リエントラント、プライス オラクル攻撃、および 21 つのプロトコルにわたるエクスプロイトにより、分散型金融 (DeFi) スペースは XNUMX 月に少なくとも XNUMX 万ドルの仮想通貨を流出させました。
従った DeFi中心へ データ分析プラットフォーム DefiLlamaで最大のものの 8.5 つは、Platypus Finance に対するフラッシュ ローンのリエントラント攻撃で、XNUMX 万ドルの資金が失われました。
DefiLlama は、この月に他に 1 つの注目すべきハッキングを取り上げました。最初のハッキングは、XNUMX 月 XNUMX 日の BonqDAO に対するプライス オラクル攻撃です。
BonqDAO: 1.7万ドル
BonqDAO は 1 月 XNUMX 日の投稿でフォロワーに次のことを明らかにしました。 Bonq プロトコルが公開されました 悪用者が AllianceBlock (ALBT) トークンの価格を操作することを可能にするオラクル攻撃に。
搾取者は ALBT の価格を引き上げ、大量の BEUR を発行しました。 その後、BEUR は Uniswap で他のトークンと交換されました。 その後、価格はほぼゼロに引き下げられ、ALBT トローブの清算が始まりました。
ブロックチェーン セキュリティ会社の PeckShield の損失は約 120 億 XNUMX 万ドルと見積もられましたが、後にハッカーが 約1万ドルをキャッシュアウト BonqDAO の流動性が不足しているためです。
オリオン・プロトコル:3万ドル
そのわずか XNUMX 日後、分散型取引所のオリオン プロトコルが被害を受けました。 損失 3 月 2 日に約 XNUMX 万ドルのリエントラント攻撃が行われました。この攻撃では、攻撃者が悪意のあるスマート コントラクトを使用して、繰り返し引き出し命令を出すことでターゲットから資金を流出させました。
私たちは、この非常に巧妙な攻撃が発生した瞬間から調査を続けてきました。 主要な監査会社からの新しい監査に合格した後にのみ、バグが修正されたと確信できるまで、入金機能を再開することはありません。
— アレクセイ・コロスコフ (@alexeykoloskov) 2023 年 2 月 2 日
Orion Protocol の CEO である Alexey Koloskov は、当時の攻撃を確認し、「すべてのユーザーの資金は安全で安全です」と保証しました。
「この問題はコア プロトコル コードの欠陥によるものではなく、実験的およびプライベート ブローカーが使用するスマート コントラクトの XNUMX つにサードパーティ ライブラリを混在させる際の脆弱性が原因である可能性があると考える理由があります。 、" 彼は言った。
dForce ネットワーク: 3.65 万ドル
DeFi プロトコルの dForce ネットワークも 3.65 月にリエントラント攻撃の犠牲者となり、約 XNUMX 万ドルの損失をもたらしました。
10月XNUMX日 役職、dForce はエクスプロイトを確認しました。 しかしひねりを加えて、ハッカーがホワイトハット ハッカーとして名乗り出たとき、すべての資金が返還されました。
2/5 事件の直後、ホワイトハットとして名乗り出た搾取者と会話を始めました。 私たちは報奨金を提供することに同意し、進行中のすべての調査と法執行措置を中止します。
— dフォース (@dForcenet) 2023 年 2 月 13 日
「13 年 2023 月 XNUMX 日、搾取された資金は Arbitrum と Optimism の両方でマルチシグに完全に返還されました。これはすべての人にとって完璧な結末です」と dForce 氏は述べています。
Platypus Finance: 9.1万ドル
16 月 XNUMX 日、DeFi プロトコル Platypus Finance フラッシュローン攻撃を受けた その結果、プロトコルから 8.5 万ドルが流出しました。
Platypus の監査人である Omniscia からの事後報告によると、攻撃が可能だった理由は次のとおりです。 コードの順序が間違っている.
