Masasamang Aktor ay Patuloy na Nanghihimasok sa DeFi: Euler at Poolz Finance na mga Exploit Bilang Pinakabagong Halimbawa

Mahigit $3.8 bilyon na halaga ng digital assets – kung isasama ang mga hindi naiulat na kaso – ang nawala sa iba’t ibang grupo ng mapanlinlang na aktor na sinamantala ang mga butas sa mga smart contract platform noong nakaraang taon. Ang ulat ng Chainalysis na naglalahad ng nakakabahalang estadistikang ito ay nagpatunay pa na ang malaking bahagi ng halagang ito ay kaugnay ng decentralized finance (DeFi) na niche, na epektibong tinatawag ang espasyo bilang isang pugad ng mga manlulusob. Ang SlowMist, isa pang blockchain security firm, ay nagbigay-diin sa kanilang taunang ulat tungkol sa mga insidente sa crypto security na ang 2022 ay nagkaroon ng pinakamataas na bilang ng mga insidente sa seguridad na apektado ang mga blockchain. Kabuuang 303 na kaso ng kompromiso sa seguridad ang naiulat, isang bilang na 28% higit sa mga nakaraang taon. Samantala, ang tinatayang pinagsama-samang pagkalugi ay umabot sa humigit-kumulang $3.77 bilyon – isang makatwirang pagkakaiba mula sa ibang ulat.

Hindi bumabagal ang mga DeFi exploit

Ang ulat ng SlowMist ay nagpakita na ang mga exploit ay karamihan ay kinasasangkutan ng phishing at rug pulls, habang ang mga cross-chain bridge ay tumanggap ng matinding pinsala. Ang mga exploit sa Ronin, Wormhole, Nomad, at Harmony bridge ay nagdulot ng pagkalugi na lagpas sa $1.2 bilyon. Bukod sa mga cross-chain system, pinili rin ng mga attacker na samantalahin ang mga kahinaan sa DeFi contract. Ang industriya ay tila nagbabawi mula sa laganap na isyu sa pagtatapos ng taon.

Paghahambing ng mga pagkalugi sa blockchain. Pinagmulan: SlowMist

Ang CertiK ay hiwalay na napansin na ang $62.2 milyong pagnanakaw noong Disyembre ay ang pinakamababang buwanang halaga sa 2022, ang taon kung saan ang FTX Wallet at Ronin Bridge ay nagkawala ng pinagsamang $1.09 bilyon sa crypto. $15.5 milyon, halos isang-kapat ng kabuuang pagnanakaw sa crypto, ay ninakaw sa pamamagitan ng exit scams, habang ang mga flash loan exploit ay nagdulot ng pagkalugi na $7.6 milyon. Ang mga insidente noong Disyembre ay pinangunahan ng pagkawala ng $15 milyon ng Helio Protocol bilang epekto ng price exploit ng Ankr Reward Bearing Staked BNB (aBNBc). Ang kumpanya ng smart contract audit ay nagdetalye rin na ang pag-atake sa mga produkto ng Defrost Finance na V1 at V2 ay nagdulot ng pagkawala na $12.9 milyon, na mula noon ay naibalik na. Ang Bitkeep ay nawalan ng $8 milyon, isang loob na trabaho ang nag-iwan sa Ankr na kulang ng $7 milyon, at ang Lodestar ay nawalan ng $6.5 milyon matapos ang exploit sa presyo ng token ng PlutusDAO na plvGLP upang makumpleto ang limang nangungunang hack na nakita noong nakaraang buwan.

Sa kalagitnaan ng Marso, ang taong ito ay nagpapakita na ng mga palatandaan ng paglagpas sa dalas ng mga exploit noong nakaraang taon at sa pinagsama-samang pondo na nawala sa mga hacker.

