Krypto, DeFi-hack ökar i april – Yearn-kontraktsutnyttjande, MEV-botdränering, Euler- och Sushi‑återbetalningsuppdateringar

PeckShield rapporterade tidigt på torsdagen att den icke‑custodiala penningmarknadsprotokollet Aave och DeFi‑yield‑farmingsplattformen Yearn Finance hade drabbats av ett utnyttjande. Blockkedjesäkerhetsteamet antog att en felkonfigurerad yUSDT hade lett till kompromissen, vilket gjorde det möjligt för den illvilliga aktören att skapa en betydande mängd yUSDT från $10 000 USDT.

Yearn Finance inblandad i senaste DeFi‑hackincidenten

Initial bedömning som delades av PeckShield indikerade att den enskilde/teamet som utnyttjade den ‘felkonfigurerade’ sårbarheten för oändlig mintning tog ut så mycket som 11 miljoner dollar i Dai (DAI), Tether (USDT), USD Coin (USDC), Binance USD (BUSD) och Tru USD (TUSD)-token. En tweet‑uppdatering från Aave‑integrationsledaren Marc Zeller bekräftade incidenten och klargjorde att endast version 1 av protokollet, som har fryst sedan december 2022, påverkades. Yearn Finances team meddelade också användarna att de var medvetna om incidenten i ett separat inlägg.

“Vi undersöker ett problem med iearn, ett föråldrat kontrakt från tiden före Vaults v1 och v2. Detta problem verkar vara exklusivt för iearn och påverkar inte nuvarande Yearn‑kontrakt eller protokoll. iearn är ett oföränderligt kontrakt som föregick YFI, det avvecklades 2020. Vaults v1, med uppgraderingsbara strategier, avvecklades också 2021. Det finns ingen indikation på att det är drabbat. Den nuvarande versionen v2 Vaults är också opåverkad.”

Anmärkningsvärt resulterade flash‑loan‑utnyttjandet i ett oväntat resultat – en återbetalning av Aave‑användarens USDT, on‑chain register visar. Flera säkerhetsorganisationer som Otter Sec och andra team kopplade till Aave bidrog till att bryta ner attacken. DeFi‑spårningsplattformen Nansen noterade att aktören skickade bytet till tre adresser. On‑chain‑data visar att exploatören deponerade 1000 ETH‑mynt, vilket representerar en betydande del av de stulna token, till Tornado Cash, möjligen för att dölja sina spår. En andra plånbok mottog över 4,7 miljoner DAI och 2,5 miljoner USDC‑stablecoins. Utnyttjandet på Yearn Finances utlåningsplattform följer en rad liknande incidenter som rapporterats i den decentraliserade finanssektorn hittills i år.

Hackare och bedragare lurade investerare på 452 miljoner dollar under Q1, med en återvinningsgrad på 29 %

Blockkedjedataleverantören Chainalysis rapporterade tidigare att hackar inom DeFi‑nischen stod för 82 % av de 3,8 miljarder dollar i förluster i kryptosektorn under 2022. I en nylig uppdatering av samma rapport observerade antivirus‑ och app‑leverantören De.Fi att cyberkriminella stal 452 miljoner dollar under det just avslutade kvartalet. Trots att beloppet är enormt representerar det en betydande nedgång jämfört med de 1,3 miljarder dollar i förluster under samma period förra året. Den senare rapporten påpekade också att nästan hälften av Q1‑förlusterna inträffade under de första tre veckorna i mars, med flash‑loan‑attacken mot Euler Finance den 13 mars som resulterade i den största förlusten under kvartalet – 197 miljoner dollar. Duon av blockkedjebaserade plattformar BonqDAO och AllianceBlock drabbades av ett smart‑kontraktshack i början av februari och förlorade 120 miljoner dollar. Samtidigt avslöjdes den påstådda 45 miljoners bedrägeriet mot CoinDeal‑investerare, Monkey Drainers 16,5 miljoners nätfiskeförsök, och en flash‑loan‑attack på 8,5 miljoner dollar mot Platypus Finance, vilket fullbordade listan över de fem främsta exploateringarna under kvartalet.