23月78日、チームは、凍結されたステーブルコインを再発行することにより、メインプール資金の約XNUMX%を返還しようとしていることを発表しました。
報酬ページを更新しました
本日、報酬ページを更新しました! プールが一時停止する前にイールド アグリゲーターに LP トークンを預け入れまたは引き出した場合、それに応じて補償額が更新されます。
その他 https://t.co/GfLIn5jmtF— カモノハシ (++) (@Platypusdefi) 2023 年 3 月 3 日
チームはまた、667,000 回目と 9.1 回目のインシデントを確認しました。これにより、さらに XNUMX ドルが悪用され、合計で約 XNUMX 万ドルの損失が発生しました。
フランス警察 ハッキングに関与した容疑者XNUMX人を逮捕 そして222,000月25日に約XNUMXドル相当の暗号資産を押収しました。
ホープ・ファイナンス:1.86万ドル
数日後、アービトラム ベースのアルゴリズム ステーブルコイン プロジェクト、Hope Finance のユーザーが、 スマートコントラクトのエクスプロイトの餌食になった 20 月 2 日に、ユーザーから約 XNUMX 万ドルが盗まれました。
#コミュニティアラート @希望_フィン コミュニティが約 2 万ドルの詐欺に遭ったことを発表しました。 #exitscam 2023 年にアービトラムで。
1.86万ドルが送金されました しゅう.
Hope_fin は、ユーザーがステークした LP を撤回するための手順を投稿しましたhttps://t.co/hJbFXiKujt
— CertiKアラート(@CertiKAlert) 2023 年 2 月 21 日
Web3 のセキュリティ会社である CertiK は、21 月 XNUMX 日にこの事件にフラグを立てました。これは、Hope Finance の Twitter アカウントがユーザーに詐欺を通知したという発表を受けてのものです。
CertiK チームのメンバーは当時コインテレグラフに、詐欺師がスマート コントラクトの詳細を変更したため、Hope Finance ジェネシス プロトコルから資金が流出したと語っています。
「詐欺師が TradingHelper 契約を変更したようです。つまり、0x4481 が GenesisRewardPool で OpenTrade を呼び出すと、資金が詐欺師に転送されます。」
デキシブル:2万ドル
マルチチェーン交換アグリゲーターの Dexible は、アプリの selfSwap 機能を標的としたエクスプロイトに見舞われ、2 万ドル相当の暗号通貨が失われました。 17月XNUMX日の攻撃.
取引所からの 18 月 XNUMX 日の投稿によると、「ハッカーが最新のスマート コントラクトの脆弱性を悪用しました。 これにより、ハッカーは、契約で未使用の支出が承認されたウォレットから資金を盗むことができました。」
Dexible コミュニティの皆様、17 月 XNUMX 日の早い時間に、ハッカーが最新のスマート コントラクトの脆弱性を悪用したことをお知らせします。 これにより、ハッカーは、契約で未使用の支出が承認されたウォレットから資金を盗むことができました。
1/5
— デキシブル (@DexibleApp) 2023 年 2 月 17 日
調査の結果、Dexible チームは、攻撃者がアプリのセルフスワップ機能を使用して、以前にアプリにトークンの移動を許可したユーザーから 2 万ドル以上の価値のある暗号を移動したことを発見しました。
トークンを自分のスマート コントラクトに受け取った後、攻撃者はトルネード キャッシュを介して未知の BNB ウォレットにコインを引き出しました。
ローンチゾーン: $700,000
BNBチェーンベースの分散型金融(DeFi) プロトコル LaunchZone には $700,000 がありました 27月XNUMX日に流出した資金の価値。
従った ブロックチェーン セキュリティ会社の Immunefi に対して、攻撃者が未検証の契約を利用して資金を流出させました。
「LaunchZone のデプロイ担当者によって、473 日前に未確認の契約が承認されました」と Immunefi 氏は述べています。
関連する 93 月の仮想通貨エクスプロイトの損失は、前年比で XNUMX% 近く減少しました
DefiLlama の数値によると、XNUMX 月の数値は XNUMX 月から大幅に増加しています。
トラッカーは、Midas Capital と ROE Finance の 740,000 つのプロトコルで、月に DeFi プラットフォームへのハッキングでわずか XNUMX ドルをリストしています。
その2023で 暗号犯罪レポートブロックチェーン データ会社 Chainalysis は、ハッカーが 3.1 年に DeFi プロトコルから 2022 億ドルを盗んだことを明らかにしました。
ソース: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama