Новый рекорд в области криптовалютных ограблений установили неизвестные хакеры, похитившие у NFT-игры Axie Infinity более 600 млн долларов (173 600 ETH) и 25.5 миллионов USDC. В компании уверяют, что атака стала результатом социальной инженерии, а не какой-то уязвимости.

"Мы полностью готовы возместить убытки нашим игрокам, как можно скорее", - сказал в текстовом сообщении Александр Леонард Ларсен, главный операционный директор игровой студии Sky Mavis. "Мы все еще работаем над решением, это постоянное обсуждение".

Похищенные средства включают "вклады игроков и спекулянтов, а также доходы казначейства Axie Infinity", - сказал Ларсен. По его словам, из похищенных эфиров 56 000 принадлежали казне Axie Infinity. По словам Ларсена, компания не подозревает инсайдеров в причастности к ограблению.

Источники:
Rus: https://xakep.ru/2022/03/30/axie-infinity/
Eng: https://www.bloomberg.com/news/articles/2022-03-30/axie-owner-fully-committed-to-reimbursing-players-after-hack

#security #cybersecurity #ethereum

Пожалуй, один из немногих актуальных комментариев от ЦБ РФ. То чего им действительно стоит бояться и чего мы сегодня видим. Резиденты РФ используют крипту как инструмент в условиях финансовой турбулентности. Это правильно — для этого и нужна крипта. Покупка доллара фактически запрещена, но всегда будет легко купить стейблы, как и сейчас. Официальный курс доллара к рублю — 75 рублей за доллар. Реальный курс — 91.5 рублей за стейблкоин на bestchange.ru

Источник: https://www.rbc.ru/finances/06/04/2022/624d1b049a79471d8485e1a4

#defi #старыймир

Шведский блогер Ivan on Tech (глава Moralis Web3): "Сейчас мы взаимодействуем со стартапом, который намеревается токенизировать авторские права на музыкальные композиции и дать возможность распределённого владения, чтобы музыканты и владельцы авторских прав (токенов, NFT) могли получать роялти (гонорар). Сейчас есть открытый рынок недвижимости, акций компаний, а будет и открытый рынок авторских прав с возможностью получать распределённый гонорар. Пример: из любой страны, любой точки мира вы заходите на Uniswap, покупаете одну тысячную песни Джастина Бибера и получаете доход. Это токенизация".

Moralis Web3 ставит перед собой задачу максимально упростить и облегчить точку входа для разработчиков Web3 и предлагает все инструменты для этого. Бесплатно предоставляются ресурсы API блокчейнов и IPFS, баз данных, облачные функции, готовые шаблоны Web3 сайтов ("boilerplates"), а также видеоуроки и поддержка сообщества.

Источник (Eng.): https://www.youtube.com/watch?v=r5yxV4UdCsQ

#defi #web3

Мало кого можно удивить фактом наличия вредоносных приложений в магазине Google Play Маркет, но обычно распространением вредоносного софта занимаются хакеры, банды вымогателей и прочие злоумышленники. По данным The Wall Street Journal, к этой компании присоединились и спецслужбы США — по некоторым сведениям, интегрированные в некоторые приложения SDK отправляют информацию одному из подрядчиков, работающих на американское разведывательное сообщество.

После активации SDK собиралось большое количество данных, включая точное местоположение устройства, телефонный номер, адрес электронной почты, сведения о расположенных рядом устройствах. Кроме того, предоставлялся доступ к информации из буфера обмена, включая любые пароли. SDK мог частично сканировать файловую систему, включая папки, в которых обычно хранятся файлы из WhatsApp.

Впервые вредоносное ПО было обнаружено компанией AppCensus, занимающейся вопросами мобильной кибербезопасности, основатели которой помимо прочего занимаются исследованиями в соответствующей сфере в ведущих американских университетах. В компании назвали ПО «наиболее проникающим в частную жизнь SDK из всех, что они видели за последние шесть лет проверки мобильных приложений».

Measurement Systems сообщала разработчикам, пошедшим на сотрудничество, что данные собираются для интернет-провайдеров, энергетических компаний, финансовых сервисов. В компании заявляли, что особенный интерес представляют сведения с Ближнего Востока, Азии, а также из Центральной и Восточной Европы.

Источник на русском, / Статья The Wall Street Journal на англ.

#cybersecurity #android #google

Граждане РФ, если вы ещё не вывели средства с Binance, то сейчас есть шанс это сделать. Сегодняшний анонс:

"В соответствии с пятым пакетом ограничительных мер ЕС против России, Binance обязана ввести ограничение предоставления услуг для граждан России и физических лиц, проживающих в России, или юридических лиц, зарегистрированных в России. Ограничения коснутся аккаунтов, у которых баланс криптовалютных активов превышает 10 000 евро".

