В понедельник фишинговая афера с предложением мошеннического airdrop смогла лишить пользователей Uniswap почти 8 миллионов долларов США.

Фишинговая афера обещала бесплатную раздачу 400 токенов UNI (стоимостью около 2200 долларов США). Пользователям предлагалось подключить свои криптокошельки и подписать транзакцию, чтобы получить вредоносный airdrop. После подключения неизвестный хакер завладевал средствами пользователей с помощью вредоносного смарт-контракта.

На сегодняшний день, согласно данным Etherscan, более 74 000 кошельков взаимодействовали со смарт-контрактом фишинговой аферы.

По данным Etherscan, 11 июля 2022 года хакер развернул вредоносный смарт-контракт.

Примечательно, что код смарт-контракта, развернутого на Etherscan, не был проверен - то, что делают большинство легитимных проектов.

Для получения своих токенов, полученных пользователями в рамках airdrop, хакер обманом заставил пользователей подписать транзакцию. Вместо этого транзакция выполняла функцию одобрения, предоставляя хакеру доступ ко всем токенам Uniswap LP (Liquidity Pool), принадлежащим пользователю.

Каждый раз, когда пользователи добавляют ликвидность в Uniswap, они получают взамен токены LP, представляющие их позиции ликвидности. Эти токены, как и все другие NFT, могут передаваться и используют стандарт токенов ERC-721.

Таким образом, через транзакцию одобрения третья сторона (в данном случае хакерский кошелек) может тратить средства от имени пользователя.

Получив доступ от предыдущей транзакции одобрения, хакер перевел все токены LP на свой кошелек и вывел всю ликвидность из Uniswap.

Источник (Eng.): https://decrypt.co/104916/hackers-nab-8m-ethereum-uniswap-phishing-attack

#cybersecurity #defi #ethereum #uniswap #фишинг #инцидент

Охота на угрозы. В этом выпуске за Июль 2022 года у нас интересная троица: разработчик-инсайдер из Северной Кореи; малварь под видом DeFi-кошелька и классический агент угрозы, выдающий себя за сотрудника DeFi-проекта.

https://telegra.ph/Aktualnye-fishing-ugrozy-v-DeFi-iz-Telegram-pervoj-poloviny-2022-goda-07-16

#cybersecurity #defi #phishing #report

Мост Nomad (app.nomad.xyz) был взломан и злоумышленниками активно эксплуатируется критическая уязвимость. НЕ используйте мост Nomad и отмените разрешения!

В настоящее время с контракта 0x88A69B4E698A4B090DF6CF5Bd7B2D47325Ad30A3 было слито более $50 млн WBTC и WETH. Хакер, похоже, нацелился на USDC и USDT.

Источник (Eng): https://news.1rj.ru/str/RugDocChat/403238
#defi #cybersecurity

Залоговая долговая позиция (Collateralized Debt Position, CDP):

Это позиция, созданная путем блокировки залога в смарт-контракте MakerDAO для генерации децентрализованного стейблкоина DAI. Эта система была представлена миру децентрализованных финансов командой MakerDAO и именно так создается децентрализованный стейблкоин DAI.

Стоимость залога, заблокированного в CDP, всегда должна превышать 150% от стоимости DAI, который был использован для генерации. Если позиция оказывается недостаточно обеспеченной, активы, заблокированные в смарт-контракте, продаются, чтобы вернуть сгенерированный DAI. За ликвидацию взимается штраф, а также есть комиссия за обслуживание позиции.

Сгенерированные DAI — это, по сути, децентрализованный кредит, обеспеченный стоимостью залога. Чтобы разблокировать залог, пользователю необходимо вернуть сгенерированные DAI плюс комиссию за стабильность. Каждый из находящихся в обращении стейблкоинов DAI, которых на момент написания статьи насчитывается почти 7 с половиной миллиардов, был создан таким образом.

Традиционно для залога в MakerDAO можно было использовать только Ether (ETH), но теперь поддерживаются также WBTC и другие.



Хотя MakerDAO представил термин Залоговая долговая позиция (Collateralized Debt Position, CDP), технически другие проекты DeFi могут принять CDP и как термин, и как систему.

