Search the Community
Showing results for tags 'Уязвимость'.
-
Сооснователь Эфириума Виталик Бутерин предложил два варианта поддержания жизнеспособности алгоритмических стейблкоинов, что позволит им избежать провала, случившегося с Terra. После нашумевшего краха проекта Terra, стейблкоина UST и монеты LUNA, который привел к многомиллиардным потерям пользователей, Бутерин выразил надежду, что теперь пользователи начнут проявлять большую скрупулезность при выборе криптовалютных проектов для инвестиций. Существует множество алгоритмических стейблкоинов, которые в корне ошибочны и обречены на крах. Однако, есть и другие, которые теоретически могут «выстоять», но все равно очень рискованны. Несмотря на сложившуюся ситуацию, бессмысленно полностью отказываться от алгоритмических стейблкоинов, пишет Бутерин. В качестве «идеального примера» автоматизированного стейблкоина Бутерин назвал криптоактив RAI, обеспеченный эфиром. Он не привязан к стоимости фиатной валюты и полагается лишь на алгоритмы, автоматически устанавливающие процентную ставку для пропорциональных ценовых движений. Бутерин заявил, что даже в случае ослабления доверия пользователей к стейблкоину, они смогут извлечь ликвидность в эфиры. Если стоимость стейблкоина упадет почти до нуля, у пользователей должна быть возможность извлечь ликвидность из актива. Бутерин подчеркнул, что UST не соответствует этому параметру из-за своей структуры, в которой LUNA, которую он назвал «объемной монетой» (volcoin), должна поддерживать свой курс и пользовательский спрос для сохранения привязки к доллару США. В противном случае избежать краха обоих криптоактивов будет практически невозможно. Подробнее: https://bits.media/vitalik-buterin-predlozhil-sposoby-podderzhaniya-zhiznesposobnosti-algoritmicheskikh-steyblkoinov/ -
Разработчики кошелька для Эфириума из MetaMask заключили партнёрское соглашение со специалистами по кибербезопасности из Asset Reality, чтобы выявлять хакеров и возвращать деньги пользователям. Эксперт по безопасности MetaMask Алекс Херман (Alex Herman) в интервью сообщил, что партнерство с Asset Reality возникло после того, как глава операционного отдела MetaMask Джейкоб Кантеле (Jacob Cantele) разочаровался в существующих службах восстановления криптовалют. Службы, по его мнению, в основном являются «пустыми программами» или откровенным мошенничеством. Херман добавил, что компания уже увеличила штат сотрудников службы поддержки, чтобы эффективно помогать жертвам мошенников. Новый функционал представляет собой раздел на веб-сайте MetaMask, через который пользователи могут сообщать об активах, потерянных в результате хакерской атаки, и предоставлять подробную информацию о том, как произошел взлом. После создания запроса специалист по кибербезопасности из Asset Reality свяжется с жертвой и предпримет шаги для возврата криптовалюты пользователю. Подробнее: https://bits.media/metamask-zapuskaet-funktsional-dlya-otslezhivaniya-pokhishchennoy-kriptovalyuty/
-
Гендиректор сервиса спортивных ставок DraftKing уверен, что без элемента централизации блокчейн и криптовалюты не станут массовым продуктом. Джейсон Робинс (Jason Robins) высказал свое мнение об индустрии в новом подкасте Gm от Decrypt. Бизнесмен высказал популярное мнение, что нынешнее состояние криптовалютной индустрии очень похоже на ранний Интернет, который был переполнен разномастными мошенниками, а также имел очень скудный и сложный интерфейс, запутывающий неискушенных в технологиях пользователей. По мнению бизнесмена, криптоиндустрия должна быть более доступна для широких масс, и достигнуть этого можно за счет «небольшой централизации». Робинс считает, что централизация дает определенный уровень контроля, который может помочь защитить людей от самих себя и не дать им набрести на какого-нибудь мошенника: «Найдется много людей, которые придут в ужас, если узнают, что одна маленькая ошибка в адресе получателя может привести к тому, что их NFT за $10 000 уйдут другому пользователю или вовсе сгорят без возможности возврата. В таких операциях нет посредника, который мог бы остановить пользователя и убедиться, что тот защищен от подобных недоразумений». Подробнее: https://bits.media/dzheyson-robins-kriptoindustriya-dolzhna-stat-bolee-tsentralizovannoy/
-
Неизвестный воспользовался уязвимостью в смарт-контрактах для множественных операций платформы децентрализованных финансов Rari Capital. Специалисты по безопасности блокчейнов компании BlockSec сообщили, что хакер вывел с площадки активов примерно на $80 млн. Поскольку Rari Capital предоставляет площадку для создания кредитных предложений, средства потеряли пользователи и других, сторонних проектов. Например, платформой Rari Capital пользовались разработчики протокола Fei. Это децентрализованный стейблкоин, чья стоимость привязана к курсу доллара США. Платформа Rari использовалась для депозитов пользователей Fei, а также для кредитования в стейблкоине. Команда Rari Capital признала взлом и предложила хакеру вернуть средства в обмен на премию в $10 млн. Подробнее: https://bits.media/khaker-vyvel-aktivov-na-80-mln-iz-pulov-likvidnosti-rare-capitals/
-
Крупнейшая торговая площадка NFT OpenSea планирует расширить свой функционал, чтобы удовлетворить потребности профессиональных коллекционеров цифрового искусства. Соучредитель и генеральный директор OpenSea Девин Финцер (Devin Finzer) сообщил у себя в блоге, что платформа купила сервис-агрегатор Gem. Сервис позволяет коллекционерам покупать NFT оптом на нескольких платформах. По словам Финцера, приобретение позволит OpenSea обслуживать более продвинутых коллекционеров NFT: «По мере роста сообщества OpenSea мы обнаружили необходимость обслуживать профессиональных пользователей, предлагать больше функций и выбора не только любителям, но и тем, кто зарабатывает на жизнь с помощью NFT». Gem подключается к разным торговым платформам, включая OpenSea, Rarible, LooksRare и позволяет своим пользователям покупать активы на этих площадках за одну транзакцию и значительно сэкономить на комиссиях. По словам Финцера, Gem продолжит работать независимо, развивая свою платформу и добавляя новые функции. В будущем OpenSea намерена добавить некоторые из этих функций на свою платформу. Подробнее: https://bits.media/opensea-priobrela-servis-agregator-torgovykh-nft-ploshchadok/
-
В веб-версии кошелька Ever Surf для блокчейна Everscale (ранее — FreeTON) найдена уязвимость, позволяющая хакерам красть криптоактивы пользователей. Разработчики уже устранили ошибку. Кошелек Ever Surf выполняет функцию межплатформенного мессенджера, предоставляя пользователям доступ к децентрализованным приложениям, а также возможность отправки и получения невзаимозаменяемых токенов (NFT). Специалисты по кибербезопасности компании Check Point сообщили, что с помощью вредоносных расширений браузера или фишинговых ссылок злоумышленники могли получить полный контроль над кошельками пользователей. С помощью этих атак мошенники могли расшифровать закрытые ключи и сид-фразы, хранящиеся в локальном хранилище браузера. Учитывая, что информация в этом хранилище не зашифрована, ее можно было украсть с помощью вредоносного ПО, способного собирать данные из разных браузеров. Получив уведомление об уязвимости, разработчики Ever Surf обновили веб-приложение, и его устаревшая версия теперь используется только разработчиками. Несмотря на то, что обнаруженная уязвимость уже устранена, Check Point рекомендует пользователям не терять бдительность, поскольку они могут столкнуться с подобными угрозами в других децентрализованных приложениях. Специалист Check Point Александр Чайлытко предупредил, что если хакерам удается завладеть ключами пользователей, они получают полный контроль над средствами жертв. Поэтому при работе с криптовалютами следует проявлять максимальную осторожность, чтобы не случайно не установить вредоносную программу. Специалисты по кибербезопасности рекомендуют своевременно обновлять операционную систему, устанавливать антивирусное ПО и не переходить по подозрительным ссылкам. Подробнее: https://bits.media/check-point-obnaruzhila-kriticheskuyu-uyazvimost-v-koshelke-ever-surf/
-
В пятницу 22 апреля проект NFT AkuDream проводил аукцион по выпуску коллекционных токенов. Хакер использовал уязвимость в смарт-контракте проекта и, в результате, в нем навсегда заблокировано 11 539 ETH. В пятницу, 22 апреля, проект AkuDream проводил аукцион по выпуску NFT. Хакер использовал уязвимость в смарт-контракте проекта для кражи 11 539 ETH, однако вывести активы не смог. Как сообщил разработчик под псевдонимом Foobar, хакер не смог вывести активы, однако теперь и пользователи проекта, участвовавшие в аукционе, не могут вернуть средства. «$34 млн или 11 539 ETH навсегда заблокированы в контракте AkuDreams. Вернуть их не могут ни пользователи, ни команда разработчиков проекта», – написал Foobar. Подробнее: https://bits.media/uyazvimost-v-smart-kontrakte-akudreams-privela-k-blokirovke-eth-na-34-mln/
-
Эксперты компании по кибербезопасности BlockSec теряются в догадках, почему злоумышленник, успешно взломавший смарт-контракт протокола Zeed, не похитил доступную ему криптовалюту. Компания по безопасности децентрализованных финансовых систем BlockSec сообщила в Twitter, что проект DeFi Zeed подвергся кибератаке. По словам экспертов, они столкнулись с весьма странным инцидентом. Хакер, атаковавший протокол через уязвимость в смарт-контракте, так и не определился, «черный» он или «белый». Неизвестный взломщик не только не вывел украденные токены, но и не дал сделать это другим. Компания уточнила, что сегодня около 7:15 утра по всемирному координированному времени (UTC, 10:15 МСК) протокол автономной децентрализованной финансовой экосистемы Zeed подвергся атаке, в ходе которой хакер создал дополнительные вознаграждения, которые затем были проданы на интегрированном рынке. В результате этого цена актива площадки упала до нуля. Затем хакер, не выводя похищенные криптовалюты, уничтожил скомпрометированный смарт-контракт. Компания PeckShield, специализирующаяся на безопасности блокчейнов утверждает, что теперь любые криптовалюты, размещенные в смарт-контракте, не могут быть перемещены. Подробнее: https://bits.media/chernyy-ili-belyy-khaker-posle-vzloma-proekta-defi-zeed-ne-stal-vyvodit-kriptovalyuty-na-1-mln/
-
Утром 17 апреля произошел очередной крупный взлом в сфере децентрализованных финансов – хакеры смогли похитить активы на $182 млн из протокола для кредитования в стейблкоинах Beanstalk. Как сообщают аналитики компании PeckShield, занимающейся безопасностью блокчейнов, хакеры использовали мгновенный займ для того, чтобы получить токены управления Beanstalk. Затем с помощью этих токенов они провели поддельное голосование по «предоставлению помощи Украине», где использовали собственный адрес в сети Эфириума. Таким образом, хакеры смогли получить 24 830 ETH (около $76 млн). Оставшиеся средства они получили вытянув ликвидность из пулов проекта при помощи все тех же токенов для управления протоколом. Среди украденных средств было более 36 млн токенов BEAN. Сразу после взлома хакеры перевели активы на $80 млн на сервис микширования Tornado Cash. На прошлой неделе злоумышленники использовали уязвимость в смарт-контрактах проекта Elephant Money и похитили монеты BNB и собственные токены проекта на общую сумму около $22 млн. Подробнее: https://bits.media/protokol-defi-beanstalk-poteryal-aktivy-na-182-mln-v-rezultate-khakerskoy-ataki/
-
Исследователи из Check Point Research (CPR) обнаружили уязвимость площадки для создания NFT Rarible, позволяющую злоумышленникам украсть коллекционные токены всего за одну транзакцию. Атака на учетные записи пользователей Rarible, сообщают в CPR, могла произойти с помощью вредоносных невзаимозаменяемых токенов. Злоумышленники могли обманным путем заставить ничего не подозревающего клиента платформы нажать на ссылку, ведущую к «зараженному NFT». После открытия ссылки в новой вкладке выполнялся код JavaScript, а пользователю отправлялся запрос setApprovalForAll. В случае успешной атаки хакеры могли бы получить контроль над криптовалютным кошельком жертвы и завладеть ее криптоактивами. 5 апреля исследователи уведомили об этом Rarible, после чего платформа устранила баг. CPR призвала пользователей проявлять максимальную осторожность. Если запрос на подпись (даже непосредственно на платформе) кажется подозрительным, лучше отклонить его, не давая никаких разрешений. Специалисты по безопасности CPR пояснили, что заинтересовались подобными случаями после того, как популярный тайваньский певец Джей Чоу (Jay Chou) лишился нескольких уникальных токенов после клика по вредоносной ссылке, ведущей на поддельные сайты для создания NFT. Исследователи CPR упомянули и предыдущее исследование, проведенное в октябре 2021 года, когда они обнаружили критическую уязвимость на платформе OpenSea. Уязвимость позволяла хакерам присваивать чужие токены аналогичным образом. Подробнее: https://bits.media/check-point-research-kriticheskaya-uyazvimost-v-rarible-mogla-privesti-k-krazhe-nft/
-
В результате атаки с использованием уязвимости смарт-контрактов с Elephant Money были украдены токены BNB и собственные токены площадки ELEPHANT. Проект, созданный на базе Binance Smart Chain, был взломан хакерами, похитившими затем 27 400 BNB ($11,2 млн). Команда уточнила, что хакеры использовали для взлома кошелька проекта уязвимости в ряде смарт-контрактов. При этом компания утверждает, что взлом не связан с кем-либо из сотрудников. Проект просит инвесторов не поддаваться панике и не распродавать токен площадки ELEPHANT. «Мы приостанавливаем деятельность чтобы прекратить панические распродажи и сохранить токен. Мы работаем с нашими партнерами из Certik над расследованием обстоятельств атаки. Просим вас не продавать токены и воздержаться от использования кошельков на платформе. Ваши средства остаются в безопасности», — было объявлено от имени Elephant Money в Твиттере. Вместе с тем компания PeckShield, специализирующаяся на безопасности блокчейнов, заявила, что Elephant Money потеряла не только токены BNB, но и свои токены ELEPHANT на сумму около $11 млн. Таким образом, злоумышленники похитил криптоактивы на, в общей сложности, $22 млн. Подробнее: https://bits.media/khakery-pokhitili-s-platformy-elephant-money-kriptovalyutu-na-22-mln/
-
Компания Sky Mavis, стоящая за популярной игрой на блокчейне Axie Infinity, запускает программу вознаграждения за обнаружение уязвимостей в игре и сайдчейне Ronin. В конце марта неизвестные хакеры смогли похитить из сайдчейна Ronin активов на $625 млн. В рамках новой программы «белые хакеры» смогут получать от $1 000 до $1 млн за обнаружение уязвимостей. При этом искать их можно как в смарт-контрактах экосистемы, так и в веб-серверах. Наиболее «ценными» для Sky Mavis уязвимостями считаются атаки повторного использования, манипулирования оракулами и уязвимости в процессе подписи. Также компания ищет проблемы в процессе аутентификации, интересуется атаками с использованием мгновенных займов и возможностью использования повышенных комиссий для получения прибыли. Конечно, крупнейшие награды будут выдаваться за обнаружения фатальных уязвимостей. Ошибки в интерфейсе приложения и веб-интерфейсе оцениваются в пределах от $50 до $15 000. Подробнее: https://bits.media/razrabotchiki-axie-infinity-zapuskayut-programmu-voznagrazhdeniya-za-poisk-uyazvimostey/
-
Причиной остановки блокчейна Juno на базе Cosmos стала уязвимость, образовавшаяся после голосования по управлению платформой. Juno приостановил свою работу 5 апреля в результате, предполагается, кибератаки. Активы пользователей не пострадали, а команда разработчиков сообщила, что работает над устранением неисправности и уязвимости. Источник из команды разработчиков сообщил, что сбой работы блокчейна произошел из-за скомпрометированного смарт–контракта, замаскированного под простую программу «Hello World». Специалист объяснил, что неизвестный злоумышленник подобрал комбинацию транзакций, которая взломала смарт-контракт и привела к сбою в блокчейне. По мнению источника, хакер провел более 400 транзакций за три дня. В процессе подбора, методом проб и ошибок неизвестный смог получить нужную комбинацию для взлома смарт-контракта. По словам разработчика, злоумышленник воспользовался уязвимостью блокчейна, которую Juno планировал устранить с помощью ближайшего обновления. За несколько часов до этого запланированного обновления хакер успел провести кибератаку. Источник в Juno уточнил, что об уязвимости команда сообщила всем партнерам, поскольку эксплойт затронул все блокчейны, использующие платформу смарт-контрактов CosmWasm. Подробнее: https://bits.media/neizvestnyy-ispolzoval-uyazvimost-smart-kontrakta-i-vzlomal-blokcheyn-juno/
-
Хакер взломал протокол DeFi Li Finance и похитил криптоактивы у 29 пользователей площадки. Команда вернула деньги 25 клиентам, а остальным предложила стать бизнес-ангелами проекта. Li Finance сообщила, что злоумышленник использовал эксплойт в смарт-контракте и похитил криптоактивы USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT и DAI. Команда уточнила, что хакер конвертировал похищенные криптовалюты в 205 ETH стоимостью около $600 000. Команда проекта сообщила, что был выявлен и локализован эксплойт в смарт-контракте, который и послужил лазейкой для хакера. Li Finance вернул 25 пользователям часть активов на сумму около $80 000, что составляет 13% от похищенных денег. Владельцами оставшихся четырех кошельков, которые потеряли в общей сложности $517 000, в качестве компенсации предложили стать бизнес-ангелами, а утраченные активы считать инвестициями в проект. Подробнее: https://bits.media/protokol-defi-li-finance-poteryal-kriptoaktivy-na-600-000-iz-za-uyazvimosti-v-smart-kontrakte/
-
Произошел очередной взлом в сфере децентрализованных финансов. На этот раз пострадали проекты Agave и Hundred Finance – злоумышленникам удалось вывести активов на общую сумму $11 млн. Хакерам удалось воспользоваться уязвимостью в функции смарт-контракта для поддержки «обернутых ETH» (wETH) в сети Gnosis Chain. Злоумышленники могли продолжать брать криптовалюты в долг до того, как приложения смогли сосчитать долг и обеспечение и прекратить выдавать долговые криптовалюты. Поэтому хакеры многократно использовали одни и те же средства в качестве обеспечения для получения кредитных токенов и, в конце концов, опустошили пулы ликвидности проектов. На текущий момент известно, что злоумышленники смогли вывести $11 млн в токенах wETH, wBTC, LINK, USDC, wXDAI и Gnosis. При этом вернуть средства практически невозможно, тем более, что хакеры использовали миксер Tornado Cash для отмывания криптовалют. Разработчик смарт-контрактов под псевдонимом Shegen подчеркнула, что протоколы Agave и Hundred Finance используют тот же код, что и популярный протокол DeFi Aave, в котором заблокировано активов на $18.4 млрд. Скорее всего, разработчики Aave неоднократно проводили аудит и исправили уязвимость, однако сам случай весьма показателен: Подробнее: https://bits.media/khakery-vzlomali-proekty-defi-agave-i-hundred-finance/
-
Хакер использовал уязвимость смарт-контракта децентрализованного финансового сервиса Fantom Fantasm Finance и вывел 1 007 эфиров. Команда DeFi-проекта Fantasm Finance в среду, 9 марта, сообщила в Twitter о хакерской атаке и попросила всех пoльзoвaтeлeй забрать заблокированные токены XFTM, a также перевести токены из пула ликвидности во избежание потерь: «Наш залоговый резерв FTM был взломан, в настоящее время осталось 1 820 012 баланса пула FTM для погашения». Инженер компании Alpha Finance Нипун Питиманаари (Nipun Pitimanaaree) изучил следы взлома и заявил, что атаковавшие платформу злоумышленники использовали эксплойт в смарт-контракте Fantasm Mint и смогли выпустить огромное количество токенов Fantasm XFTM (XFTM), используя токены Fantasm FSM. Подробнее: https://bits.media/fantom-fantasm-finance-iz-za-kiberataki-lishilsya-eth-na-2-6-mln-/
-