Ang non-custodial lending na Euler Finance ay nakaranas ng pinakamalaking hack ng 2023

Sa isang kamakailang pagpapakita ng mga nakakabahalang pangyayaring ito, isang o ilang attacker ang nag-siphon ng halos $200 milyong halaga ng crypto assets mula sa lending protocol na Euler Finance noong Marso 13 sa isang kumpirmadong kaso ng flash loan attack. Ang CertiK Alerts, ang pahina ng pagsubaybay sa mga hack at scam na kaugnay ng CertiK, ay isa sa mga unang nag-ulat ng mga pangyayari, bagaman humigit-kumulang $41 milyon ang na-abstract noong panahong iyon. Ang pahina ng alert ay kalaunan nag-update na ang attacker ay nag-drain ng mga decentralized stablecoins at synthetic ERC-20 tokens ng protocol na nagkakahalaga ng humigit-kumulang $198 milyon sa maraming transaksyon, kabilang ang 96,800 ETH at 43.6 milyong DAI, na ginagawa itong pinakamalaking DeFi exploit sa taong ito.

Ang mga aktor ay nagpadala ng ninakaw na assets sa dalawang wallet – isa na naglalaman ng 34,186,225 DAIs at 88,752 ETH, at ang isa pa ay humigit-kumulang 88,77,507 DAI tokens, ayon sa on-chain data. Ang Ethereum-based protocol ay nagsabi na kinonsulta nila ang mga blockchain security team, kabilang ang TRM Labs, Chainalysis, at iba pang ahensya ng pagpapatupad ng batas, upang matugunan ang usapin. Ang PeckShield, na nagbigay ng babala sa Euler tungkol sa pag-drain, ay nagbahagi sa isa pang maikling tala na natukoy nila ang sanhi. Ang attacker ay partikular na sinamantala ang isang bug sa pag-execute ng ‘donateToReservers ()’ function upang i-liquidate ang sarili mula sa protocol, bayaran ang loan at sabay na kumita.

Tinugunan ng Euler ang kahinaan, nagtatrabaho upang mabawi ang mga nawalang pondo

Sa huli, nagawang pigilan ng magkakatuwang na pagsisikap ang exploit sa pamamagitan ng pag-disable ng vulnerable module at dahil dito, na-block ang mga deposito, ngunit ang pinsala ay umabot sa higit sa isang dosenang iba pang protocol. Ipinahayag ng Balancer na ang insidente ay nakaapekto sa Boosted USD (bbe-USD) pool ng Euler Finance – halos dalawang-katlo ng kabuuang naka-lock na halaga ang na-siphon nang ipinatupad ang resolusyon na i-pause ito. Ang Angle Protocol ay nag-update din sa kanilang mga tagasunod tungkol sa exposure sa exploit dahil ang kanilang core module ay naglaan ng ilang pondo sa Euler, Compound, at Aave.

“Kung ang pondo mula sa hack (17,614,940.03 USDC) ay tuluyang mawawala, ang TVL ng Core module ay bababa sa humigit-kumulang $18.4m. Kung ang pondo mula sa hack (17,614,940.03 USDC) ay tuluyang mawawala, ang TVL ng Core module ay bababa sa humigit-kumulang $18.4m. Sa kasong ito, ang halaga ng reserba sa Core module ay magiging mas mababa kaysa sa halaga ng mga claim ng mga agEUR holder, ng mga Standard Liquidity Provider, at ng natitirang mga hedging agent sa protocol, bilang kabuuan.”

Iniulat din na ang Yearn Finance ay nawalan ng pondo dahil sa hack. Ang Sherlock, isang audit team na may nakaraang ugnayan sa Euler, ay nagpatunay sa sanhi ng exploit. Sa kanilang mga ulat, tinukoy ng team ang isang audit na isinagawa ng ibang grupo na WatchPug noong Hulyo 2022 na nabigong matukoy ang kahinaan. Para sa mga susunod na hakbang sa pag-recover, inilahad ng lending protocol team ang isang alok sa mga hacker, nangakong magbibigay ng bounty kung hindi tumugon ang mga salarin. Ang nasabing gantimpala na $1 milyon ay mula noon ay opisyal nang inanunsyo.

“Ang Euler Foundation ay naglunsad ng $1M na gantimpala sa pag-asang magbibigay ito ng karagdagang insentibo para sa impormasyong magdadala sa pag-aresto ng attacker ng Euler protocol at sa pagbabalik ng lahat ng pondo na nakuha ng attacker,” ayon sa post ng Euler ngayon.

