16 эксплоитов на $163млн, что на 15% больше чем в июле

Анонимный держатель $BTC – $91.4M
btcturk – $54M
ODIN•FUN – $7M
BetterBank.io – $5M
CrediX Finance – $4.5M

Анонимный держатель потерял $91.4млн - потеряно 783.75 $BTC.

Злоумышленник выдавал себя за представителей поддержки как криптовалютной биржи, так и компании, выпускающей аппаратные кошельки.

(название бирж и кошельков не уточнялось)

Жертву убедили раскрыть приватные данные кошелька, после чего средства были выведены

Btcturk - $54млн

Централизованная биржа - компрометация внутренних ключей доступа и инфраструктуры. Хакеры получили доступ к горячим кошелькам и вывели активы.

(не смарт-контрактный эксплойт, а операционный риск централизованных кастодианов (как в случае с Mt.Gox, Coincheck). Слабое место - хранение приватных ключей.)

получилось так, что:

Средства клиентов хранились в централизованных горячих кошельках

Хакеры получили доступ к этим приватным ключам (через взлом инфраструктуры, инсайд или утечку), после чего смогли вывести активы.

поэтому не храним деньги на Централизованных биржах (Binance, bybit, huobi и так далее), переходим на MetaMask а еще лучше на аппаратные кошельки

ODIN•FUN - $7млн

defi-платформа

эксплойт смарт-контракта с ошибкой в проверке условий, позволивший злоумышленнику несколько раз выводить активы (reentrancy-подобный сценарий).

Ошибка в коде смарт-контракта - Не было жёстких ограничений на повторный вызов функции, что дало атакующему возможность обойти баланс-чеки.

BetterBank.io - $5млн

злоумышленник использовал манипуляцию ценовым оракулом (oracle manipulation) - внёс актив с низкой ликвидностью, искусственно завысил его цену и взял под него чрезмерный кредит.

Ошибка - небезопасный оракул, отсутствие защиты от flash loan атак.

CrediX Finance - $4.5M

эксплойт уязвимости в смарт-контрактном пуле ликвидности. Вектор атаки - flash loan + неправильная проверка залогов.

Ошибка - уязвимость в экономической модели смарт-контракта, где проверка условий займа не учитывала резкие ценовые колебания.

🦉 Выводы для разработчиков

Из ситуации с BtcTurk - не хранить ключи централизованно без многоуровневой защиты.

используем аппаратные модули (HSM), мультисиг, сегрегация холодных/горячих кошельков.

Из ситуации с ODIN•FUN - аудиты, использование проверенных библиотек - OpenZeppelin, защита от reentrancy (checks-effects-interactions).

fravoll.github.io/solidity-patterns/checks_effects_interactions.html

И смежные ситуации BetterBank.io и CrediX - защищать оракулы и экономику протокола.

Оракулы - Chainlink, лимиты на flash loans, стресс-тесты экономической модели.

Ethereum, Solana, Arbitrum, Sui, Mantle, Eclipse, Xion, Monad разработка с нуля

1. Мобильное dApp-приложение с AI-викторинами, NFT-соцсетью и полностью ончейн беттингом.

2. Безопасные и аутентифицированные переводы Ether, Efrogs NFT и токенов $CROAK