Охота на угрозы. В этом выпуске за Июль 2022 года у нас интересная троица: разработчик-инсайдер из Северной Кореи; малварь под видом DeFi-кошелька и классический агент угрозы, выдающий себя за сотрудника DeFi-проекта.

https://telegra.ph/Aktualnye-fishing-ugrozy-v-DeFi-iz-Telegram-pervoj-poloviny-2022-goda-07-16

#cybersecurity #defi #phishing #report

Мост Nomad (app.nomad.xyz) был взломан и злоумышленниками активно эксплуатируется критическая уязвимость. НЕ используйте мост Nomad и отмените разрешения!

В настоящее время с контракта 0x88A69B4E698A4B090DF6CF5Bd7B2D47325Ad30A3 было слито более $50 млн WBTC и WETH. Хакер, похоже, нацелился на USDC и USDT.

Источник (Eng): https://news.1rj.ru/str/RugDocChat/403238
#defi #cybersecurity

Залоговая долговая позиция (Collateralized Debt Position, CDP):

Это позиция, созданная путем блокировки залога в смарт-контракте MakerDAO для генерации децентрализованного стейблкоина DAI. Эта система была представлена миру децентрализованных финансов командой MakerDAO и именно так создается децентрализованный стейблкоин DAI.

Стоимость залога, заблокированного в CDP, всегда должна превышать 150% от стоимости DAI, который был использован для генерации. Если позиция оказывается недостаточно обеспеченной, активы, заблокированные в смарт-контракте, продаются, чтобы вернуть сгенерированный DAI. За ликвидацию взимается штраф, а также есть комиссия за обслуживание позиции.

Сгенерированные DAI — это, по сути, децентрализованный кредит, обеспеченный стоимостью залога. Чтобы разблокировать залог, пользователю необходимо вернуть сгенерированные DAI плюс комиссию за стабильность. Каждый из находящихся в обращении стейблкоинов DAI, которых на момент написания статьи насчитывается почти 7 с половиной миллиардов, был создан таким образом.

Традиционно для залога в MakerDAO можно было использовать только Ether (ETH), но теперь поддерживаются также WBTC и другие.



Хотя MakerDAO представил термин Залоговая долговая позиция (Collateralized Debt Position, CDP), технически другие проекты DeFi могут принять CDP и как термин, и как систему.

Источник (Eng)

#defi #dai #makerdao

⚡️ Очередной глобальный инцидент на сети Solana. Из большого количества кошельков выводят токены SOL, USDC. Вектор атаки пока так и не выяснен. Рекомендуется вывести средства из сети Solana на другие сети или на биржи. Предположительно скомпрометированы приватные ключи пользователей кошельков Phantom и Slope.

Источник (Eng): твиттер CZ
#defi #solana #cybersecyrity

Да, по взлому DNS на Convex Finance и на Curve Finance. Эта история тянется ещё с Декабря 2021 года, когда в канале вышел обзор на взлом BadgerDAO. Уже тогда надо было сделать соответствующие выводы и принять меры. Тем не менее ситуации будут продолжаться. А вот и обзор и выводы по текущим инцидентам DNS: https://telegra.ph/Vzlom-glavnogo-proekta-po-dohodnosti-v-Ethereum-07-18

#cybersecurity #defi #curve #convex

В Нидерландах арестован разработчик смарт-контрактов платформы Tornado Cash. Его обвиняют в том, что он являлся бенефициаром платформы, хотя исходный код говорит об обратном. То есть доказательств его вины нет как таковых. Скорее всего это 29-ти летний Алексей Перцев. На днях Казначейство США внесло приложение Tornado Cash в санкционный список. Это первый случай в истории, когда децентрализованное приложение попадает под санкции. Разработчиками Tornado Cash являются Роман Сторм, Роман Семёнов и Алексей Перцев. Это событие очень глобально и будет иметь глубокое влияние на историю Web3.

#defi #tornadocash

Источник (Eng): https://www.coindesk.com/policy/2022/08/12/netherlands-arrests-suspected-tornado-cash-developer/

Ethereum 2.0 на Proof-of-Stake и главная угроза от банкиров для DeFi.