Ang platform ng blockchain visualization at analysis na Meta Sleuth ay nagbigay ng opinyon sa isang tweet na ang pag-atake ay may kaugnayan sa isang nakaraang pag-atake kung saan inilipat ng attacker ang pondo mula sa BNB Smart Chain (BSC) patungong Ethereum gamit ang isang multichain bridge.

“Mukhang dalawang attacker ang naglunsad ng 6 na attack transaction. Ang attacker 0x5f25 ang naglunsad ng unang pag-atake, kumita ng humigit-kumulang 8.8M DAI. Lahat ng kita ay nananatili sa exploit contract 0xebc2. Ang paunang pondo ay nagmula sa FixedFloat at deflation token exploiter 6 sa BSC. Ang attacker 0xb269 ang naglunsad ng natitirang limang pag-atake, at ang kabuuang kita ay humigit-kumulang 186M USD. Ngayon lahat ng kita ay nasa dalawang address. 0xb269 ay may 8,080 ETH, 0xb66cd ay may 88,752 ETH at humigit-kumulang 34M DAI. Ang paunang pondo ng attacker na ito ay nagmula sa Tornado Cash,” ayon sa teorya ng account.

Ang pahayag ay sinang-ayunan ng isa pang account na si ZachXBT. Ang mga wallet at address na konektado sa mga exploit ay 0xebc291[…] cbf99 na humigit-kumulang 8,877,507 DAI, 0xb269[…] cedd4 na ang snapshot ay nagpakita ng balanse na 8,080.97 ETH, at 0xb66c […]995db na naghawak ng humigit-kumulang 88,753 ETH at 34,186,226 DAI.

Na-exploit ang crowdfunding platform ng Web3 na Poolz Finance

Hindi nagtagal, dalawang araw matapos ang insidente ng Euler, isang hacker ang ninakaw $390,000 mula sa cross-chain na Web3-focused crowdfunding launchpad na Poolz Finance sa Polygon at Binance Smart Chain. Isang review noong Marso 15 mula sa PeckShield ang nagdetalye na ang kahina-hinalang aktibidad sa token vesting smart contract ay nagpakita ng ‘classic arithmetic overflow issue’ bilang sanhi. Ibinahagi ng Poolz ang isang update tungkol sa insidente, na nag-aadvise sa mga gumagamit na itigil ang pag-trade ng POOLZ token. Bukod sa pag-flag ng address na tinukoy, inalis din ng dev team ng launchpad ang liquidity mula sa Pancakeswap at Uniswap.

Ang CEO ng Poolz Finance na si Guy Oren ay kumpirmado sa isang tweet ang patuloy na pagsisikap na ilunsad ang isang bagong token contract habang inaasahang magsisimula ang trading bago matapos ang araw. Kapansin-pansin, ang dalawang insidente ay nangyari halos isang buwan matapos ang Platypus, isa pang DeFi protocol, na na-exploit ng $8.5 milyon, na nagdulot ng pansamantalang depeg ng USP stablecoin mula sa USD. Sa kaso ng Platypus, sinamantala ng mga aktor ang isang loophole sa USP solvency check upang i-drain ang protocol. Noong nakaraang linggo, inihayag ng Hedera na nakaranas ito ng mga teknikal na isyu na nagtakip sa pagkawala ng mga token ng liquidity pool nang isang hacker ay nag-exploit ng mainnet smart contract code.

Hedera at Dogecoin: Pinakabagong halimbawa ng mga kahinaan sa mga blockchain

Nabagsak ang kabuuang halaga na naka-lock (TVL) ng Hedera patungo sa katapusan ng nakaraang linggo matapos ang network ay tinamaan ng mga teknikal na kahirapan na inakala ng ilan na may kinalaman sa isang smart contract exploit. Ipinapakita ng data ng DeFi Llama na ang TVL ng platform ay bumaba nang matindi sa loob ng mas mababa sa 24 na oras matapos ang mga ulat na ang chain ay nakaranas ng mga teknikal na irregularidad na apektado ang ilang decentralized applications.

