31 марта 2022 года Комитет по экономическим и монетарным вопросам Европейского парламента (ECON) одобрил поправки европейского Положения о переводе средств, которые ограничивают поставщиков услуг виртуальных активов (VASP) от операций с нехостинговыми (некастодиальными) кошельками без предварительной проверки личности их владельцев.

В ходе финального голосования законопроект прошел со значительным перевесом. Патрик Хансен из Unstoppable Finance сообщил в твиттере, что 93 члена парламента проголосовали "за" против 14 "против", при 14 воздержавшихся.

С середины апреля правила обсуждаются в трилоге с Европейской комиссией и Европейским советом, где положения могут встретить более жесткое сопротивление. "Трилог обычно занимает пару месяцев и дает последний шанс внести изменения", - сказал Хансен.

"Отдельные голоса из Совета и Комиссии вселяют в меня оптимизм, что мы еще можем добиться изменений... Напоминаю: Это не последняя стадия законодательного процесса", - добавил он.

Если законодательство пройдет через трилог, у криптопредприятий будет еще 9 месяцев на принятие планов и внедрение регулирования и 18 месяцев до того момента, когда они должны будут обеспечить полное соответствие.

Источник (Eng.): https://thedefiant.io/eu-crypto-kyc/

#defi #старыймир

Почему никто не сможет "отключить" крипту в какой-то стране и запретить её? Хотя бы потому, что ввод-вывод крипты — это бизнес. P2P (пи-ту-пи) — это обмен, то есть ввод или вывод криптовалют через покупку или продажу между пользователями, то есть открытый рынок. Видео не в качестве рекламы, а чтобы было понимание, что пока будет интернет и онлайн-банкинги — доступ к крипте не закрыть. Условно сейчас авторы видео считают свой промысел легальным и у них один уровень маржи. А если будут пытаться их запретить, — то будет больше рисков и маржа также вырастет. И чем больше людей занимаются этим делом — тем выгоднее всем, так как выгоднее курс покупки/продажи.

https://www.youtube.com/watch?v=1QdEsORyjq4

#новыймир

⚠️ ПРЕДУПРЕЖДЕНИЕ ⚠️

Не взаимодействуйте / не подключайте свой кошелек к @QuickswapDEX или @Spirit_Swap. Есть инормация о взломах фронтендов. Пожалуйста, используйте ВСЕ приложения web3 сегодня с осторожностью!

Источник (Eng.): https://news.1rj.ru/str/autofarm_network_ann/996

#defi #cybersecurity

Пулы Scream (сеть Fantom) на Beefy Finance были остановлены: "В свете недавних манипуляций с оракулами на проектах Blizz и Venus (из-за приостановленного оракула Luna) мы решили объявить панику во всех хранилищах Scream, в настоящее время только TUSD и FRAX остаются без паники, так как они перекредитованы. Scream недавно внедрил DEI в качестве залога, но оракул жестко закодирован на 1. Пока не будет реализован достаточный оракул, хранилища Beefy будут оставаться в панике".

Пулы TUSD и FRAX админы Beefy Finance отозвать не смогли ввиду отсутствия ликвидности на Scream, но новые депозиты приостановлены. Таким образом можно вывести средства из пулов (кроме TUSD и FRAX) или ждать решения ситуации от Scream. Да, соло пулы wBTC и wETH от Scream были одним из лучших мест для депозита этих токенов, надеемся на скорое разрешение ситуации. А в целом админы Beefy отреагировали достойно (перестраховались) и держат руку на пульсе — ещё одно тому подтверждение.