Источник (Eng)

#defi #dai #makerdao

⚡️ Очередной глобальный инцидент на сети Solana. Из большого количества кошельков выводят токены SOL, USDC. Вектор атаки пока так и не выяснен. Рекомендуется вывести средства из сети Solana на другие сети или на биржи. Предположительно скомпрометированы приватные ключи пользователей кошельков Phantom и Slope.

Источник (Eng): твиттер CZ
#defi #solana #cybersecyrity

Да, по взлому DNS на Convex Finance и на Curve Finance. Эта история тянется ещё с Декабря 2021 года, когда в канале вышел обзор на взлом BadgerDAO. Уже тогда надо было сделать соответствующие выводы и принять меры. Тем не менее ситуации будут продолжаться. А вот и обзор и выводы по текущим инцидентам DNS: https://telegra.ph/Vzlom-glavnogo-proekta-po-dohodnosti-v-Ethereum-07-18

#cybersecurity #defi #curve #convex

В Нидерландах арестован разработчик смарт-контрактов платформы Tornado Cash. Его обвиняют в том, что он являлся бенефициаром платформы, хотя исходный код говорит об обратном. То есть доказательств его вины нет как таковых. Скорее всего это 29-ти летний Алексей Перцев. На днях Казначейство США внесло приложение Tornado Cash в санкционный список. Это первый случай в истории, когда децентрализованное приложение попадает под санкции. Разработчиками Tornado Cash являются Роман Сторм, Роман Семёнов и Алексей Перцев. Это событие очень глобально и будет иметь глубокое влияние на историю Web3.

#defi #tornadocash

Источник (Eng): https://www.coindesk.com/policy/2022/08/12/netherlands-arrests-suspected-tornado-cash-developer/

Ethereum 2.0 на Proof-of-Stake и главная угроза от банкиров для DeFi.

От этого нейминга (2.0) уже отказались, кстати. Зря, но чтож. Многие инфоресурсы пестрят лонгридами по теме. И везде по сути одно и тоже — гадание на кофейной гуще. Лучше их не читать, чтобы не забивать себе голову. Как будут развиваться события не знает никто. Смысла нет тратить время на обсуждение вариантов событий с какими-то сомнительными допущениями и тем более на какие-то смешные стратегии с "ETH-PoW". Мы же обсудим перспективы технологического батла – стейкинг против майнинга. И главную угрозу от цензоров и банкиров для DeFi.

2.0 – это затянувшийся бенефис Виталика Бутерина. И переломный момент в индустрии майнинга, безусловно. Пока что у Виталика получалось доставлять результат вполне успешно. Если смотреть на капу, TVL, а не на обещания. Даже оглядываясь на историю с "хаком DAO" и форком Ethereum Classic, какой бы критике это решение не подвергалось, проект оно не потопило и конкуренты ситуацией не смогли воспользоваться. Да, по мнению Бутерина майнинг (Proof-of-Work) и смарт-контракты — вещи несовместимые на данном этапе развития. Никто не запрещает конкурентам доказать обратное на практике. Все спецификации, наработки и опыт в открытом доступе. Очевидно, будет и момент, когда технологии позволят майнингу вновь вернуться на сцену смарт-контрактов. Для этого необходим значительный прогресс в технологиях передачи данных и/или в самом PoW. А текущий переход на PoS скорее всего завершится успешно, хотя трудности и не исключены. Касательно рисков — свинью могут подложить централизованные эмитенты стейблов вроде USDC, USDT, BUSD и т.д. Договориться им не составит труда. Пример: у Виталика и новой сети в PoS какие-то трудности и нюансы, а эти эмитенты поддержат хардфорк от альтернативной команды и заявят, что их стейблы действительны только в новом хардфорке, поддержанном ими. В случае, если альтернативный хардфорк будет на PoW, — то его поддержат и майнеры. Мотивация простая — цензура на уровне блокчейна (санкции). Обзор на тенденции цензуры в DeFi-проектах уже в работе, кстати. А такой риск есть и он будет означать действительно перезапуск всего DeFi практически с нуля. Кстати, избежать этого риска достаточно просто — надо заранее вывести стейблы на альтчейны (BSC, Polygon, Avalanche, Fantom) или на биржи. Либо, что ещё надёжнее, — в Биткоин (через мост renBTC). Но DeFi-токены и прочий ETH это, конечно, не спасёт от краха в цене.

