В платформе EVODeFi потерялась криптовалюта на $66 млн.

7 июня 2022 года различные пользователи в Twitter предположили, что в протоколе EVODeFi может быть многомиллионное расхождение.
EVODeFi отреагировала на суматоху, приостановив работу своего моста 7 июня, заявив, что "слишком много спекуляций" и нестабильные цены на активы препятствуют способности моста безопасно выводить средства пользователей. С 8 июня EVODeFi возобновил работу.

Протокол также застопорился на время, требуя от пользователей заполнить форму KYC перед обработкой запросов на вывод средств.

Основатель RugDoc (фирмы по безопасности в DeFi) сделала более общее предупреждение, заявив, что мосты "обычно являются самым слабым местом любого протокола DeFi" и должны быть "последним средством после тщательного анализа соотношения риска и выгоды". Она добавила, что кризис EVODeFi является "печальным примером того, как анонимная команда может злоупотреблять своими привилегиями управления, чтобы в конечном итоге навредить пользователям". Ранее мы также сообщали о потерях на $320 млн. в мосте Wormhole (Solana).

RugDoc: "На данный момент команда EVODeFi не занималась открытым хищением средств. Однако мы ищем людей, живущих в Нью-Йорке, Калифорнии или Теннесси, которые пострадали, на случай обострения ситуации. Проживание в этих районах не означает получения особой поддержки или возврата средств".

Источники (Eng.):
https://cryptobriefing.com/oasis-evodefi-bridge-may-be-missing-66m-in-funds/
https://news.1rj.ru/str/RugDocChat/397325

#defi #cybersecyrity

Из-за бага в пуле TriCrypto в проекте Curve Finance нашлось лишних криптовалют на сумму $4 миллиона. Эти криптовалюты накопились из комиссии сервиса (admin fee), взимаемой при обмене. Являются нераспределённой наградой держателям DAO-токена платформы Curve Finance (то есть держателям veCRV, а также стейкающим cvxCRV на Convex, sdCRV на StakeDAO и т.д.). Запущено голосование DAO на то, чтобы распределить эти награды как и должно было. Оно будет успешным, в этом мало сомнений. Стейкающие cvxCRV на Convex Finance начнут получать это вознаграждение начиная со следующего четверга (07.07.22г.), в течение последующих 7 дней.

Источник (Eng.):
https://twitter.com/CurveFinance/status/1539600392572604416

#curve #defi #tricrypto

🌉 Мост Horizon, который позволял бриджить токены из Ethereum в смарт-чейн Harmony и обратно ушёл под откос. Очередной. Сумма потерь около $100 млн.

Ранее уже высказывались опасения по поводу надежности мультисигового кошелька Horizon на Ethereum, который требовал только двух из четырех подписантов для слива средств. Основатель крипто-ориентированного венчурного фонда Chainstride Capital Ape Dev 2 апреля 2022 года отметил в своём Twitter, что малое количество требуемых подписантов оставит мост открытым для "очередного 9-значного взлома".

Ранее проблемы в безопасности мостов мы поднимали в сообщении о взломе моста Wormhole в сети Solana. Также предыдущий пост про потерявшиеся средства в мосту EVODeFi был совсем недавно, а ситуация с ним так и находится в подвешенном состоянии. На днях также был запущен официальный мост из сети Биткоин в сеть Avalanche и обратно.

Источник (Eng.):
https://cointelegraph.com/news/breaking-harmony-one-s-horizon-bridge-hacked-for-100m

#defi #cybersecurity #avalanche

🔑Публичные RPC Ankr для сетей Polygon и Fantom, как сообщается, были взломаны. В качестве меры предосторожности, пожалуйста, проверьте конфигурации RPC вашего кошелька и НЕ взаимодействуйте с RPC Ankr.

Источник: твиттеры Autofarm и Beefy

#defi #cybersecurity #polygon #fantom

В понедельник фишинговая афера с предложением мошеннического airdrop смогла лишить пользователей Uniswap почти 8 миллионов долларов США.

Фишинговая афера обещала бесплатную раздачу 400 токенов UNI (стоимостью около 2200 долларов США). Пользователям предлагалось подключить свои криптокошельки и подписать транзакцию, чтобы получить вредоносный airdrop. После подключения неизвестный хакер завладевал средствами пользователей с помощью вредоносного смарт-контракта.

На сегодняшний день, согласно данным Etherscan, более 74 000 кошельков взаимодействовали со смарт-контрактом фишинговой аферы.

По данным Etherscan, 11 июля 2022 года хакер развернул вредоносный смарт-контракт.

Примечательно, что код смарт-контракта, развернутого на Etherscan, не был проверен - то, что делают большинство легитимных проектов.

Для получения своих токенов, полученных пользователями в рамках airdrop, хакер обманом заставил пользователей подписать транзакцию. Вместо этого транзакция выполняла функцию одобрения, предоставляя хакеру доступ ко всем токенам Uniswap LP (Liquidity Pool), принадлежащим пользователю.

Каждый раз, когда пользователи добавляют ликвидность в Uniswap, они получают взамен токены LP, представляющие их позиции ликвидности. Эти токены, как и все другие NFT, могут передаваться и используют стандарт токенов ERC-721.

Таким образом, через транзакцию одобрения третья сторона (в данном случае хакерский кошелек) может тратить средства от имени пользователя.

Получив доступ от предыдущей транзакции одобрения, хакер перевел все токены LP на свой кошелек и вывел всю ликвидность из Uniswap.

Источник (Eng.): https://decrypt.co/104916/hackers-nab-8m-ethereum-uniswap-phishing-attack

#cybersecurity #defi #ethereum #uniswap #фишинг #инцидент

Охота на угрозы. В этом выпуске за Июль 2022 года у нас интересная троица: разработчик-инсайдер из Северной Кореи; малварь под видом DeFi-кошелька и классический агент угрозы, выдающий себя за сотрудника DeFi-проекта.

https://telegra.ph/Aktualnye-fishing-ugrozy-v-DeFi-iz-Telegram-pervoj-poloviny-2022-goda-07-16

#cybersecurity #defi #phishing #report

Мост Nomad (app.nomad.xyz) был взломан и злоумышленниками активно эксплуатируется критическая уязвимость. НЕ используйте мост Nomad и отмените разрешения!

В настоящее время с контракта 0x88A69B4E698A4B090DF6CF5Bd7B2D47325Ad30A3 было слито более $50 млн WBTC и WETH. Хакер, похоже, нацелился на USDC и USDT.

Источник (Eng): https://news.1rj.ru/str/RugDocChat/403238
#defi #cybersecurity

Залоговая долговая позиция (Collateralized Debt Position, CDP):

Это позиция, созданная путем блокировки залога в смарт-контракте MakerDAO для генерации децентрализованного стейблкоина DAI. Эта система была представлена миру децентрализованных финансов командой MakerDAO и именно так создается децентрализованный стейблкоин DAI.

Стоимость залога, заблокированного в CDP, всегда должна превышать 150% от стоимости DAI, который был использован для генерации. Если позиция оказывается недостаточно обеспеченной, активы, заблокированные в смарт-контракте, продаются, чтобы вернуть сгенерированный DAI. За ликвидацию взимается штраф, а также есть комиссия за обслуживание позиции.

Сгенерированные DAI — это, по сути, децентрализованный кредит, обеспеченный стоимостью залога. Чтобы разблокировать залог, пользователю необходимо вернуть сгенерированные DAI плюс комиссию за стабильность. Каждый из находящихся в обращении стейблкоинов DAI, которых на момент написания статьи насчитывается почти 7 с половиной миллиардов, был создан таким образом.

Традиционно для залога в MakerDAO можно было использовать только Ether (ETH), но теперь поддерживаются также WBTC и другие.



Хотя MakerDAO представил термин Залоговая долговая позиция (Collateralized Debt Position, CDP), технически другие проекты DeFi могут принять CDP и как термин, и как систему.

Источник (Eng)

#defi #dai #makerdao

⚡️ Очередной глобальный инцидент на сети Solana. Из большого количества кошельков выводят токены SOL, USDC. Вектор атаки пока так и не выяснен. Рекомендуется вывести средства из сети Solana на другие сети или на биржи. Предположительно скомпрометированы приватные ключи пользователей кошельков Phantom и Slope.

Источник (Eng): твиттер CZ
#defi #solana #cybersecyrity

Да, по взлому DNS на Convex Finance и на Curve Finance. Эта история тянется ещё с Декабря 2021 года, когда в канале вышел обзор на взлом BadgerDAO. Уже тогда надо было сделать соответствующие выводы и принять меры. Тем не менее ситуации будут продолжаться. А вот и обзор и выводы по текущим инцидентам DNS: https://telegra.ph/Vzlom-glavnogo-proekta-po-dohodnosti-v-Ethereum-07-18

#cybersecurity #defi #curve #convex

В Нидерландах арестован разработчик смарт-контрактов платформы Tornado Cash. Его обвиняют в том, что он являлся бенефициаром платформы, хотя исходный код говорит об обратном. То есть доказательств его вины нет как таковых. Скорее всего это 29-ти летний Алексей Перцев. На днях Казначейство США внесло приложение Tornado Cash в санкционный список. Это первый случай в истории, когда децентрализованное приложение попадает под санкции. Разработчиками Tornado Cash являются Роман Сторм, Роман Семёнов и Алексей Перцев. Это событие очень глобально и будет иметь глубокое влияние на историю Web3.

#defi #tornadocash

Источник (Eng): https://www.coindesk.com/policy/2022/08/12/netherlands-arrests-suspected-tornado-cash-developer/

Ethereum 2.0 на Proof-of-Stake и главная угроза от банкиров для DeFi.

От этого нейминга (2.0) уже отказались, кстати. Зря, но чтож. Многие инфоресурсы пестрят лонгридами по теме. И везде по сути одно и тоже — гадание на кофейной гуще. Лучше их не читать, чтобы не забивать себе голову. Как будут развиваться события не знает никто. Смысла нет тратить время на обсуждение вариантов событий с какими-то сомнительными допущениями и тем более на какие-то смешные стратегии с "ETH-PoW". Мы же обсудим перспективы технологического батла – стейкинг против майнинга. И главную угрозу от цензоров и банкиров для DeFi.

2.0 – это затянувшийся бенефис Виталика Бутерина. И переломный момент в индустрии майнинга, безусловно. Пока что у Виталика получалось доставлять результат вполне успешно. Если смотреть на капу, TVL, а не на обещания. Даже оглядываясь на историю с "хаком DAO" и форком Ethereum Classic, какой бы критике это решение не подвергалось, проект оно не потопило и конкуренты ситуацией не смогли воспользоваться. Да, по мнению Бутерина майнинг (Proof-of-Work) и смарт-контракты — вещи несовместимые на данном этапе развития. Никто не запрещает конкурентам доказать обратное на практике. Все спецификации, наработки и опыт в открытом доступе. Очевидно, будет и момент, когда технологии позволят майнингу вновь вернуться на сцену смарт-контрактов. Для этого необходим значительный прогресс в технологиях передачи данных и/или в самом PoW. А текущий переход на PoS скорее всего завершится успешно, хотя трудности и не исключены. Касательно рисков — свинью могут подложить централизованные эмитенты стейблов вроде USDC, USDT, BUSD и т.д. Договориться им не составит труда. Пример: у Виталика и новой сети в PoS какие-то трудности и нюансы, а эти эмитенты поддержат хардфорк от альтернативной команды и заявят, что их стейблы действительны только в новом хардфорке, поддержанном ими. В случае, если альтернативный хардфорк будет на PoW, — то его поддержат и майнеры. Мотивация простая — цензура на уровне блокчейна (санкции). Обзор на тенденции цензуры в DeFi-проектах уже в работе, кстати. А такой риск есть и он будет означать действительно перезапуск всего DeFi практически с нуля. Кстати, избежать этого риска достаточно просто — надо заранее вывести стейблы на альтчейны (BSC, Polygon, Avalanche, Fantom) или на биржи. Либо, что ещё надёжнее, — в Биткоин (через мост renBTC). Но DeFi-токены и прочий ETH это, конечно, не спасёт от краха в цене.

#defi #eth20 #ethereum #cybersecurity

Cash App — одно из самых популярных приложений для платежных сервисов, с более чем 50 миллионами загрузок в Google Play Store. Приложение Cash App также получило определенную известность благодаря масштабным акциям по раздаче наличных денег в социальных сетях. Приложение принадлежит компании Block, которая ранее была известна как Square. Компанией руководит Джек Дорси (бывш. директор Твиттер).

Хакеры взламывают счета ничего не подозревающих жертв Cash App и крадут сотни и тысячи долларов, утверждают жертвы, с которыми пообщалось издание Motherboard. В случае с одним человеком, по их словам, Cash App не возместил им украденные средства.
В даркнете и на форумах множество людей продают данные для входа в учетные записи Cash App. Некоторые из этих людей указывают, что в данных содержится адрес электронной почты и пароль для связанного аккаунта электронной почты. Некоторые из этих объявлений могут быть мошенническими, но те, что размещены на даркнетовских веб-рынках, исходят от мошенников, которые получили положительные отзывы от предполагаемых клиентов, согласно системе отзывов, распространенной на таких сайтах.

Проблемы с безопасностью средств — это не проблемы децентрализованных приложений. Централизованные платёжные сервисы также имеют множество недочётов в их системах, что также приводит к потере пользовательских средств. Однако, за счёт того, что такие компании более закрыты — мы узнаём об этом из соц. сетей, а не из блокчейнов. Так что те, кто говорят, что децентрализованные приложения, DeFi или Web3 более подвержены взломам и рискам с точки зрения архитектуры безопасности — это не правда. Всё зависит исключительно от отношения к безопасности самой команды.

Источник (Eng.): vice.com

#cybersecurity #google #инцидент #старыймир

Допустим, банк нанял бригаду гопников, чтобы они стояли у банка, оценивали прохожих и привлекали их в банк чтоб те клиентами становились. А тут значит идёте вы с мешком денег и хотите положить в этот банк на свой счёт. И эти гопники у вас деньги отобрали и убежали. А теперь вопрос: какой недавний инцидент в DeFi я имею ввиду?

#cybersecurity #defi #инцидент

02 сентября 2022 года децентрализованный протокол ликвидности Kyber Network раскрыл в Twitter, что его пользователи потеряли средства в размере 265 000 долларов США из-за эксплойта фронт-энда. Уязвимость связана с вредоносным кодом добавленным через Google Tag Manager на сайте KyberSwap. Целью злоумышленников стали китовые кошельки. Вставляя поддельные одобрения (spending approvals) в код страницы киты разрешали перевод средств с их кошельков злоумышленникам.

Google Tag Manager используется в маркетинговых целях с целью анализа рекламных кампаний и отслеживания действий пользователей.

Иногда легкие по компенсации инциденты помогают командам DeFi-проектов начать относиться к безопасности более комплексно. Проактивный мониторинг сообществ, оценка ситуации с поступающими сообщениями об инцидентах от пользователей. Аналитика легко собирается благодаря созданию бота по тех. поддержке. При обращении проводится опрос пользователя: в виде четырех-пяти вопросов из двух вариантов. Варианты динамические и меняются в соответствии с тенденциями. Безопасность пользователя должна быть в центре, в том время как безопасность платформы — лишь один из её аспектов.

#defi #cybersecurity #инцидент

15 сентября 2022 прошла новость про уязвимость в утилите Profanity. Она используется для создания удобно-читаемых (vanity) Ethereum-кошельков, но давно не поддерживается и имеет серьёзную уязвимость в своей архитектуре. Уже 18 сентября поступали первые сообщения об эксплуатации данной уязвимости злоумышленниками. А сегодня, 20 сентября, случилась очередная брешь в безопасности слишком крупного проекта — Wintermute. В результате эксплойта уязвимого Ethereum-аккаунта подтверждаются потери на сумму около $160млн. Когда-то безопасность в DeFi всё таки перекочует из лозунгов на веб-сайтах в современные и конструктивные техники защиты. Но не сегодня и не для Wintermute.

Источники (Eng.): запись в блоге 1inch про Profanity, первые сообщения об эксплуатации на cointelegraph, инцидент с Wintermute на blockworks.

#defi #cybersecurity #инцидент

🔥 Платформа-агрегатор услуг VPN. Или еще назовём это "Децентрализованный рынок VPN". Сам концепт загружен в блокчейн в виде NFT, которого имеется 25 копий. По 0.01 ETH за штуку. Нацеливайте свой браузер децентр. приложений на эту ссылку и переключайтесь на сеть Optimism. Но выпускается скорее с целью застолбить идею, чем заработать. В блокчейне всё авторство сохранится за аккаунтом (кошельком). И подобные платформы рано или поздно захватят рынок, ведь все необходимые технологии доступны уже сегодня. Исходя из опыта есть четкая уверенность в этом, что именно за такими проектами будущее. Это лишь вопрос времени.

#web3 #концепт

https://mirror.xyz/0xdc519466f1cda17e8ae6735bB8652F47c0533CBe/MT-tAp5x9e_lLtn6KlvTQCbBBlyY6qvwe03_aypyh8I

Приложения VK удалили из App Store (iOS). Именно из-за возможных подобных легальных санкций в отношении своего приложения Telegram Павел Дуров в своё время отказался от запуска криптовалюты TON. Позже, он, конечно перестроил схему и всё таки TON был запущен его "товарищами". Сообразил рабочую схему. Но всё таки момент был уже упущен, как и растерян весь авторитет как новатора. Хотя TON всё же имеет успех, но не гиперуспех, как мог бы. Павел всего лишь про корпорации, не про технологии. Скоро у Telegram настанет пик. И в этот момент начнут появляться новые типы приложений. Что это будет? Социальные метавселенные. Возвращается в сеть метод регистрации без номеров телефонов и E-mail. А может пора создавать Lightning-кошелёк со встроенным Telegram и автоматической покупкой аккаунта?

#старыймир #lightning

На данной схеме представлены модели работы самых современных платёжных инструментов старого мира — будь то часы или кольцо с NFC. Вот с этими схемами и правильно сравнивать Web3 приложения. И в чью пользу будет сравнение? Точно не в пользу старых технологий, как на схеме. А в случае оффлайн-торговли вообще никаких посредников и серверов нет вовсе.

Подход Google лучше с точки зрения производительности и надежности, подход Apple — с точки зрения конфиденциальности и безопасности (меньше мест для утечки данных).

#старыймир #google #cybersecurity

🆘Три решающих концептуальных уязвимости всея DeFi на сегодня и конец 2022 года:

🇺🇸1) Зависимость DAI (MakerDAO) от USDC

🍄2) Оракул Chainlink (пункт от Андрэ \отца DeFi\ Кронье)

👨‍👨‍👦‍👦3) Централизация нод в Proof-of-Stake

#defi #cybersecurity

06.10.22 очередной крупный мост в #DeFi был взломан. Вторая по размерам смарт-сеть Binance Smart Chain (#BSC) была приостановлена после того, как с официального моста было слито более $500 млн в BNB, родном токене экосистемы Binance. Атакующий вывел из моста 2 млн токенов BNB, но не очень удачно. Скорее всего, $430 млн в BNB, оставшиеся на BSC, будут хакеру недоступны, оставив ему примерно $100 млн в активах на других цепочках. Очередной мост и очередной баг в реализации. В способе проверки доказательств в Binance Bridge была обнаружена ошибка, которая могла позволить злоумышленникам подделывать произвольные сообщения. К счастью, злоумышленник подделал только два сообщения, но ущерб мог быть гораздо серьезнее. Пользовательские средства не пострадали и это уже прекрасно. Ранее уже сообщали об устранённой уязвимости в Multichain (AnySwap), про взлом моста Nomad, взлом моста Horizon, потерявшиеся средства моста EVODeFi, взлом моста Wormhole. А ведь это только самые интересные инциденты. Чтобы хотелось ещё проанализировать в данном конкретном случае: своевременность реакции, отчёт о проделанной работе над ошибками и какие выводы будут сделаны корпорацией #Binance. И ещё как хакер распорядится средствами и смогут ли их заморозить на других смарт-чейнах. Вот его кошелёк: https://debank.com/profile/0x489a8756c18c0b8b24ec2a2b9ff3d4d447f79bec

Источники (Eng.): https://thedefiant.io/bsc-paused-560m-hack
Тех. разбор: https://twitter.com/samczsun/status/1578167198203289600

#cybersecurity #инцидент