейкинга с TVL 461 млн долларов) для проведения всестороннего аудита их кампании.

Более того, мы интегрируем Phalcon (нашу платформу для мониторинга и блокировки атак) в протокол Puffer для усиления мер безопасности.

Мероприятия

С 1 по 9 марта команда BlockSec отправляется в поездку по США.

Мы открыты для сотрудничества, общения и всего, что связано с блокчейном. Пишите нам в DM для организации встреч!

📍 Первая остановка: #ETHDenver, 1–2 марта

📍 Вторая остановка: Кремниевая долина, 3–9 марта

Обновления продуктов

В феврале мы провели вебинар по Phalcon 3.0 и собрали ценные отзывы пользователей о работе платформы.

В марте мы запускаем Phalcon 3.0 — SaaS-платформу нового поколения, которая автоматически обнаруживает и блокирует хакерские атаки, специально разработанную для протоколов, LP/трейдеров, L1/L2-сетей и бирж.

Готовьтесь к революции в сфере Web3-безопасности! 🚀


Будьте в курсе, будьте в безопасности! До встречи! 👋

Sign up for the latest updates
Информационный бюллетень — июнь 2026 г.
Security Insights

Информационный бюллетень — июнь 2026 г.

Отчёт за июнь 2026: три крупнейших инцидента с общими потерями ~$22M. Honeypot атака опустошила MEV-бот на ~$15M. Уязвимости Aztec rollup привели к потере ~$4.35M. Ошибка Ed25519 в SecondFi раскрыла ключи 374 кошельков (~$2.4M).

~$4M потеряно: эксплойты Taiko и SecondFi | Еженедельник BlockSec
Security Insights

~$4M потеряно: эксплойты Taiko и SecondFi | Еженедельник BlockSec

Отчёт за 22–28 июня 2026: два инцидента, ~$4,1М потерь. Эксплойт Taiko: утечка ключа SGX + неполная политика аттестации → подделка L2-доказательств. SecondFi: уязвимость Ed25519 (нонс без секрета) → восстановление приватных ключей Cardano.

~$18 млн потеряно: jaredFromSubway, Aztec и другие | Еженедельник BlockSec
Security Insights

~$18 млн потеряно: jaredFromSubway, Aztec и другие | Еженедельник BlockSec

Еженедельный отчёт о безопасности блокчейна (15–21 июня 2026): 3 инцидента в Ethereum и BNB Chain, ~$18,3M потерь. Атака на MEV-бот jaredFromSubway (~$15M): бот одобрял свои активы недоверенным контрактам. Злоумышленник создал фиктивные токены и пулы. Также: эксплойт Aztec — отсутствие ограничения равенства в ZK-схеме.