#defi #eth20 #ethereum #cybersecurity

Cash App — одно из самых популярных приложений для платежных сервисов, с более чем 50 миллионами загрузок в Google Play Store. Приложение Cash App также получило определенную известность благодаря масштабным акциям по раздаче наличных денег в социальных сетях. Приложение принадлежит компании Block, которая ранее была известна как Square. Компанией руководит Джек Дорси (бывш. директор Твиттер).

Хакеры взламывают счета ничего не подозревающих жертв Cash App и крадут сотни и тысячи долларов, утверждают жертвы, с которыми пообщалось издание Motherboard. В случае с одним человеком, по их словам, Cash App не возместил им украденные средства.
В даркнете и на форумах множество людей продают данные для входа в учетные записи Cash App. Некоторые из этих людей указывают, что в данных содержится адрес электронной почты и пароль для связанного аккаунта электронной почты. Некоторые из этих объявлений могут быть мошенническими, но те, что размещены на даркнетовских веб-рынках, исходят от мошенников, которые получили положительные отзывы от предполагаемых клиентов, согласно системе отзывов, распространенной на таких сайтах.

Проблемы с безопасностью средств — это не проблемы децентрализованных приложений. Централизованные платёжные сервисы также имеют множество недочётов в их системах, что также приводит к потере пользовательских средств. Однако, за счёт того, что такие компании более закрыты — мы узнаём об этом из соц. сетей, а не из блокчейнов. Так что те, кто говорят, что децентрализованные приложения, DeFi или Web3 более подвержены взломам и рискам с точки зрения архитектуры безопасности — это не правда. Всё зависит исключительно от отношения к безопасности самой команды.

Источник (Eng.): vice.com

#cybersecurity #google #инцидент #старыймир

Допустим, банк нанял бригаду гопников, чтобы они стояли у банка, оценивали прохожих и привлекали их в банк чтоб те клиентами становились. А тут значит идёте вы с мешком денег и хотите положить в этот банк на свой счёт. И эти гопники у вас деньги отобрали и убежали. А теперь вопрос: какой недавний инцидент в DeFi я имею ввиду?

#cybersecurity #defi #инцидент

02 сентября 2022 года децентрализованный протокол ликвидности Kyber Network раскрыл в Twitter, что его пользователи потеряли средства в размере 265 000 долларов США из-за эксплойта фронт-энда. Уязвимость связана с вредоносным кодом добавленным через Google Tag Manager на сайте KyberSwap. Целью злоумышленников стали китовые кошельки. Вставляя поддельные одобрения (spending approvals) в код страницы киты разрешали перевод средств с их кошельков злоумышленникам.

Google Tag Manager используется в маркетинговых целях с целью анализа рекламных кампаний и отслеживания действий пользователей.

Иногда легкие по компенсации инциденты помогают командам DeFi-проектов начать относиться к безопасности более комплексно. Проактивный мониторинг сообществ, оценка ситуации с поступающими сообщениями об инцидентах от пользователей. Аналитика легко собирается благодаря созданию бота по тех. поддержке. При обращении проводится опрос пользователя: в виде четырех-пяти вопросов из двух вариантов. Варианты динамические и меняются в соответствии с тенденциями. Безопасность пользователя должна быть в центре, в том время как безопасность платформы — лишь один из её аспектов.

#defi #cybersecurity #инцидент

15 сентября 2022 прошла новость про уязвимость в утилите Profanity. Она используется для создания удобно-читаемых (vanity) Ethereum-кошельков, но давно не поддерживается и имеет серьёзную уязвимость в своей архитектуре. Уже 18 сентября поступали первые сообщения об эксплуатации данной уязвимости злоумышленниками. А сегодня, 20 сентября, случилась очередная брешь в безопасности слишком крупного проекта — Wintermute. В результате эксплойта уязвимого Ethereum-аккаунта подтверждаются потери на сумму около $160млн. Когда-то безопасность в DeFi всё таки перекочует из лозунгов на веб-сайтах в современные и конструктивные техники защиты. Но не сегодня и не для Wintermute.