Intrång riktar sig mot nybörjare med FOMO

När det gäller förekomst var smart‑kontraktsutnyttjanden den vanligaste typen av attack, med 17 incidenter, följt av åtta rapporterade rug‑pull‑fall. Flash‑loan‑utnyttjanden förblev utbredda och bidrog till en förlust på 200 miljoner dollar under den angivna perioden. De.Fi uppskattade också att det är tydligt att när det gäller attackvektorer föredrog angriparna token‑baserade metoder – de är enkla att genomföra och utnyttjar nybörjarnas sårbarhet som fruktar att missa möjligheter. Låning och utlåning var ett primärt mål, så även om det bara stod för fem incidenter uppgick de totala nettoförlusterna till 336 miljoner dollar. BNB var den största offret bland kedjorna och var mål för 18 attacker. När det gäller återvinning återfördes 130 miljoner dollar av de stulna medlen till offren, men det var ändå en nedgång i återvinningsgraden jämfört med förra året under samma period, 40 % av 1,29 miljarder dollar.

SafeMoon‑bugrelaterat utnyttjande

I ett isolerat fall påstods SafeMoon‑plattformen ha blivit komprometterad den 29 mars genom en offentlig brännfunktion som ingick i en nyligen lanserad uppgradering. Den påstådda angriparen utnyttjade detta buggdrivna kryphål för att stjäla så mycket som 27 000 BNB‑mynt från den komprometterade SFM‑WBNB‑likviditetspoolen. Exploatören lämnade ett meddelande, “Hej, slappna av, vi har av misstag front‑runat en attack mot er, vi vill gärna återlämna fonden, upprätta en säker kommunikationskanal, låt oss prata.” SafeMoon twittrade förra veckan att handeln hade återupptagits på deras plattform.

Uppdateringen den 5 april redogjorde också för vissa tokenomik‑förbättringar och meddelade att ett uppgraderat SWaP‑gränssnitt hade distribuerats.

“Vi fortsätter att arbeta med återvinningen av LP‑medlen […] Vi har gjort stora framsteg och fortsätter arbeta hårt för att återgå till normal verksamhet för alla våra användare,” SafeMoon sade i den senaste kommunikationen den här veckan.

DeFi‑säkerhetsintrång i april

Tidig i början av denna månad drabbades den multikedjebryggan Allbridge av en attack den 2 april. Hackaren använde likviditetsleverans och swap‑tekniker för att pumpa priset på poolen och stjäla medel. Detta var möjligt eftersom de kunde manipulera Allbridges BNB‑Chain‑poolers swap‑pris genom att agera både som likviditetsleverantör och swap‑användare.

Cross‑chain‑protokollet Allbridge utnyttjat

Smart‑kontraktsgranskaren CertiK rapporterade att cross‑chain‑protokollet förlorade så mycket som 549 874 $. Å andra sidan uppskattade blockkedjesäkerhetsföretaget PeckShield att totalt 573 000 $ utnyttjades – 282 889 $ i BUSD och 290 868 $ i USDT. Vid den tidpunkten sade Allbridge att de arbetade med sina partners och community för att spåra hackaren via sociala nätverk och säkerställa att de hålls ansvariga. Protokollet erbjöd hackaren en belöning och juridisk immunitet om de trädde fram som en white‑hat – för att uppmuntra dem att återlämna de stulna medlen.

1 500 BNB återbetalade

Det verkar som om hackaren valde alternativet och återlämnade 1 500 BNB (465 000 $), som konverterades till BUSD för att hjälpa till att lösa de drabbade individerna, medan de återstående stulna pengarna lämnades som en white‑hat‑belöning. Allbridge‑teamet noterade också att en andra angripare använde samma teknik för att tömma medel och ännu inte har kontaktat dem för att diskutera uppgörelsen – Allbridge hade delat en plånboksadress för denna påstådda exploatör, med en balans på 0,97 BNB, värd 302,5 $. På tisdagen delade Allbridge i en tweet att de hade slutfört den första omgången av återbetalningsutbetalningar för den grupp av inlämningar som lämnats in fram till den 9 april, samtidigt som de uppmanade dem med pågående ärenden att fullfölja processen för ersättning av utnyttjandet.

Efterdyningarna av SushiSwap‑utnyttjandet

I ett annat fall rapporterade blockkedjesäkerhets- och underrättelseföretaget PeckShield tidigt på söndagen att SushiSwap hade utnyttjats, där en individ, Twitter‑användaren oxSifu, förlorade cirka 3,3 miljoner dollar. Säkerhetsföretaget och SushiSwaps Head Chef Jared Grey bad båda de drabbade att återkalla på alla kedjor. Vidare påverkade attacken tydligen personer som använt DEX:en under de senaste fyra dagarna. Utnyttjandet påverkade SushiSwaps ‘RouterProcessor2’-kontrakt, som underlättar handelsruttning. Enligt PeckShield var buggen relaterad till ‘approve’-mekanismen.