Tsart ng Hedera TVL. Pinagmulan: DeFi Llama

Sabi ng HBAR Foundation, isang non-profit na sumusuporta sa proyektong Hedera, na ang network ay nakarehistro na may mga anomalya sa smart contract na apektado ang mga decentralized application.

Hinimok ng mga protocol sa Hedera ang mga gumagamit na mag-ingat

Inilarawan ng ilan ang mga teknikal na irregularidad noong Marso 10 bilang isang pag-atake sa enterprise-grade na network, na nag-iwan sa mga protocol dito na magmadaling maghanap ng kaligtasan. Ang SaucerSwap Labs, isang decentralized exchange (DEX) na nagpapatakbo sa Hedera, ay inilarawan ang kanilang mga gumagamit na agad i-withdraw ang kanilang liquidity dahil sa inaakalang exploit na nangyayari sa network. Ang protocol ay kalaunan kinumpirma na hindi ito naapektuhan ng nasabing hack. Ang exploit ay partikular na tinarget ang decompiling process ng Hedera smart contracts, na responsable sa pag-transform ng bytecode ng kontrata tungo sa mas madaling maintindihang code na kahawig ng Solidity. Ito ay kapaki-pakinabang para sa pag-aaral at pag-unawa sa pag-andar ng isang smart contract.

Gayunpaman, maaaring manipulahin ng mga mapanlinlang na aktor ang prosesong ito upang makakuha ng hindi awtorisadong pag-access sa smart contract, bagaman ang tiyak na mga elemento na sinasabing tinarget ng attacker sa kasong ito ay hindi ganap na nauunawaan. Bilang karagdagan, sinabi ng Hashport na pansamantala nitong sinuspinde ang mga bridging service dahil sa mga irregularidad sa smart contract, ginagawa ito upang pangalagaan ang kaligtasan ng pondo ng mga gumagamit. Hinimok ng Multichain DEX na Pangolin ang mga gumagamit na i-exit ang anumang HTS token sa Pangolin Pools at Farms. Nagpasya ang Hedera na makipagtulungan sa mga partido sa buong ecosystem upang matukoy ang posibleng epekto ng anomalya. Upang higit pang matiyak ang kaligtasan ng mga gumagamit nito, in-disable ng Hedera ang mga network proxy sa mainnet habang sinusuri ng core team ang mga irregularidad sa smart contract, at ibinalik ito matapos maresolba ang mga isyu. Kinumpirma nito na ang hakbang ay hindi nakaapekto sa consensus at na ang mainnet ay nananatiling online.

Upang matuto nang higit pa tungkol sa Hedera, tingnan ang aming Investing in Hedera gabay.

Ipinapakita ng mga ulat ang mga kahinaan sa eksena ng DeFi

Isang kamakailang ulat mula sa blockchain security firm na Halborn ang naghayag na hanggang 280 na chain, kabilang ang Dogecoin, ay nagpapatakbo habang may kritikal na kahinaan. Sa ulat noong Marso 13, nagbabala ang firm na natukoy nila ang kahinaan sa isang nakaraang pagsusuri ng open-source codebase ng Dogecoin network noong 2022. Ibinahagi ng meme coin project na naayos nila ang posibleng zero-day triggering issue sa kanilang Core 1.14.5 release matapos makatanggap ng tip mula sa Halborn, na kanilang nakuha ang serbisyo noong nakaraang Marso, upang suriin ang kanilang codebase.

Nakakita ang firm ng isa pang loophole sa RPC (Remote Procedure Call) remote code execution na apektado ang mga indibidwal na miner sa Dogecoin. Mula noon, hinikayat ng mga developer ng network ang mga gumagamit na i-update sa node na 1.14.6. Ipinahiwatig ng Halborn na ang Litecoin at Zcash ay mga kilalang network na apektado ng iba pang bersyon ng na-patch na bug, na maaaring gamitin ng mga manloloko at exploiters upang magsagawa ng mas malalang banta. Ang dalawang proyekto rin ay nakipagtulungan sa security firm upang tugunan ang mga pangunahing kahinaan.

Upang matuto nang higit pa tungkol sa mga proyektong ito, bisitahin ang aming mga gabay na Investing in Dogecoin at Investing in Zcash.