Источники (Eng.): запись в блоге 1inch про Profanity, первые сообщения об эксплуатации на cointelegraph, инцидент с Wintermute на blockworks.

#defi #cybersecurity #инцидент

🔥 Платформа-агрегатор услуг VPN. Или еще назовём это "Децентрализованный рынок VPN". Сам концепт загружен в блокчейн в виде NFT, которого имеется 25 копий. По 0.01 ETH за штуку. Нацеливайте свой браузер децентр. приложений на эту ссылку и переключайтесь на сеть Optimism. Но выпускается скорее с целью застолбить идею, чем заработать. В блокчейне всё авторство сохранится за аккаунтом (кошельком). И подобные платформы рано или поздно захватят рынок, ведь все необходимые технологии доступны уже сегодня. Исходя из опыта есть четкая уверенность в этом, что именно за такими проектами будущее. Это лишь вопрос времени.

#web3 #концепт

https://mirror.xyz/0xdc519466f1cda17e8ae6735bB8652F47c0533CBe/MT-tAp5x9e_lLtn6KlvTQCbBBlyY6qvwe03_aypyh8I

Приложения VK удалили из App Store (iOS). Именно из-за возможных подобных легальных санкций в отношении своего приложения Telegram Павел Дуров в своё время отказался от запуска криптовалюты TON. Позже, он, конечно перестроил схему и всё таки TON был запущен его "товарищами". Сообразил рабочую схему. Но всё таки момент был уже упущен, как и растерян весь авторитет как новатора. Хотя TON всё же имеет успех, но не гиперуспех, как мог бы. Павел всего лишь про корпорации, не про технологии. Скоро у Telegram настанет пик. И в этот момент начнут появляться новые типы приложений. Что это будет? Социальные метавселенные. Возвращается в сеть метод регистрации без номеров телефонов и E-mail. А может пора создавать Lightning-кошелёк со встроенным Telegram и автоматической покупкой аккаунта?

#старыймир #lightning

На данной схеме представлены модели работы самых современных платёжных инструментов старого мира — будь то часы или кольцо с NFC. Вот с этими схемами и правильно сравнивать Web3 приложения. И в чью пользу будет сравнение? Точно не в пользу старых технологий, как на схеме. А в случае оффлайн-торговли вообще никаких посредников и серверов нет вовсе.

Подход Google лучше с точки зрения производительности и надежности, подход Apple — с точки зрения конфиденциальности и безопасности (меньше мест для утечки данных).

#старыймир #google #cybersecurity

🆘Три решающих концептуальных уязвимости всея DeFi на сегодня и конец 2022 года:

🇺🇸1) Зависимость DAI (MakerDAO) от USDC

🍄2) Оракул Chainlink (пункт от Андрэ \отца DeFi\ Кронье)

👨‍👨‍👦‍👦3) Централизация нод в Proof-of-Stake

#defi #cybersecurity

06.10.22 очередной крупный мост в #DeFi был взломан. Вторая по размерам смарт-сеть Binance Smart Chain (#BSC) была приостановлена после того, как с официального моста было слито более $500 млн в BNB, родном токене экосистемы Binance. Атакующий вывел из моста 2 млн токенов BNB, но не очень удачно. Скорее всего, $430 млн в BNB, оставшиеся на BSC, будут хакеру недоступны, оставив ему примерно $100 млн в активах на других цепочках. Очередной мост и очередной баг в реализации. В способе проверки доказательств в Binance Bridge была обнаружена ошибка, которая могла позволить злоумышленникам подделывать произвольные сообщения. К счастью, злоумышленник подделал только два сообщения, но ущерб мог быть гораздо серьезнее. Пользовательские средства не пострадали и это уже прекрасно. Ранее уже сообщали об устранённой уязвимости в Multichain (AnySwap), про взлом моста Nomad, взлом моста Horizon, потерявшиеся средства моста EVODeFi, взлом моста Wormhole. А ведь это только самые интересные инциденты. Чтобы хотелось ещё проанализировать в данном конкретном случае: своевременность реакции, отчёт о проделанной работе над ошибками и какие выводы будут сделаны корпорацией #Binance. И ещё как хакер распорядится средствами и смогут ли их заморозить на других смарт-чейнах. Вот его кошелёк: https://debank.com/profile/0x489a8756c18c0b8b24ec2a2b9ff3d4d447f79bec