 ‘Approve‑relaterad’ bugg lämnar vissa SushiSwap‑användare utan medel

Användare som godkände detta dåliga kontrakt tillät oavsiktligt exploatören att ta ut användartoken utan att få godkännande från ägaren – eller ‘yoinka’ dem, så säga. Enligt Brad Kay, analytiker på The Block Research, utnyttjade den första angriparen, som verkade vara en white‑hat‑hacker, ‘yoink’-funktionen för att exploatera SushiSwap‑router‑kontraktet för 100 ETH, varefter en andra individ utnyttjade samma kontrakt för att stjäla cirka 1800 ETH, den här gången med “notyoink”-funktionen.

Återvinningsinsatser

Grey bekräftade i en uppdatering att mer än 300 ETH av oxSifus förlorade tillgångar hade återvunnits, med planer på att återfå ytterligare över 700 Ether. SushiSwaps CTO Matthew Lilley uppdaterade också att flera räddningsinsatser pågår och uppmanade användare att dubbelkolla sina godkännanden samt skanna efter och avvisa eventuella skadliga adresser som kan ha tillåtits för någon av deras token. Trots detta försäkrade han användarna att Sushi‑protokollet är säkert att använda, eftersom exponeringen mot RouterProcessor2 har stängts av från front‑end, vilket säkerställer att likviditetsleverantörs‑ och swap‑aktivitet är säkra.

Offren kompenserades fullt ut

Sushi‑chefen sade på Discord att teamet avser att lansera en anspråkswebbplats för intjänade token i protokollens Merkle Distributor‑kontrakt. Webbplatsen kommer att vara aktiv fram till anspråksdatumet den 23 april, varefter oanspråkade SUSHI‑token kommer att skickas till SushiSwaps kassa. I en senare uppdatering som delades på onsdagen indikerade den Ethereum‑baserade decentraliserade börsen att den planerar att återbetala drabbade anspråkare.“Om dina medel finns i whitehat‑kontraktet, så betyder det att säkerhetsexperter har samlat dina medel, de är säkra och kommer att kunna göras anspråk på dem inom kort. Om dina medel inte finns i whitehat‑kontraktet måste du skicka ett e‑postmeddelande eller öppna ett ärende i vår Discord och inkludera: transaktions‑ID:n och blockkedjedata för de förlorade medlen. Blackhat‑medel kommer att ta längre tid att behandla, eftersom teamet måste manuellt verifiera legitimiteten mot on‑chain‑data som validerar anspråket och sedan betala ut dem i enlighet med detta,” SushiSwap twittrade.

Ethereum‑MEV‑botattack

I ännu ett fall tog en skurkaktig validator med sig 25 miljoner dollar efter ett Ethereum‑MEV‑bot‑utnyttjande den 3 april. Flera Ethereum‑maximalt extraherbara värde‑(MEV‑)botar, som hjälper arbitragehandlare och traders att optimera vinstmöjligheter, var offer för en komplex attack som ledde till en förlust på 25 miljoner dollar till en skurkaktig validator.

Så här gick det till

CertiK förklarade att åtta MEV‑transaktioner var måltavlor, eftersom de utförde sandwich‑affärer – vilket innebär att man identifierar handlare som försöker förvärva token och placerar sig mellan handeln för att ta en vinst. När alla dessa händelser inträffade inom ett enda Ethereum‑block – 6964664, noterade CertiK att sandwich‑affärerna började med få token, och när de bytte miljontals var den skurkaktiga validatorn på väg att ersätta de omvända transaktionerna.

Totalt hamnade 25,39 miljoner dollar i fel händer, med en uppdelning som säkerhetsföretaget publicerade – 64,9 WBTC, 7 460,8 WETH, 5 297 649,9 USDC, 3 027 396 USDT och 1 698 384 DAI. Vid tidpunkten för skrivandet är medlen i huvudsak lagrade i tre plånböcker. CertiK kallade det för ett av de största MEV‑bot‑utnyttjandena någonsin, där den senaste liknande stora hacken inträffade i september 2022, när 800 ETH i MEV‑arbitragevinster stals på grund av en bot‑sårbarhet.

