Обзор безопасности 👀
Сектор DeFi
- Взломы UwU Lend
10 и 13 июня протокол UwU Lend подвергся атакам, в результате которых потери превысили 23 млн долларов США.
Первопричиной первой атаки стала уязвимость, связанная с зависимостью от цен. Пул кредитования получал цены из 11 источников, включая 5 текущих (AMM) цен с Curve, 5 оракульных цен (EMA) с Curve и одну цену (TWAP) с Uniswap, в конечном итоге вычисляя медиану. Поскольку текущие цены можно было манипулировать в рамках одной транзакции, злоумышленник использовал флэш-кредит (flash loan), чтобы радикально изменить 5 текущих цен, в результате чего итоговая цена оказывалась минимальной или максимальной среди оракульных значений. Это привело к убыткам в размере около 20 млн долларов США.
13 июня команда UwU Lend перезапустила протокол, и он снова подвергся атаке. Злоумышленник добавил uSUSDe и WETH в качестве обеспечения, а затем занял WETH, исходя из коэффициента LTV (Loan-to-Value). Токен uSUSDe не участвовал в расчете LTV, но учитывался при расчете фактора здоровья (health factor) во время снятия ликвидности, что позволило злоумышленнику вывести больше WETH и извлечь прибыль.
Примечательно, что «белый хакер» makemake_kbo написал в Твиттере, что сообщил об этой уязвимости год назад и связывался с командой проекта, но не получил ответа, после чего в итоге опубликовал предупреждение в Twitter.
- Взлом Velocore
Первопричина: отсутствие проверки effectiveFee1e9 привело к целочисленному переполнению (underflow) в функции velocore__execute.
После атаки сеть Linea приостановила генерацию блоков на 1 час. Для L2-проектов наличие механизма экстренного реагирования более эффективно, чем остановка всей цепочки. 👉 Узнайте о первой в мире платформе для мониторинга и блокировки криптоатак здесь.
- Взлом Holograph
Компания Holograph объявила, что бывший подрядчик взломал протокол для эмиссии дополнительных токенов HLG.
Многие прошлые атаки показывают, что проекты часто жертвуют безопасностью управления закрытыми ключами ради удобства. Это делает их крайне уязвимыми для внутренних и внешних атак, направленных на получение прав администратора или самих ключей. Использование Phalcon для внешнего мониторинга позволяет осуществлять оперативный контроль в один клик, обеспечивая раннее обнаружение угроз и минимизацию потерь.
Прочее
- Взлом биржи DMM
В начале июня биржа DMM сообщила об инциденте безопасности, в ходе которого 31 мая (UTC) было похищено 4502,9 BTC (более 300 млн долларов США).
Без дополнительных подробностей от самой DMM причина остается неизвестной. Однако адрес хакера и обычный адрес DMM имели одинаковые первые пять и последние два символа, а украденные BTC были выведены с мультисиг-адреса. Существуют предположения, что это была внесетевая атака (off-chain), в ходе которой был подменен адрес перевода, что ввело персонал в заблуждение и побудило их подписать транзакцию. Отслеживайте движение средств с помощью MetaSleuth здесь.
- Kraken
19 июня директор по безопасности Kraken Ник Перкоко сообщил в X, что они получили отчет об «экстремально критической» уязвимости от компании по безопасности через свою программу bug bounty. В отчете утверждалось, что найдена уязвимость, позволяющая искусственно увеличивать балансы аккаунтов. Однако после того, как Kraken устранила уязвимость, они обнаружили подозрительное поведение во время переговоров с этой компанией, связанное с суммой в 3 миллиона долларов. Пост Ника Перкоко: Смотреть пост
Позже CertiK признала ответственность за произошедшее в X, раскрыла дополнительную информацию и объяснила свои действия. Они подчеркнули, что проводили многодневные тесты на Kraken и уже вернули средства. Этот инцидент вызвал оживленную дискуссию в сообществе. Пост CertiK: Смотреть пост Узнайте первопричину здесь, а пример транзакции здесь.
- CoinStats
Проект CoinStats понес убытки в размере 2 млн долларов США в результате атаки. Их генеральный директор заявил, что взлом произошел из-за фишинговой атаки (социальной инженерии) на сотрудника, что привело к компрометации их инфраструктуры AWS. Нажмите здесь, чтобы узнать больше.
Статьи в блоге
BlockSec подготовила серию «Solana Simplified», которая включает статьи об основных концепциях блокчейна Solana, руководства по написанию смарт-контрактов для Solana и гиды по анализу транзакций в этой сети. Цель — помочь читателям понять экосистему Solana и освоить навыки, необходимые для разработки проектов и совершения транзакций.
01: Освойте ключевые концепции Solana за одно прочтение
02: Написание вашего первого смарт-контракта для Solana с нуля
03: Понимание транзакций Solana за 5 минут
Саммит BlockSec X Solana
С 20 по 22 июня компания BlockSec приняла участие в форуме 2024 Solana Summit APAC в Куала-Лумпуре. С нетерпением ждем встречи с вами на других мировых мероприятиях в будущем!
Phalcon Explorer теперь полностью поддерживает Solana!
Phalcon Explorer представил новые функции для улучшения пользовательского опыта и работы разработчиков, в том числе:
🚀 Понятные связи между аккаунтами и изменениями токенов
🚀 Тегирование MEV-транзакций и более 300 млн меток адресов
🚀 Точная и ясная иерархия вызовов функций с возможностью развертывания уровней
Опробуйте Phalcon Explorer здесь
Нажмите здесь, чтобы узнать больше