Источники (Eng.): https://thedefiant.io/bsc-paused-560m-hack
Тех. разбор: https://twitter.com/samczsun/status/1578167198203289600

#cybersecurity #инцидент

К выводам и урокам. Но для начала немного предыстории для ясности. #Binance успешно стартанул в 2017 году. Одним из обещанных пунктов дорожной карты, исполнения которого очень многие ждали, был запуск DeX — децентрализованной площадки для торговли криптой. В апреле 2019 года этот DeX был запущен совместно с собственным блокчейном BNB Chain (анонс на binance.com). Это токены стандарта BEP-2. Много времени ушло на разработку, но всё же обещание выполнено. В сентябре 2020 года крайне успешно предвосхитив тренд запускается EVM-совместимая Binance Smart Chain. #BSC, токены BEP-20. Сеть смарт-контрактов BSC благодаря репутации компании, программам акселераторов, маркетингу и удачному моменту набирает бешеную популярность весной 2021 года и успешно закрепляется на второй позиции после Ethereum. Соответственно, чтобы из BNB Chain (BEP2) в BSC (BEP20) токены вывести (и обратно) и служит тот самый взломанный мост Binance Bridge.

Первый блокчейн Binance — BNB Chain, как и DeX на нём, особой популярности не обрели. В отличие от PancakeSwap (CAKE) и BSC. Про проблемы с безопасностью кросс-чейн мостов писал и Виталик Бутерин, как и случались многочисленные крупнейшие инциденты с ними. Таким образом, очевидно, что до сих пор существующий мост Binance Bridge — сложный технологический узел, который несёт в себе серьёзные риски и требует повышенной внимательности разработчиков и безопасников. А функционал его не нашёл популярности в экосистеме. Наиболее правильным решением было бы перевести его в ручной режим и запустить процедуру отключения BNB Chain. Так, кстати, делает Google со своими не нашедшими успеха сервисами. Это минимизирует риски и затраты на обслуживание. Выводы такие: если в экосистеме есть устаревший и непопулярный, но сверх рисковый технологический узел — выгоднее будет его отключить. Такой вот риск-менеджмент у Binance 🤷‍♂️ Будем надеяться, что другие платформы научатся на этих ошибках.
#defi #cybersecurity #инцидент

До сих пор взлом Axie Infinity (Ronin Bridge) остаётся самым крупным с точки зрения финансовых потерь. Сегодня тезисно пройдёмся по трём ключевым брешам в безопасности, которые в сумме позволили данному инциденту случиться. Но отдельная тема — атрибуция с Lazarus, но об этом в другой раз. А сейчас про три серьёзных просчёта в безопасности, из-за которых было украдено $600 миллионов из сайдчена, считавшегося децентрализованным.


https://telegra.ph/Tri-seryoznyh-breshi-bezopasnosti-privedshih-k-glavnomu-vzlomu-v-GameFi-10-10

#инцидент #cybersecurity

Перспективные направления исследований криптовалют и крипто тезисы 2024:

Ключевые риски в постоянно меняющемся мире. Балканизация интернета;

#Lightning и его практические кейсы. Микротранзакции и их применение;

Современное мостостроение #Bitcoin <-> #Ethereum. Кризис сферы и развитие технологий Proof-of-Stake и Snark;

Snark и его место в современных децентрализованных и обычных приложениях;

Технологический стек и состояние экосистемы #DAO. Практика внедрения в любые существующие органы управления;

Кибербезопасность: новые подходы, прозрачность и открытость, Proof-of-Assets;

Постоянный Proof-of-Assets и новые способы апгрейда безопасности бирж и приложений Web2;

Практические кейсы инновационных смарт-контрактов и их блага;