Источник (рус.):
https://www.binance.com/ru/support/announcement/4887e569afdf4b1e89e024371d3a49b9

#cybersecurity #binance #старыймир

Сегодня под нашим микроскопом оказался проект StepN. Игровой проект (GameFi) из разряда move-to-earn (двигайся и зарабатывай) привлёк к себе огромное внимание за последнее время. Тонкости реализации и токеномики данного проекта несут достаточно серьёзные риски. Сейчас мы их проанализируем и оценим более детально. Ключевым вопросом по результату данного исследования мне явился традиционный: а потянет ли команда игру в долгосрок. Пристально следить за проектом дальше и за действиями команды планов нет, так как инвестором в данный проект я не являюсь и не планирую. А ответ на риторический вопрос посмотрим через пол года на графике токенов и в новостях. Чуть не забыл. В качестве бонуса для читающих до конца инвесторы-игроки найдут крайне важные рекомандации по безопасности.

https://telegra.ph/Analiz-i-ocenka-riskov-proekta-StepN-04-25-2

#gamefi #defi #web3 #stepn #binance

31 марта 2022 года Комитет по экономическим и монетарным вопросам Европейского парламента (ECON) одобрил поправки европейского Положения о переводе средств, которые ограничивают поставщиков услуг виртуальных активов (VASP) от операций с нехостинговыми (некастодиальными) кошельками без предварительной проверки личности их владельцев.

В ходе финального голосования законопроект прошел со значительным перевесом. Патрик Хансен из Unstoppable Finance сообщил в твиттере, что 93 члена парламента проголосовали "за" против 14 "против", при 14 воздержавшихся.

С середины апреля правила обсуждаются в трилоге с Европейской комиссией и Европейским советом, где положения могут встретить более жесткое сопротивление. "Трилог обычно занимает пару месяцев и дает последний шанс внести изменения", - сказал Хансен.

"Отдельные голоса из Совета и Комиссии вселяют в меня оптимизм, что мы еще можем добиться изменений... Напоминаю: Это не последняя стадия законодательного процесса", - добавил он.

Если законодательство пройдет через трилог, у криптопредприятий будет еще 9 месяцев на принятие планов и внедрение регулирования и 18 месяцев до того момента, когда они должны будут обеспечить полное соответствие.

Источник (Eng.): https://thedefiant.io/eu-crypto-kyc/

#defi #старыймир

Почему никто не сможет "отключить" крипту в какой-то стране и запретить её? Хотя бы потому, что ввод-вывод крипты — это бизнес. P2P (пи-ту-пи) — это обмен, то есть ввод или вывод криптовалют через покупку или продажу между пользователями, то есть открытый рынок. Видео не в качестве рекламы, а чтобы было понимание, что пока будет интернет и онлайн-банкинги — доступ к крипте не закрыть. Условно сейчас авторы видео считают свой промысел легальным и у них один уровень маржи. А если будут пытаться их запретить, — то будет больше рисков и маржа также вырастет. И чем больше людей занимаются этим делом — тем выгоднее всем, так как выгоднее курс покупки/продажи.

https://www.youtube.com/watch?v=1QdEsORyjq4

#новыймир

⚠️ ПРЕДУПРЕЖДЕНИЕ ⚠️

Не взаимодействуйте / не подключайте свой кошелек к @QuickswapDEX или @Spirit_Swap. Есть инормация о взломах фронтендов. Пожалуйста, используйте ВСЕ приложения web3 сегодня с осторожностью!

Источник (Eng.): https://news.1rj.ru/str/autofarm_network_ann/996

#defi #cybersecurity

Пулы Scream (сеть Fantom) на Beefy Finance были остановлены: "В свете недавних манипуляций с оракулами на проектах Blizz и Venus (из-за приостановленного оракула Luna) мы решили объявить панику во всех хранилищах Scream, в настоящее время только TUSD и FRAX остаются без паники, так как они перекредитованы. Scream недавно внедрил DEI в качестве залога, но оракул жестко закодирован на 1. Пока не будет реализован достаточный оракул, хранилища Beefy будут оставаться в панике".

Пулы TUSD и FRAX админы Beefy Finance отозвать не смогли ввиду отсутствия ликвидности на Scream, но новые депозиты приостановлены. Таким образом можно вывести средства из пулов (кроме TUSD и FRAX) или ждать решения ситуации от Scream. Да, соло пулы wBTC и wETH от Scream были одним из лучших мест для депозита этих токенов, надеемся на скорое разрешение ситуации. А в целом админы Beefy отреагировали достойно (перестраховались) и держат руку на пульсе — ещё одно тому подтверждение.