Источник (Eng.): https://news.1rj.ru/str/beefyfinance/540901

#defi #beefy #fantom #scream #cybersecurity

Вот и обзор с выводами по краху рискованного стейбла UST и платформы Terra (Luna). Только самое важное — выводы, последствия и рекомендации. Также в этом обзоре мы поговорили о том, почему выбирали этот стейбл. На момент написания и ранее не являлся держателем UST, LUNA и в экосистеме Terra никак не участвовал и не планирую. Для проекта типа "сверхриск" всё таки доходность в пулах с UST была не слишком высокая. Если уж и играть в рулетку — то хотя бы с бОльшими процентами по доходности и более крутыми инновациями (ищите в канале обзор на OlympusDAO). А сейчас про UST и LUNA:

https://telegra.ph/Krah-UST-i-LUNA-chto-nuzhno-znat-05-16

#defi #cybersecurity #ust #stablecoin

Главное в канале:

🍤VVS Finance (сеть Cronos от Crypto.com)

🦝Взлом BadgerDAO: выводы и рекомендации

🌈Curve Finance — проект-лидер по вложениям в DeFi

🏔Avalanche C-chain — топовый EVM-блокчейн на PoS

💎OlympusDAO — инновации в инновациях, DeFi 2.0

🐮Beefy Finance — главный по фармингу в DeFi

👟StepN — анализ и оценка рисков

🌚Крах UST и LUNA: что нужно знать

#defi #обзоры #главное

Сборник ресурсов для мониторинга и оценки состояния DeFi (на английском):

⚠️https://hacked.slowmist.io/en/ — оперативно обновляемый список взломов с кратким описанием.

📶https://defillama.com/ — актуальный график вложенных средств (TVL) как по платформам, так и по отдельным проектам.

📕https://rekt.news/ — подробные разборы и аналитика взломов, выходят с некоторой задержкой и не на каждый инцидент.

🌐https://cryptofilter.xyz/ — агрегатор главных новостей и событий в сфере криптовалют.

#defi #cybersecurity

Сеть L1 Elrond была взломана, токены EGLD в количестве 1,65 млн были украдены и выброшены на рынок, что привело к резкому падению курса токена на 95%, сообщает Wu Blockchain. По имеющимся данным, атака была направлена на определенную биржу Maiar DEX компании Elrond. Разработчики Elrond заявили, что они выявили проблему и внедрили исправление. Основатель NFT-проекта Elrond Lucky Birds Анду Табаку поделился подробностями своих находок, опубликовав скриншоты того, как EGLD продается за USDC, основываясь на данных из блокчейн-эксплорера. По состоянию на момент публикации сообщения биржа Maiar все еще не работала, на странице ошибки было указано, что средства пользователей находятся в безопасности и "вознаграждения будут продолжаться".

Источники (Eng.):
https://u.today/elrond-l1-network-hacked-with-165-million-egld-stolen
https://cryptoslate.com/suspected-exploit-shuts-down-elronds-maiar-dex/

#defi #cybersecurity

В платформе EVODeFi потерялась криптовалюта на $66 млн.

7 июня 2022 года различные пользователи в Twitter предположили, что в протоколе EVODeFi может быть многомиллионное расхождение.
EVODeFi отреагировала на суматоху, приостановив работу своего моста 7 июня, заявив, что "слишком много спекуляций" и нестабильные цены на активы препятствуют способности моста безопасно выводить средства пользователей. С 8 июня EVODeFi возобновил работу.

Протокол также застопорился на время, требуя от пользователей заполнить форму KYC перед обработкой запросов на вывод средств.

Основатель RugDoc (фирмы по безопасности в DeFi) сделала более общее предупреждение, заявив, что мосты "обычно являются самым слабым местом любого протокола DeFi" и должны быть "последним средством после тщательного анализа соотношения риска и выгоды". Она добавила, что кризис EVODeFi является "печальным примером того, как анонимная команда может злоупотреблять своими привилегиями управления, чтобы в конечном итоге навредить пользователям". Ранее мы также сообщали о потерях на $320 млн. в мосте Wormhole (Solana).

RugDoc: "На данный момент команда EVODeFi не занималась открытым хищением средств. Однако мы ищем людей, живущих в Нью-Йорке, Калифорнии или Теннесси, которые пострадали, на случай обострения ситуации. Проживание в этих районах не означает получения особой поддержки или возврата средств".

Источники (Eng.):
https://cryptobriefing.com/oasis-evodefi-bridge-may-be-missing-66m-in-funds/
https://news.1rj.ru/str/RugDocChat/397325

#defi #cybersecyrity

Из-за бага в пуле TriCrypto в проекте Curve Finance нашлось лишних криптовалют на сумму $4 миллиона. Эти криптовалюты накопились из комиссии сервиса (admin fee), взимаемой при обмене. Являются нераспределённой наградой держателям DAO-токена платформы Curve Finance (то есть держателям veCRV, а также стейкающим cvxCRV на Convex, sdCRV на StakeDAO и т.д.). Запущено голосование DAO на то, чтобы распределить эти награды как и должно было. Оно будет успешным, в этом мало сомнений. Стейкающие cvxCRV на Convex Finance начнут получать это вознаграждение начиная со следующего четверга (07.07.22г.), в течение последующих 7 дней.

Источник (Eng.):
https://twitter.com/CurveFinance/status/1539600392572604416

#curve #defi #tricrypto

🌉 Мост Horizon, который позволял бриджить токены из Ethereum в смарт-чейн Harmony и обратно ушёл под откос. Очередной. Сумма потерь около $100 млн.

Ранее уже высказывались опасения по поводу надежности мультисигового кошелька Horizon на Ethereum, который требовал только двух из четырех подписантов для слива средств. Основатель крипто-ориентированного венчурного фонда Chainstride Capital Ape Dev 2 апреля 2022 года отметил в своём Twitter, что малое количество требуемых подписантов оставит мост открытым для "очередного 9-значного взлома".

Ранее проблемы в безопасности мостов мы поднимали в сообщении о взломе моста Wormhole в сети Solana. Также предыдущий пост про потерявшиеся средства в мосту EVODeFi был совсем недавно, а ситуация с ним так и находится в подвешенном состоянии. На днях также был запущен официальный мост из сети Биткоин в сеть Avalanche и обратно.

Источник (Eng.):
https://cointelegraph.com/news/breaking-harmony-one-s-horizon-bridge-hacked-for-100m

#defi #cybersecurity #avalanche

🔑Публичные RPC Ankr для сетей Polygon и Fantom, как сообщается, были взломаны. В качестве меры предосторожности, пожалуйста, проверьте конфигурации RPC вашего кошелька и НЕ взаимодействуйте с RPC Ankr.

Источник: твиттеры Autofarm и Beefy

#defi #cybersecurity #polygon #fantom

В понедельник фишинговая афера с предложением мошеннического airdrop смогла лишить пользователей Uniswap почти 8 миллионов долларов США.

Фишинговая афера обещала бесплатную раздачу 400 токенов UNI (стоимостью около 2200 долларов США). Пользователям предлагалось подключить свои криптокошельки и подписать транзакцию, чтобы получить вредоносный airdrop. После подключения неизвестный хакер завладевал средствами пользователей с помощью вредоносного смарт-контракта.

На сегодняшний день, согласно данным Etherscan, более 74 000 кошельков взаимодействовали со смарт-контрактом фишинговой аферы.

По данным Etherscan, 11 июля 2022 года хакер развернул вредоносный смарт-контракт.

Примечательно, что код смарт-контракта, развернутого на Etherscan, не был проверен - то, что делают большинство легитимных проектов.

Для получения своих токенов, полученных пользователями в рамках airdrop, хакер обманом заставил пользователей подписать транзакцию. Вместо этого транзакция выполняла функцию одобрения, предоставляя хакеру доступ ко всем токенам Uniswap LP (Liquidity Pool), принадлежащим пользователю.

Каждый раз, когда пользователи добавляют ликвидность в Uniswap, они получают взамен токены LP, представляющие их позиции ликвидности. Эти токены, как и все другие NFT, могут передаваться и используют стандарт токенов ERC-721.

Таким образом, через транзакцию одобрения третья сторона (в данном случае хакерский кошелек) может тратить средства от имени пользователя.

Получив доступ от предыдущей транзакции одобрения, хакер перевел все токены LP на свой кошелек и вывел всю ликвидность из Uniswap.

Источник (Eng.): https://decrypt.co/104916/hackers-nab-8m-ethereum-uniswap-phishing-attack

#cybersecurity #defi #ethereum #uniswap #фишинг #инцидент

Охота на угрозы. В этом выпуске за Июль 2022 года у нас интересная троица: разработчик-инсайдер из Северной Кореи; малварь под видом DeFi-кошелька и классический агент угрозы, выдающий себя за сотрудника DeFi-проекта.

https://telegra.ph/Aktualnye-fishing-ugrozy-v-DeFi-iz-Telegram-pervoj-poloviny-2022-goda-07-16

#cybersecurity #defi #phishing #report

Мост Nomad (app.nomad.xyz) был взломан и злоумышленниками активно эксплуатируется критическая уязвимость. НЕ используйте мост Nomad и отмените разрешения!

В настоящее время с контракта 0x88A69B4E698A4B090DF6CF5Bd7B2D47325Ad30A3 было слито более $50 млн WBTC и WETH. Хакер, похоже, нацелился на USDC и USDT.

Источник (Eng): https://news.1rj.ru/str/RugDocChat/403238
#defi #cybersecurity

Залоговая долговая позиция (Collateralized Debt Position, CDP):

Это позиция, созданная путем блокировки залога в смарт-контракте MakerDAO для генерации децентрализованного стейблкоина DAI. Эта система была представлена миру децентрализованных финансов командой MakerDAO и именно так создается децентрализованный стейблкоин DAI.

Стоимость залога, заблокированного в CDP, всегда должна превышать 150% от стоимости DAI, который был использован для генерации. Если позиция оказывается недостаточно обеспеченной, активы, заблокированные в смарт-контракте, продаются, чтобы вернуть сгенерированный DAI. За ликвидацию взимается штраф, а также есть комиссия за обслуживание позиции.

Сгенерированные DAI — это, по сути, децентрализованный кредит, обеспеченный стоимостью залога. Чтобы разблокировать залог, пользователю необходимо вернуть сгенерированные DAI плюс комиссию за стабильность. Каждый из находящихся в обращении стейблкоинов DAI, которых на момент написания статьи насчитывается почти 7 с половиной миллиардов, был создан таким образом.

Традиционно для залога в MakerDAO можно было использовать только Ether (ETH), но теперь поддерживаются также WBTC и другие.



Хотя MakerDAO представил термин Залоговая долговая позиция (Collateralized Debt Position, CDP), технически другие проекты DeFi могут принять CDP и как термин, и как систему.

Источник (Eng)

#defi #dai #makerdao

⚡️ Очередной глобальный инцидент на сети Solana. Из большого количества кошельков выводят токены SOL, USDC. Вектор атаки пока так и не выяснен. Рекомендуется вывести средства из сети Solana на другие сети или на биржи. Предположительно скомпрометированы приватные ключи пользователей кошельков Phantom и Slope.

Источник (Eng): твиттер CZ
#defi #solana #cybersecyrity

Да, по взлому DNS на Convex Finance и на Curve Finance. Эта история тянется ещё с Декабря 2021 года, когда в канале вышел обзор на взлом BadgerDAO. Уже тогда надо было сделать соответствующие выводы и принять меры. Тем не менее ситуации будут продолжаться. А вот и обзор и выводы по текущим инцидентам DNS: https://telegra.ph/Vzlom-glavnogo-proekta-po-dohodnosti-v-Ethereum-07-18

#cybersecurity #defi #curve #convex

В Нидерландах арестован разработчик смарт-контрактов платформы Tornado Cash. Его обвиняют в том, что он являлся бенефициаром платформы, хотя исходный код говорит об обратном. То есть доказательств его вины нет как таковых. Скорее всего это 29-ти летний Алексей Перцев. На днях Казначейство США внесло приложение Tornado Cash в санкционный список. Это первый случай в истории, когда децентрализованное приложение попадает под санкции. Разработчиками Tornado Cash являются Роман Сторм, Роман Семёнов и Алексей Перцев. Это событие очень глобально и будет иметь глубокое влияние на историю Web3.

#defi #tornadocash

Источник (Eng): https://www.coindesk.com/policy/2022/08/12/netherlands-arrests-suspected-tornado-cash-developer/

Ethereum 2.0 на Proof-of-Stake и главная угроза от банкиров для DeFi.

От этого нейминга (2.0) уже отказались, кстати. Зря, но чтож. Многие инфоресурсы пестрят лонгридами по теме. И везде по сути одно и тоже — гадание на кофейной гуще. Лучше их не читать, чтобы не забивать себе голову. Как будут развиваться события не знает никто. Смысла нет тратить время на обсуждение вариантов событий с какими-то сомнительными допущениями и тем более на какие-то смешные стратегии с "ETH-PoW". Мы же обсудим перспективы технологического батла – стейкинг против майнинга. И главную угрозу от цензоров и банкиров для DeFi.

2.0 – это затянувшийся бенефис Виталика Бутерина. И переломный момент в индустрии майнинга, безусловно. Пока что у Виталика получалось доставлять результат вполне успешно. Если смотреть на капу, TVL, а не на обещания. Даже оглядываясь на историю с "хаком DAO" и форком Ethereum Classic, какой бы критике это решение не подвергалось, проект оно не потопило и конкуренты ситуацией не смогли воспользоваться. Да, по мнению Бутерина майнинг (Proof-of-Work) и смарт-контракты — вещи несовместимые на данном этапе развития. Никто не запрещает конкурентам доказать обратное на практике. Все спецификации, наработки и опыт в открытом доступе. Очевидно, будет и момент, когда технологии позволят майнингу вновь вернуться на сцену смарт-контрактов. Для этого необходим значительный прогресс в технологиях передачи данных и/или в самом PoW. А текущий переход на PoS скорее всего завершится успешно, хотя трудности и не исключены. Касательно рисков — свинью могут подложить централизованные эмитенты стейблов вроде USDC, USDT, BUSD и т.д. Договориться им не составит труда. Пример: у Виталика и новой сети в PoS какие-то трудности и нюансы, а эти эмитенты поддержат хардфорк от альтернативной команды и заявят, что их стейблы действительны только в новом хардфорке, поддержанном ими. В случае, если альтернативный хардфорк будет на PoW, — то его поддержат и майнеры. Мотивация простая — цензура на уровне блокчейна (санкции). Обзор на тенденции цензуры в DeFi-проектах уже в работе, кстати. А такой риск есть и он будет означать действительно перезапуск всего DeFi практически с нуля. Кстати, избежать этого риска достаточно просто — надо заранее вывести стейблы на альтчейны (BSC, Polygon, Avalanche, Fantom) или на биржи. Либо, что ещё надёжнее, — в Биткоин (через мост renBTC). Но DeFi-токены и прочий ETH это, конечно, не спасёт от краха в цене.

#defi #eth20 #ethereum #cybersecurity

Cash App — одно из самых популярных приложений для платежных сервисов, с более чем 50 миллионами загрузок в Google Play Store. Приложение Cash App также получило определенную известность благодаря масштабным акциям по раздаче наличных денег в социальных сетях. Приложение принадлежит компании Block, которая ранее была известна как Square. Компанией руководит Джек Дорси (бывш. директор Твиттер).

Хакеры взламывают счета ничего не подозревающих жертв Cash App и крадут сотни и тысячи долларов, утверждают жертвы, с которыми пообщалось издание Motherboard. В случае с одним человеком, по их словам, Cash App не возместил им украденные средства.
В даркнете и на форумах множество людей продают данные для входа в учетные записи Cash App. Некоторые из этих людей указывают, что в данных содержится адрес электронной почты и пароль для связанного аккаунта электронной почты. Некоторые из этих объявлений могут быть мошенническими, но те, что размещены на даркнетовских веб-рынках, исходят от мошенников, которые получили положительные отзывы от предполагаемых клиентов, согласно системе отзывов, распространенной на таких сайтах.

Проблемы с безопасностью средств — это не проблемы децентрализованных приложений. Централизованные платёжные сервисы также имеют множество недочётов в их системах, что также приводит к потере пользовательских средств. Однако, за счёт того, что такие компании более закрыты — мы узнаём об этом из соц. сетей, а не из блокчейнов. Так что те, кто говорят, что децентрализованные приложения, DeFi или Web3 более подвержены взломам и рискам с точки зрения архитектуры безопасности — это не правда. Всё зависит исключительно от отношения к безопасности самой команды.

Источник (Eng.): vice.com

#cybersecurity #google #инцидент #старыймир