Samtidigt beskrev blockkedjeauditorn OtterSec det som en planerad attack, med tanke på att angriparen hade förladdat sin plånbok för mer än två veckor sedan. CertiK fastslog att botarna misslyckades med att identifiera nodvalidatorn som skadlig och kopplade den utnyttjade svagheten till centraliseringen av makt bland validatorer.

Flashbots implementerade en funktionsfix

Flashbots, skaparen av Ethereums huvudsakliga MEV‑program, MEV‑Boost, har sedan dess vidtagit åtgärder för att förhindra att liknande problem återkommer. Teamet implementerade en ny funktion som kräver att reläer (som fungerar som betrodda mellanhänder mellan blockbyggare och validatorer) signerar ett block och publicerar det till Beacon‑Chain innan det överlämnas till förslagsställaren. Detta steg var tidigare saknat och kan nu hjälpa till att minska risken för att en förslagsställare avviker från det mottagna innehållet i ett relä. Dessutom berättade CertiK för CoinTelegraph att andra MEV‑sökare kan bli ovilliga att engagera sig i icke‑atomära strategier, inklusive sandwich‑handel, eftersom de verkar vara huvudmålet.

Tether svartlistor kopplade till ett MEV‑utnyttjande

Denna vecka skrev stablecoin‑utgivaren Tether i en tweet den 10 april tweet att de hade blockerat adressen ‘Sandwich the Ripper’ som är kopplad till det senaste MEV‑utnyttjandet. Tether‑adressen innehöll 3 miljoner dollar i USDT, som inte längre kan flyttas. Exploatören har en större del av bytet, inklusive 14,3 miljoner dollar i Wrapped Ethereum (WETH) och mer än 3,6 miljoner dollar i andra tillgångar. Tether verkade ha agerat i goda intressen och på rimliga grunder. Trots detta kritiserades beslutet av grupper som anser att åtgärden sätter ett “dåligt prejudikat” i kryptovärlden. Tethers blocklistningsåtgärder kan tolkas som censur av transaktioner, vilket antyder en centraliserad myndighet från stablecoin‑utgivaren. Kritikerna pekade på oro kring potentiellt maktmissbruk och konsekvenserna för DeFi‑nischen.

Euler öppnar återbetalningar efter förhandling om återlämnande av alla stulna medel

Euler Finance sade denna vecka att de mottagit den sista delen av återbetalningarna efter förhandlingar om 197 miljoner dollar i kryptovaluta som stals förra månaden. Protokollet meddelade att alla återvinningsbara medel hade återställts, vilket i praktiken avslutade belöningsprogrammet på 1 miljon dollar för information om hacken. Blockkedjeanalysföretaget Arkham Intelligence bekräftade att det tillståndslösa utlåningsprotokollet mottog 10 580 ETH värda 19 miljoner dollar på måndagen samt ytterligare 12 miljoner dollar i DAI fördelade på tre transaktioner.

Efter incidenten den 21 mars föreslog Euler en belöning på 19,7 miljoner dollar – motsvarande 10 % av den stulna summan – till den som låg bakom stölden. Dessutom varnade de att en belöning på 1 miljon dollar skulle ges till vem som helst som tillhandahöll information om angriparen om de återstående 90 % av de stulna medlen inte återlämnades. Även om de initialt tvättade 1,8 miljoner dollar via Tornado Cash, började angriparen återlämna pengarna den 18 mars – med start på 1,8 miljoner dollar. Exploatören fortsatte att skicka pengar, med den största återbetalningen som en klumpsumma på 58 737 ETH, värd 102 miljoner dollar, den 24 mars.

Vid skrivtillfället hade totalt 95 556 ETH och 43 miljoner DAI återvunnits, medan en summa på 1 100 ETH ansågs oåtervinningsbar efter att ha skickats till den sanktionerade myntblandaren. Mitt i allt detta bad hackaren om ursäkt i en serie on‑chain‑meddelanden för ungefär två veckor sedan och lovade att överlämna alla återstående medel. De token som överfördes tillbaka på måndagen förde den totala återvunna summan från hacken till över 177 miljoner dollar. Detta utgör 90 % av de förväntade återvinningsbara medlen efter att ha beaktat den 10 %‑belöning som Euler‑teamet erbjöd. Det Ethereum‑baserade icke‑custodiala utlåningsprotokollet meddelade senare att de nu har tillåtit användare att lösa in återvunna medel, vilket avslutar flash‑loan‑utnyttjandet som involverade alla former av kaos. DeFi‑försäkringsgivaren Nexus Mutual, som betalade 2,4 miljoner dollar i ersättningsanspråk för sina förluster kopplade till hacken, krävde att Euler skulle göra en återbetalning. Nexus påstod sig ha stöttat Euler genom att täcka förluster, men inga användare förlorade tekniskt sett sina tillgångar med återbetalningen av medlen.