Flywheel-стартапы и прочие приложения к главным #DeFi 2.0 проектам;

#DeFi 3.0 — экосистемы полного финансового сервиса;

Стейблкоины и резервные валюты;

Прошлое, настоящее и будущее токеномики;

Анализ и оценка подходов к созданию, ведению и управлению топовыми проектами в #DeFi (#DAO);

Анализ подходов к привлечению ликвидности, поиск новых способов;

Практика применения современных технологий для повышения отказоустойчивости: IPv6, IPFS, ENS. Анализ перспективных технологий;

Проблематика хранения и доступности данных в скорости и бесконечности;

Исследования и аналитика: 1)алгоритмы консенсуса и 2)языки программирования смарт-контрактов;

Перспективные технологии биометрии, которые позволят включить её в доверенный фактор на блокчейн-приложениях;

Концепции и технологии позволяющие вернуть Proof-of-Work на #Ethereum;

Существующая экосистема образовательных и вспомогательных проектов. Упрощение и ускорение вовлечения новых разработчиков и креаторов;

Новые подходы к образованию и вовлечению пользователей, разработчиков, креаторов, визионеров, управленцев, архитекторов и советчиков;

Инновационные статистические и аналитические проекты. Ончейн и оффчейн метрики. Сантимент социальных сетей;

Обоюдное влияние на мировую повестку и старую финансовую систему;

Перспективы с точки зрения угроз по отношению к человеку и личности.

Более подробно некоторые тезисы описаны в отдельной статье: https://telegra.ph/Kripto-tezis-2024-11-19

Краткая сводка новостей #Curve Finance на конец ноября 2022 года:

1) Из-за колебаний рынка и переменчивости настроений сообщества касательно стейблкоинов пулами 3pool (DAI-USDT-USDC) и прочими были заработаны приличные суммы комиссий (admin fee). Которые распределяются среди DAO-токена экосистемы. То есть это залоченный токен #CRV на длительное время, который называется veCRV. Или его ликвидные аналоги от проектов-надстроек или автокомпаундеров — они тоже получают доходность от комиссий (admin fee).

2) Чуть позже некий(е) персонаж(и) решил(и) сыграть в финансовую игру с кредитной платформой #Aave, сделав своеобразный шорт на токен CRV. Из-за его маленькой ликвидности и высокой настройки LTV на Aave (Loan-to-Value = 87% для CRV за 100% USDC) появилась возможность вогнать кредитную платформу в плохой долг. В результате также пошли дополнительные объёмы торговли на пулы, что дало ещё комиссий. Токен CRV же стал значительно падать в цене.

3) У Aave случился плохой долг из-за действий игрока(ов). Из-за низкой ликвидности токен просто не получается откупить с рынка. В ситуации также сыграл роль основатель платформы Михаил Егоров, у которого имеется крупнейшая залоговая позиция CRV на Aave. Он её уменьшил, вынудив игрока(ов) свою достаточно долгую игру выводить на завершение. Длилось это больше недели исходя из действий в блокчейн, на биржах, в Твиттере. Aave пришлось выступить в Твиттере с оф. заявлением, что приложения протокола на сети Ethereum в безопасности, плохой долг очень незначительный и легко будет закрыт платформой.

4) Одновременно с этим Михаил Егоров выпускает Whitepaper и код стейблкоина crvUSD. По мнению сообщества Михаил специально поджидал хороший момент.

5) Curve Finance не пропадает из новостных сводок и дискуссий крипточатов. Китайский оф. чат набрал популярность. В #DeFi Твиттере прошла трансляция на китайском языке с несколькими тысячами зрителей онлайн.

6) Токен разворачивается и начинает расти, на него наблюдается большой спрос. Что также добавляет комиссий, но уже на следующую неделю для распределения среди #DAO. Таким образом высокая доходность стейкеров и фармеров ликвидности продолжится. Как и обсуждение проекта и всевозможные теории. Как и ожидание скорейшего запуска в бой crvUSD, который предполагает также всю доходность выплачивать в DAO (лочащим CRV и стейкерами ликвидных надстроек cvxCRV, yCRV, sdCRV).