Краткий обзор безопасности 👀
В марте 2024 года DeFi-эксплойты привели к убыткам в размере около 81 миллиона долларов. К счастью, благодаря усилиям всех вовлеченных сторон большая часть средств была возвращена или по ней ведутся переговоры.
- Инцидент с эксплойтом PrismaFi
28 марта PrismaFi в сети Ethereum подвергся атаке, в результате которой было потеряно около 11 миллионов долларов. Первопричиной стал непроверенный пользовательский ввод. Примечательно, что атака была проведена более чем в 10 транзакциях с участием двух подражателей. Команда проекта смогла приостановить контракт через мультиподпись спустя более чем 90 минут после первой атаки. Использование Phalcon для реализации экстренной приостановки с одной подписью во время этой атаки могло бы значительно сократить убытки.
Главный атакующий выразил готовность вернуть средства, и переговоры с командой проекта все еще продолжаются, ознакомиться можно в чатах переговоров.
- Инцидент с Munchables
27 марта активы в Munchables на Blast L2 были выведены на сумму 62 млн долларов. Этот инцидент произошел из-за вредоносного обновления, реализованного разработчиками (исходный код контракта был закрыт). К счастью, команда проекта и основная команда Blast L2 приняли меры, и разработчик вернул средства. В настоящее время все средства хранятся в Safe{wallet}, контролируемом основной командой Blast L2.
Заявление об опеке; Хронология; нажмите здесь, чтобы узнать больше об инциденте.
- Инцидент с эксплойтом ParaSwap
С 19 по 21 марта ряд пользователей ParaSwap подверглись атаке, общие убытки составили не менее 300 тысяч долларов. Первопричиной стала проблема контроля доступа. Стоит отметить, что основной атакующий вернул 90% активов.
- Инцидент с эксплойтом Unizen
08 марта Unizen в сетях Ethereum и Polygon подвергся эксплойту, приведшему к убыткам в размере 2,8 миллиона долларов. Первопричиной стала проблема с непроверенным пользовательским вводом. Пользователям DeFi следует регулярно проверять свои разрешения (approvals) и сохранять бдительность!
Кроме того, «белые хакеры» отправили транзакцию спасения в Polygon через полуприватный RPC от bloXroute, но транзакция попала в мемпул и была перехвачена MEV-ботами (фронтран), что вызвало споры. Узнайте больше об этом.
- Инцидент с эксплойтом токена TGBS
06 марта токен TGBS в сети BSC подвергся эксплойту, приведшему к убыткам в размере 150 тысяч долларов. Интересно, что изменения, внесенные владельцем всего за час до этого, спровоцировали атаку, так что вполне возможно, что это еще один «rug pull» (вывод ликвидности). Проверьте уведомление
- Инцидент с эксплойтом WooFi
05 марта WooFi в сети Arbitrum подвергся эксплойту, приведшему к убыткам в размере 8,75 миллиона долларов. Первопричиной стала уязвимая ценовая зависимость. Кредитный рынок WooFi был взломан из-за того, что цена $Woo была искусственно занижена, что позволило злоумышленнику занять большое количество $Woo через флэш-кредит и легко его погасить.
Хотя ценовой механизм использовал оракул Chainlink для проверки цен, Chainlink в сети Arbitrum не предоставил цену $Woo, что не позволило предотвратить атаку. Читайте отчет о постмортем-анализе
👉 Вы можете просмотреть транзакции атаки, первопричины и доказательство концепции (PoC) вышеуказанных инцидентов в нашем Списке инцидентов безопасности.
Блоги и видео
Как L2-сети могут внедрить ряд мер для повышения безопасности топовых протоколов и защиты активов пользователей в сети.
Обеспечьте безопасность всего жизненного цикла вашего протокола с помощью BlockSec. Мы поможем вам на всех этапах: от аудита безопасности перед запуском до мониторинга и блокировки атак после запуска (Phalcon).
Генеральный директор BlockSec Яджин Чжоу выступил на Open Information House @ ETHDenver 2024 с ключевой речью под названием «BlockSec и передовая линия безопасности».
Не упустите возможность принять участие в увлекательной и содержательной дискуссии, которая обещает изменить ваше представление о безопасности блокчейна.
Партнерство
Обозреватель блокчейна Blockscout интегрировал метки адресов из MetaSuites (Ethereum, Polygon, Gnosis, Optimism и Base) и функцию GPT-объяснения транзакций (Ethereum), а также добавил быстрый доступ к Phalcon Explorer. 🎉🎉
Новый сайт, новая глава
Захватывающие новости — мы полностью обновили наш веб-сайт!
В BlockSec мы прикрываем ваши тылы, обеспечивая безопасность ваших протоколов на каждом этапе пути, от подготовки к запуску до периода после него! Нажмите здесь, чтобы изучить возможности.
- Ознакомьтесь с нашими отчетами об аудитах
- Изучите наши передовые исследования