Источник (Eng.): https://news.1rj.ru/str/beefyfinance/540901

#defi #beefy #fantom #scream #cybersecurity

Вот и обзор с выводами по краху рискованного стейбла UST и платформы Terra (Luna). Только самое важное — выводы, последствия и рекомендации. Также в этом обзоре мы поговорили о том, почему выбирали этот стейбл. На момент написания и ранее не являлся держателем UST, LUNA и в экосистеме Terra никак не участвовал и не планирую. Для проекта типа "сверхриск" всё таки доходность в пулах с UST была не слишком высокая. Если уж и играть в рулетку — то хотя бы с бОльшими процентами по доходности и более крутыми инновациями (ищите в канале обзор на OlympusDAO). А сейчас про UST и LUNA:

https://telegra.ph/Krah-UST-i-LUNA-chto-nuzhno-znat-05-16

#defi #cybersecurity #ust #stablecoin

Главное в канале:

🍤VVS Finance (сеть Cronos от Crypto.com)

🦝Взлом BadgerDAO: выводы и рекомендации

🌈Curve Finance — проект-лидер по вложениям в DeFi

🏔Avalanche C-chain — топовый EVM-блокчейн на PoS

💎OlympusDAO — инновации в инновациях, DeFi 2.0

🐮Beefy Finance — главный по фармингу в DeFi

👟StepN — анализ и оценка рисков

🌚Крах UST и LUNA: что нужно знать

#defi #обзоры #главное

Сборник ресурсов для мониторинга и оценки состояния DeFi (на английском):

⚠️https://hacked.slowmist.io/en/ — оперативно обновляемый список взломов с кратким описанием.

📶https://defillama.com/ — актуальный график вложенных средств (TVL) как по платформам, так и по отдельным проектам.

📕https://rekt.news/ — подробные разборы и аналитика взломов, выходят с некоторой задержкой и не на каждый инцидент.

🌐https://cryptofilter.xyz/ — агрегатор главных новостей и событий в сфере криптовалют.

#defi #cybersecurity

Сеть L1 Elrond была взломана, токены EGLD в количестве 1,65 млн были украдены и выброшены на рынок, что привело к резкому падению курса токена на 95%, сообщает Wu Blockchain. По имеющимся данным, атака была направлена на определенную биржу Maiar DEX компании Elrond. Разработчики Elrond заявили, что они выявили проблему и внедрили исправление. Основатель NFT-проекта Elrond Lucky Birds Анду Табаку поделился подробностями своих находок, опубликовав скриншоты того, как EGLD продается за USDC, основываясь на данных из блокчейн-эксплорера. По состоянию на момент публикации сообщения биржа Maiar все еще не работала, на странице ошибки было указано, что средства пользователей находятся в безопасности и "вознаграждения будут продолжаться".

Источники (Eng.):
https://u.today/elrond-l1-network-hacked-with-165-million-egld-stolen
https://cryptoslate.com/suspected-exploit-shuts-down-elronds-maiar-dex/

#defi #cybersecurity

В платформе EVODeFi потерялась криптовалюта на $66 млн.

7 июня 2022 года различные пользователи в Twitter предположили, что в протоколе EVODeFi может быть многомиллионное расхождение.
EVODeFi отреагировала на суматоху, приостановив работу своего моста 7 июня, заявив, что "слишком много спекуляций" и нестабильные цены на активы препятствуют способности моста безопасно выводить средства пользователей. С 8 июня EVODeFi возобновил работу.

Протокол также застопорился на время, требуя от пользователей заполнить форму KYC перед обработкой запросов на вывод средств.

Основатель RugDoc (фирмы по безопасности в DeFi) сделала более общее предупреждение, заявив, что мосты "обычно являются самым слабым местом любого протокола DeFi" и должны быть "последним средством после тщательного анализа соотношения риска и выгоды". Она добавила, что кризис EVODeFi является "печальным примером того, как анонимная команда может злоупотреблять своими привилегиями управления, чтобы в конечном итоге навредить пользователям". Ранее мы также сообщали о потерях на $320 млн. в мосте Wormhole (Solana).

RugDoc: "На данный момент команда EVODeFi не занималась открытым хищением средств. Однако мы ищем людей, живущих в Нью-Йорке, Калифорнии или Теннесси, которые пострадали, на случай обострения ситуации. Проживание в этих районах не означает получения особой поддержки или возврата средств".

Источники (Eng.):
https://cryptobriefing.com/oasis-evodefi-bridge-may-be-missing-66m-in-funds/
https://news.1rj.ru/str/RugDocChat/397325

#defi #cybersecyrity

Из-за бага в пуле TriCrypto в проекте Curve Finance нашлось лишних криптовалют на сумму $4 миллиона. Эти криптовалюты накопились из комиссии сервиса (admin fee), взимаемой при обмене. Являются нераспределённой наградой держателям DAO-токена платформы Curve Finance (то есть держателям veCRV, а также стейкающим cvxCRV на Convex, sdCRV на StakeDAO и т.д.). Запущено голосование DAO на то, чтобы распределить эти награды как и должно было. Оно будет успешным, в этом мало сомнений. Стейкающие cvxCRV на Convex Finance начнут получать это вознаграждение начиная со следующего четверга (07.07.22г.), в течение последующих 7 дней.