От этого нейминга (2.0) уже отказались, кстати. Зря, но чтож. Многие инфоресурсы пестрят лонгридами по теме. И везде по сути одно и тоже — гадание на кофейной гуще. Лучше их не читать, чтобы не забивать себе голову. Как будут развиваться события не знает никто. Смысла нет тратить время на обсуждение вариантов событий с какими-то сомнительными допущениями и тем более на какие-то смешные стратегии с "ETH-PoW". Мы же обсудим перспективы технологического батла – стейкинг против майнинга. И главную угрозу от цензоров и банкиров для DeFi.

2.0 – это затянувшийся бенефис Виталика Бутерина. И переломный момент в индустрии майнинга, безусловно. Пока что у Виталика получалось доставлять результат вполне успешно. Если смотреть на капу, TVL, а не на обещания. Даже оглядываясь на историю с "хаком DAO" и форком Ethereum Classic, какой бы критике это решение не подвергалось, проект оно не потопило и конкуренты ситуацией не смогли воспользоваться. Да, по мнению Бутерина майнинг (Proof-of-Work) и смарт-контракты — вещи несовместимые на данном этапе развития. Никто не запрещает конкурентам доказать обратное на практике. Все спецификации, наработки и опыт в открытом доступе. Очевидно, будет и момент, когда технологии позволят майнингу вновь вернуться на сцену смарт-контрактов. Для этого необходим значительный прогресс в технологиях передачи данных и/или в самом PoW. А текущий переход на PoS скорее всего завершится успешно, хотя трудности и не исключены. Касательно рисков — свинью могут подложить централизованные эмитенты стейблов вроде USDC, USDT, BUSD и т.д. Договориться им не составит труда. Пример: у Виталика и новой сети в PoS какие-то трудности и нюансы, а эти эмитенты поддержат хардфорк от альтернативной команды и заявят, что их стейблы действительны только в новом хардфорке, поддержанном ими. В случае, если альтернативный хардфорк будет на PoW, — то его поддержат и майнеры. Мотивация простая — цензура на уровне блокчейна (санкции). Обзор на тенденции цензуры в DeFi-проектах уже в работе, кстати. А такой риск есть и он будет означать действительно перезапуск всего DeFi практически с нуля. Кстати, избежать этого риска достаточно просто — надо заранее вывести стейблы на альтчейны (BSC, Polygon, Avalanche, Fantom) или на биржи. Либо, что ещё надёжнее, — в Биткоин (через мост renBTC). Но DeFi-токены и прочий ETH это, конечно, не спасёт от краха в цене.

#defi #eth20 #ethereum #cybersecurity

Cash App — одно из самых популярных приложений для платежных сервисов, с более чем 50 миллионами загрузок в Google Play Store. Приложение Cash App также получило определенную известность благодаря масштабным акциям по раздаче наличных денег в социальных сетях. Приложение принадлежит компании Block, которая ранее была известна как Square. Компанией руководит Джек Дорси (бывш. директор Твиттер).

Хакеры взламывают счета ничего не подозревающих жертв Cash App и крадут сотни и тысячи долларов, утверждают жертвы, с которыми пообщалось издание Motherboard. В случае с одним человеком, по их словам, Cash App не возместил им украденные средства.
В даркнете и на форумах множество людей продают данные для входа в учетные записи Cash App. Некоторые из этих людей указывают, что в данных содержится адрес электронной почты и пароль для связанного аккаунта электронной почты. Некоторые из этих объявлений могут быть мошенническими, но те, что размещены на даркнетовских веб-рынках, исходят от мошенников, которые получили положительные отзывы от предполагаемых клиентов, согласно системе отзывов, распространенной на таких сайтах.

Проблемы с безопасностью средств — это не проблемы децентрализованных приложений. Централизованные платёжные сервисы также имеют множество недочётов в их системах, что также приводит к потере пользовательских средств. Однако, за счёт того, что такие компании более закрыты — мы узнаём об этом из соц. сетей, а не из блокчейнов. Так что те, кто говорят, что децентрализованные приложения, DeFi или Web3 более подвержены взломам и рискам с точки зрения архитектуры безопасности — это не правда. Всё зависит исключительно от отношения к безопасности самой команды.