Andra rapporterade incidenter av säkerhetsintrång

MetaPoint, ett metaversprojekt, rapporterade denna vecka att de hade utnyttjats av en angripare som tog med sig 2 515 BNB. Hackaren skickade medlen till Tornado Cash, enligt PeckShield. Metaversprojektet bekräftade incidenten på Telegram och tillade att de hade stoppat all verksamhet.

Terraport Finance verkade också ha blivit offer för ett säkerhetsintrång, knappt två veckor efter lanseringen. Rapporter som kom fram den 10 april beskrev att protokollens likviditetsplånbok hade hackats för 2 miljoner. Terraport sade i en uppdatering att de var medvetna om incidenten och planerade att undersöka utfärdaren efter att ha säkrat plattformen.

Utanför DeFi sade den sydkoreanska kryptobörsen GDAC denna vecka sade att de hade blivit hackade för nästan 14 miljoner dollar. Börsen stoppade insättningar och uttag tillfälligt för att genomföra nödvändig återställning, sade VD Han Seunghwan samtidigt som han bekräftade att de förlorade medlen utgjorde något över 20 % av dess totala custodiala tillgångar. Hackaren fick enligt uppgift kontroll över några av börsens hot‑plånböcker tidigt den 9 april (koreansk standardtid) innan de flyttade medlen till den plånbok de kontrollerade. GDAC förlorade omkring 61 BTC, 350,5 ETH, 220 000 USDT och 10 miljoner av spelvalutan WEMIX.

Uttagstjänsterna är fortfarande otillgängliga: Seunghwan sade att börsen är dedikerad till att undersöka detta och ännu inte har formulerat en plan för att återuppta de för närvarande inaktiverade tjänsterna. GDAC‑attacken markerar årets första stora hack av en centraliserad kryptobörs, bara drygt ett dussin månader efter att Crypto.com hackades för över 15 miljoner dollar i januari.

HTX och Gala Games har åtagit 50 miljoner dollar för att kompensera parter som drabbats av pGALA‑incidenten

Efter ett nyligt samarbete mellan Gala Games och kryptobörsen HTX för att stärka den förstnämntas Web3‑ekosystem har duon kunnat meddela en plan att distribuera kryptovaluta och mjukvarulicenser värda upp till 50 miljoner dollar till GALA‑tokeninnehavare som drabbades av en bedrägerisk utility‑token‑scam på plattformen i november förra året.

De två kommer att dela upp de 50 miljoner dollar i kompensation lika – HTX:s andel blir 25 miljoner dollar, bestående av kontanter och användarförmåner som utgör 15 miljoner USDT och 10 miljoner aktier. Å andra sidan kommer Gala Games att utfärda node‑licenser värda 25 miljoner dollar, och programmet är planerat att starta denna vecka.

Den aktuella incidenten involverade hackare som skapade token för ett värde av 1 miljard dollar i pGALA – en wrapper‑token av GALA utfärdad av pNetwork på BNB Chain. När tokenerna dumpades på PancakeSwap kunde angriparna tömma 4,5 miljoner dollar från likviditetspoolen och kraftigt skada GALA:s tokenpris.

En stämning mot pNetwork är på väg

GameFi‑projektet inledde förra månaden en rättslig process mot pNetwork för dess roll i attacken. Stämningen påstod att incidenten orsakade Gala Games 25 miljoner dollar i skador och yrkade 27,7 miljoner dollar för att täcka de direkta kostnaderna relaterade till intrånget, ytterligare kompensation för skador, straffskador och annan ersättning. Dessutom bjöd plattformen in andra drabbade parter att kontakta deras juridiska team för att delta i jakten på ersättning. HTX indikerade i det senaste tillkännagivandet att de stödjer dessa insatser. Om domen blir gynnsam kommer eventuella skadestånd, minus juridiska kostnader, att konverteras till GALA‑token och därefter brännas.