Источник (Eng.):
https://twitter.com/CurveFinance/status/1539600392572604416

#curve #defi #tricrypto

🌉 Мост Horizon, который позволял бриджить токены из Ethereum в смарт-чейн Harmony и обратно ушёл под откос. Очередной. Сумма потерь около $100 млн.

Ранее уже высказывались опасения по поводу надежности мультисигового кошелька Horizon на Ethereum, который требовал только двух из четырех подписантов для слива средств. Основатель крипто-ориентированного венчурного фонда Chainstride Capital Ape Dev 2 апреля 2022 года отметил в своём Twitter, что малое количество требуемых подписантов оставит мост открытым для "очередного 9-значного взлома".

Ранее проблемы в безопасности мостов мы поднимали в сообщении о взломе моста Wormhole в сети Solana. Также предыдущий пост про потерявшиеся средства в мосту EVODeFi был совсем недавно, а ситуация с ним так и находится в подвешенном состоянии. На днях также был запущен официальный мост из сети Биткоин в сеть Avalanche и обратно.

Источник (Eng.):
https://cointelegraph.com/news/breaking-harmony-one-s-horizon-bridge-hacked-for-100m

#defi #cybersecurity #avalanche

🔑Публичные RPC Ankr для сетей Polygon и Fantom, как сообщается, были взломаны. В качестве меры предосторожности, пожалуйста, проверьте конфигурации RPC вашего кошелька и НЕ взаимодействуйте с RPC Ankr.

Источник: твиттеры Autofarm и Beefy

#defi #cybersecurity #polygon #fantom

В понедельник фишинговая афера с предложением мошеннического airdrop смогла лишить пользователей Uniswap почти 8 миллионов долларов США.

Фишинговая афера обещала бесплатную раздачу 400 токенов UNI (стоимостью около 2200 долларов США). Пользователям предлагалось подключить свои криптокошельки и подписать транзакцию, чтобы получить вредоносный airdrop. После подключения неизвестный хакер завладевал средствами пользователей с помощью вредоносного смарт-контракта.

На сегодняшний день, согласно данным Etherscan, более 74 000 кошельков взаимодействовали со смарт-контрактом фишинговой аферы.

По данным Etherscan, 11 июля 2022 года хакер развернул вредоносный смарт-контракт.

Примечательно, что код смарт-контракта, развернутого на Etherscan, не был проверен - то, что делают большинство легитимных проектов.

Для получения своих токенов, полученных пользователями в рамках airdrop, хакер обманом заставил пользователей подписать транзакцию. Вместо этого транзакция выполняла функцию одобрения, предоставляя хакеру доступ ко всем токенам Uniswap LP (Liquidity Pool), принадлежащим пользователю.

Каждый раз, когда пользователи добавляют ликвидность в Uniswap, они получают взамен токены LP, представляющие их позиции ликвидности. Эти токены, как и все другие NFT, могут передаваться и используют стандарт токенов ERC-721.

Таким образом, через транзакцию одобрения третья сторона (в данном случае хакерский кошелек) может тратить средства от имени пользователя.

Получив доступ от предыдущей транзакции одобрения, хакер перевел все токены LP на свой кошелек и вывел всю ликвидность из Uniswap.

Источник (Eng.): https://decrypt.co/104916/hackers-nab-8m-ethereum-uniswap-phishing-attack

#cybersecurity #defi #ethereum #uniswap #фишинг #инцидент

Охота на угрозы. В этом выпуске за Июль 2022 года у нас интересная троица: разработчик-инсайдер из Северной Кореи; малварь под видом DeFi-кошелька и классический агент угрозы, выдающий себя за сотрудника DeFi-проекта.

https://telegra.ph/Aktualnye-fishing-ugrozy-v-DeFi-iz-Telegram-pervoj-poloviny-2022-goda-07-16

#cybersecurity #defi #phishing #report

Мост Nomad (app.nomad.xyz) был взломан и злоумышленниками активно эксплуатируется критическая уязвимость. НЕ используйте мост Nomad и отмените разрешения!

В настоящее время с контракта 0x88A69B4E698A4B090DF6CF5Bd7B2D47325Ad30A3 было слито более $50 млн WBTC и WETH. Хакер, похоже, нацелился на USDC и USDT.

Источник (Eng): https://news.1rj.ru/str/RugDocChat/403238
#defi #cybersecurity