Источник (Eng.): vice.com

#cybersecurity #google #инцидент #старыймир

Допустим, банк нанял бригаду гопников, чтобы они стояли у банка, оценивали прохожих и привлекали их в банк чтоб те клиентами становились. А тут значит идёте вы с мешком денег и хотите положить в этот банк на свой счёт. И эти гопники у вас деньги отобрали и убежали. А теперь вопрос: какой недавний инцидент в DeFi я имею ввиду?

#cybersecurity #defi #инцидент

02 сентября 2022 года децентрализованный протокол ликвидности Kyber Network раскрыл в Twitter, что его пользователи потеряли средства в размере 265 000 долларов США из-за эксплойта фронт-энда. Уязвимость связана с вредоносным кодом добавленным через Google Tag Manager на сайте KyberSwap. Целью злоумышленников стали китовые кошельки. Вставляя поддельные одобрения (spending approvals) в код страницы киты разрешали перевод средств с их кошельков злоумышленникам.

Google Tag Manager используется в маркетинговых целях с целью анализа рекламных кампаний и отслеживания действий пользователей.

Иногда легкие по компенсации инциденты помогают командам DeFi-проектов начать относиться к безопасности более комплексно. Проактивный мониторинг сообществ, оценка ситуации с поступающими сообщениями об инцидентах от пользователей. Аналитика легко собирается благодаря созданию бота по тех. поддержке. При обращении проводится опрос пользователя: в виде четырех-пяти вопросов из двух вариантов. Варианты динамические и меняются в соответствии с тенденциями. Безопасность пользователя должна быть в центре, в том время как безопасность платформы — лишь один из её аспектов.

#defi #cybersecurity #инцидент

15 сентября 2022 прошла новость про уязвимость в утилите Profanity. Она используется для создания удобно-читаемых (vanity) Ethereum-кошельков, но давно не поддерживается и имеет серьёзную уязвимость в своей архитектуре. Уже 18 сентября поступали первые сообщения об эксплуатации данной уязвимости злоумышленниками. А сегодня, 20 сентября, случилась очередная брешь в безопасности слишком крупного проекта — Wintermute. В результате эксплойта уязвимого Ethereum-аккаунта подтверждаются потери на сумму около $160млн. Когда-то безопасность в DeFi всё таки перекочует из лозунгов на веб-сайтах в современные и конструктивные техники защиты. Но не сегодня и не для Wintermute.

Источники (Eng.): запись в блоге 1inch про Profanity, первые сообщения об эксплуатации на cointelegraph, инцидент с Wintermute на blockworks.

#defi #cybersecurity #инцидент

🔥 Платформа-агрегатор услуг VPN. Или еще назовём это "Децентрализованный рынок VPN". Сам концепт загружен в блокчейн в виде NFT, которого имеется 25 копий. По 0.01 ETH за штуку. Нацеливайте свой браузер децентр. приложений на эту ссылку и переключайтесь на сеть Optimism. Но выпускается скорее с целью застолбить идею, чем заработать. В блокчейне всё авторство сохранится за аккаунтом (кошельком). И подобные платформы рано или поздно захватят рынок, ведь все необходимые технологии доступны уже сегодня. Исходя из опыта есть четкая уверенность в этом, что именно за такими проектами будущее. Это лишь вопрос времени.

#web3 #концепт

https://mirror.xyz/0xdc519466f1cda17e8ae6735bB8652F47c0533CBe/MT-tAp5x9e_lLtn6KlvTQCbBBlyY6qvwe03_aypyh8I

Приложения VK удалили из App Store (iOS). Именно из-за возможных подобных легальных санкций в отношении своего приложения Telegram Павел Дуров в своё время отказался от запуска криптовалюты TON. Позже, он, конечно перестроил схему и всё таки TON был запущен его "товарищами". Сообразил рабочую схему. Но всё таки момент был уже упущен, как и растерян весь авторитет как новатора. Хотя TON всё же имеет успех, но не гиперуспех, как мог бы. Павел всего лишь про корпорации, не про технологии. Скоро у Telegram настанет пик. И в этот момент начнут появляться новые типы приложений. Что это будет? Социальные метавселенные. Возвращается в сеть метод регистрации без номеров телефонов и E-mail. А может пора создавать Lightning-кошелёк со встроенным Telegram и автоматической покупкой аккаунта?

#старыймир #lightning

На данной схеме представлены модели работы самых современных платёжных инструментов старого мира — будь то часы или кольцо с NFC. Вот с этими схемами и правильно сравнивать Web3 приложения. И в чью пользу будет сравнение? Точно не в пользу старых технологий, как на схеме. А в случае оффлайн-торговли вообще никаких посредников и серверов нет вовсе.

Подход Google лучше с точки зрения производительности и надежности, подход Apple — с точки зрения конфиденциальности и безопасности (меньше мест для утечки данных).

#старыймир #google #cybersecurity

🆘Три решающих концептуальных уязвимости всея DeFi на сегодня и конец 2022 года:

🇺🇸1) Зависимость DAI (MakerDAO) от USDC

🍄2) Оракул Chainlink (пункт от Андрэ \отца DeFi\ Кронье)

👨‍👨‍👦‍👦3) Централизация нод в Proof-of-Stake

#defi #cybersecurity

06.10.22 очередной крупный мост в #DeFi был взломан. Вторая по размерам смарт-сеть Binance Smart Chain (#BSC) была приостановлена после того, как с официального моста было слито более $500 млн в BNB, родном токене экосистемы Binance. Атакующий вывел из моста 2 млн токенов BNB, но не очень удачно. Скорее всего, $430 млн в BNB, оставшиеся на BSC, будут хакеру недоступны, оставив ему примерно $100 млн в активах на других цепочках. Очередной мост и очередной баг в реализации. В способе проверки доказательств в Binance Bridge была обнаружена ошибка, которая могла позволить злоумышленникам подделывать произвольные сообщения. К счастью, злоумышленник подделал только два сообщения, но ущерб мог быть гораздо серьезнее. Пользовательские средства не пострадали и это уже прекрасно. Ранее уже сообщали об устранённой уязвимости в Multichain (AnySwap), про взлом моста Nomad, взлом моста Horizon, потерявшиеся средства моста EVODeFi, взлом моста Wormhole. А ведь это только самые интересные инциденты. Чтобы хотелось ещё проанализировать в данном конкретном случае: своевременность реакции, отчёт о проделанной работе над ошибками и какие выводы будут сделаны корпорацией #Binance. И ещё как хакер распорядится средствами и смогут ли их заморозить на других смарт-чейнах. Вот его кошелёк: https://debank.com/profile/0x489a8756c18c0b8b24ec2a2b9ff3d4d447f79bec

Источники (Eng.): https://thedefiant.io/bsc-paused-560m-hack
Тех. разбор: https://twitter.com/samczsun/status/1578167198203289600

#cybersecurity #инцидент

К выводам и урокам. Но для начала немного предыстории для ясности. #Binance успешно стартанул в 2017 году. Одним из обещанных пунктов дорожной карты, исполнения которого очень многие ждали, был запуск DeX — децентрализованной площадки для торговли криптой. В апреле 2019 года этот DeX был запущен совместно с собственным блокчейном BNB Chain (анонс на binance.com). Это токены стандарта BEP-2. Много времени ушло на разработку, но всё же обещание выполнено. В сентябре 2020 года крайне успешно предвосхитив тренд запускается EVM-совместимая Binance Smart Chain. #BSC, токены BEP-20. Сеть смарт-контрактов BSC благодаря репутации компании, программам акселераторов, маркетингу и удачному моменту набирает бешеную популярность весной 2021 года и успешно закрепляется на второй позиции после Ethereum. Соответственно, чтобы из BNB Chain (BEP2) в BSC (BEP20) токены вывести (и обратно) и служит тот самый взломанный мост Binance Bridge.

Первый блокчейн Binance — BNB Chain, как и DeX на нём, особой популярности не обрели. В отличие от PancakeSwap (CAKE) и BSC. Про проблемы с безопасностью кросс-чейн мостов писал и Виталик Бутерин, как и случались многочисленные крупнейшие инциденты с ними. Таким образом, очевидно, что до сих пор существующий мост Binance Bridge — сложный технологический узел, который несёт в себе серьёзные риски и требует повышенной внимательности разработчиков и безопасников. А функционал его не нашёл популярности в экосистеме. Наиболее правильным решением было бы перевести его в ручной режим и запустить процедуру отключения BNB Chain. Так, кстати, делает Google со своими не нашедшими успеха сервисами. Это минимизирует риски и затраты на обслуживание. Выводы такие: если в экосистеме есть устаревший и непопулярный, но сверх рисковый технологический узел — выгоднее будет его отключить. Такой вот риск-менеджмент у Binance 🤷‍♂️ Будем надеяться, что другие платформы научатся на этих ошибках.
#defi #cybersecurity #инцидент

До сих пор взлом Axie Infinity (Ronin Bridge) остаётся самым крупным с точки зрения финансовых потерь. Сегодня тезисно пройдёмся по трём ключевым брешам в безопасности, которые в сумме позволили данному инциденту случиться. Но отдельная тема — атрибуция с Lazarus, но об этом в другой раз. А сейчас про три серьёзных просчёта в безопасности, из-за которых было украдено $600 миллионов из сайдчена, считавшегося децентрализованным.


https://telegra.ph/Tri-seryoznyh-breshi-bezopasnosti-privedshih-k-glavnomu-vzlomu-v-GameFi-10-10

#инцидент #cybersecurity

Перспективные направления исследований криптовалют и крипто тезисы 2024:

Ключевые риски в постоянно меняющемся мире. Балканизация интернета;

#Lightning и его практические кейсы. Микротранзакции и их применение;

Современное мостостроение #Bitcoin <-> #Ethereum. Кризис сферы и развитие технологий Proof-of-Stake и Snark;

Snark и его место в современных децентрализованных и обычных приложениях;

Технологический стек и состояние экосистемы #DAO. Практика внедрения в любые существующие органы управления;

Кибербезопасность: новые подходы, прозрачность и открытость, Proof-of-Assets;

Постоянный Proof-of-Assets и новые способы апгрейда безопасности бирж и приложений Web2;

Практические кейсы инновационных смарт-контрактов и их блага;

Flywheel-стартапы и прочие приложения к главным #DeFi 2.0 проектам;

#DeFi 3.0 — экосистемы полного финансового сервиса;

Стейблкоины и резервные валюты;

Прошлое, настоящее и будущее токеномики;

Анализ и оценка подходов к созданию, ведению и управлению топовыми проектами в #DeFi (#DAO);

Анализ подходов к привлечению ликвидности, поиск новых способов;

Практика применения современных технологий для повышения отказоустойчивости: IPv6, IPFS, ENS. Анализ перспективных технологий;

Проблематика хранения и доступности данных в скорости и бесконечности;

Исследования и аналитика: 1)алгоритмы консенсуса и 2)языки программирования смарт-контрактов;

Перспективные технологии биометрии, которые позволят включить её в доверенный фактор на блокчейн-приложениях;

Концепции и технологии позволяющие вернуть Proof-of-Work на #Ethereum;

Существующая экосистема образовательных и вспомогательных проектов. Упрощение и ускорение вовлечения новых разработчиков и креаторов;

Новые подходы к образованию и вовлечению пользователей, разработчиков, креаторов, визионеров, управленцев, архитекторов и советчиков;

Инновационные статистические и аналитические проекты. Ончейн и оффчейн метрики. Сантимент социальных сетей;

Обоюдное влияние на мировую повестку и старую финансовую систему;

Перспективы с точки зрения угроз по отношению к человеку и личности.

Более подробно некоторые тезисы описаны в отдельной статье: https://telegra.ph/Kripto-tezis-2024-11-19

Краткая сводка новостей #Curve Finance на конец ноября 2022 года:

1) Из-за колебаний рынка и переменчивости настроений сообщества касательно стейблкоинов пулами 3pool (DAI-USDT-USDC) и прочими были заработаны приличные суммы комиссий (admin fee). Которые распределяются среди DAO-токена экосистемы. То есть это залоченный токен #CRV на длительное время, который называется veCRV. Или его ликвидные аналоги от проектов-надстроек или автокомпаундеров — они тоже получают доходность от комиссий (admin fee).

2) Чуть позже некий(е) персонаж(и) решил(и) сыграть в финансовую игру с кредитной платформой #Aave, сделав своеобразный шорт на токен CRV. Из-за его маленькой ликвидности и высокой настройки LTV на Aave (Loan-to-Value = 87% для CRV за 100% USDC) появилась возможность вогнать кредитную платформу в плохой долг. В результате также пошли дополнительные объёмы торговли на пулы, что дало ещё комиссий. Токен CRV же стал значительно падать в цене.

3) У Aave случился плохой долг из-за действий игрока(ов). Из-за низкой ликвидности токен просто не получается откупить с рынка. В ситуации также сыграл роль основатель платформы Михаил Егоров, у которого имеется крупнейшая залоговая позиция CRV на Aave. Он её уменьшил, вынудив игрока(ов) свою достаточно долгую игру выводить на завершение. Длилось это больше недели исходя из действий в блокчейн, на биржах, в Твиттере. Aave пришлось выступить в Твиттере с оф. заявлением, что приложения протокола на сети Ethereum в безопасности, плохой долг очень незначительный и легко будет закрыт платформой.

4) Одновременно с этим Михаил Егоров выпускает Whitepaper и код стейблкоина crvUSD. По мнению сообщества Михаил специально поджидал хороший момент.

5) Curve Finance не пропадает из новостных сводок и дискуссий крипточатов. Китайский оф. чат набрал популярность. В #DeFi Твиттере прошла трансляция на китайском языке с несколькими тысячами зрителей онлайн.

6) Токен разворачивается и начинает расти, на него наблюдается большой спрос. Что также добавляет комиссий, но уже на следующую неделю для распределения среди #DAO. Таким образом высокая доходность стейкеров и фармеров ликвидности продолжится. Как и обсуждение проекта и всевозможные теории. Как и ожидание скорейшего запуска в бой crvUSD, который предполагает также всю доходность выплачивать в DAO (лочащим CRV и стейкерами ликвидных надстроек cvxCRV, yCRV, sdCRV).

Кризис мостов Bitcoin <-> Ethereum.

BTC -- главная и самая популярная криптовалюта. И ей есть место и применение в сфере приложений децентрализованных финансов на сети #Ethereum. Но напрямую использовать BTC в виде токена ERC-20 технически невозможно ибо блокчейны разные.

Для этих целей в #DeFi придумали специальные обертки на BTC. Работают они с помощью специальных мостов, на адреса которых в сети Bitcoin переводятся BTC. Взамен оригинала выписываются эквиваленты в сети Ethereum в токенах стандарта ERC-20. За работу мостов и обеспеченность эквивалента настоящим BTC отвечают доверенные организации. Самыми популярными обертками-эквивалентами на сегодняшний день являются #wBTC и #renBTC.

Крах биржи #FTX и фонда #Alameda обнажил имеющиеся проблемы с топовыми доверенными организациями, отвечающими за обеспечение 1:1 обертки реальными BTC в сети #Bitcoin и за работу мостов. Хотя вот мосты wBTC пытался найти два раза в разное время, но безуспешно. Мост же платформы Ren был финансово зависим от Alameda и заявил о своём сворачивании. Шаг, конечно, крайне сомнительный, ведь можно было и решить команде финансовые проблемы по-другому: покинуть должности и передать проект сообществу или открыть бухгалтерию и объявить сбор средств. К ответственным за wBTC тоже имеется ряд претензий, в том числе в части обеспечения. Основной вопрос в том, что wBTC проект очень древний и не развивающийся, живых мостов найти не удаётся и перспективы его максимально туманны.

Таким образом, на данный момент лучшим вариантом будет вывести обернутые BTC в саму сеть Bitcoin в целях безопасности на 2-3 месяца и наблюдать за развитием событий. Как именно это сделать -- зависит от объемов и прочих факторов. Пока что мост renBTC работает на вывод и ликвидность в пуле Curve wBTC/renBTC имеется. Для небольшого объема вариант подходящий, но не стоит забывать важного правила безопасности -- начинать с небольших сумм и проводить операции частями.