Команда Convex Finance использовала новый смарт-контракт для устранения ошибки, что привело к разблокировке миллионов токенов CVX. Команда Convex Finance 4 марта предупредила пользователей в Twitter, что перераспределила смарт-контракты, ответственные за механизм управления блокировкой голосов? после обнаружения ошибки, которая предоставила бы некоторым пользователям непропорциональные вознаграждения. «Не было случаев использования [ошибки] до развертывания нового контракта vlCVX. Однако, поскольку контракты Convex Finance неизменяемы и не подлежат обновлению, необходимо было развернуть новый контракт. В новом контракте vlCVX реализовано исправление этой потенциальной ошибки», — говорится в сообщении. Исправление ошибки привело к разблокировке миллионов токенов, что отразилось на цене CRV. Причиной хаоса на рынке послужил механизм блокировки голосов Convex, ключевой в токеномике проекта. Он позволяет пользователям получать вознаграждение из протоколов и направлять депозиты ликвидности в другой протокол Curve Finance, но только в том случае, если пользователи блокируют свои токены на 16 недель. Подробнее: https://bits.media/ustranenie-eksployta-v-smart-kontrakte-convex-finance-vyzvalo-massovuyu-razblokirovku-tokenov-cvx/
-
Treasure, крупнейшая платформа для выпуска и торговли NFT на базе решения Arbitrum, подверглась атаке хакеров. Об этом сообщил сооснователь Treasure Джон Паттен. В своем сообщении в социальной сети Twitter Джон Паттен (John Patten) рассказал о взломе и признал наличие уязвимости. Он пообещал вернуть средства всем пользователям, потерявшим свои NFT: «Платформа Treasure подверглась взлому. Пожалуйста, снимите с продажи все свои токены и коллекционные предметы. Мы покроем все убытки – я лично обещаю передать все свои токены Smol для решения проблемы». Перед этим представители Treasure также посоветовали всем пользователям снять с продажи свои токены. Позднее они написали, что разработчикам удалось определить уязвимость. Подробнее: https://bits.media/platforma-dlya-torgovli-nft-treasure-podverglas-atake-khakerov/
-
Авторы проекта «Закона о защите информационных данных» на фоне взломов платформ смарт-контрактов требуют от разработчиков предусмотреть механизм управления контрактами. Европейская комиссия (EK) включила в проект «Закона о защите информационных данных Евросоюза» пункты, касающиеся безопасности смарт-контрактов. Авторы законопроекта выдвигают требования к разработчикам смарт-контрактов, устанавливающие новые правовые стандарты для их использования в приложениях для обмена данными и защиты. Эти правила могут стать основной частью регулирующих положений для смарт-контрактов. Профессор технологий и права Тибо Шрепель (Thibault Schrepel) считает, что новые требования особенно угрожают оракулам. «Примечательно, что статья №30 в том виде, в котором она написана в настоящее время, требует, чтобы приложения, использующие смарт-контракты, включали механизм управления». Подробнее: https://bits.media/evrokomissiya-predlozhila-blokirovat-skomprometirovannye-smart-kontrakty/
-
Криптовалютная биржа Coinbase выплатила награду в размере $250 000 хакеру под псевдонимом Tree of Alpha – он обнаружил уязвимость, которая могла «взорвать рынок». Согласно статье в блоге компании, об уязвимости Tree of Alpha сообщил компании вечером 11 февраля. Он написал, что «ему нужно срочно поговорить с управляющими или разработчиками Coinbase, так как проблема не может ждать». Специалисты биржи связались с хакером и начали работу над устранением уязвимости. Ошибка была обнаружена в новой торговой функции в бета-версии площадки. Хакер, используя два аккаунта на бирже, мог выставлять ордера на продажу криптовалюты, используя балансы в других монетах. То есть, например, он мог «продать» 100 BTC, хотя на его счету было бы лишь 100 SHIB. «Пользователь посылал рыночный ордер в паре BTC/USD на продажу 100 BTC, но с помощью ручной корректировки запроса в API платформы использовал аккаунт с балансом в SHIB в качестве источника средств. Соответственно, в книге ордеров появился бы ордер на продажу 100 биткоинов», – пишут представители биржи. Подробнее: https://bits.media/coinbase-vyplatila-250-000-khakeru-za-obnaruzhenie-sereznoy-uyazvimosti/
-
Команда проекта Cardano сообщила, что удваивает вознаграждение для «белых хакеров» за поиск уязвимостей в кошельке и сети для обеспечения максимальной безопасности экосистемы Cardano. В связи с участившимися случаями хакерских атак в индустрии децентрализованных финансов (DeFi), многие проекты пытаются закрыть любые возможные «лазейки» для злоумышленников. Эффективный способ сделать это – предложить хакерам вознаграждение за выявление уязвимостей, пока кто-то не успел воспользоваться ими в личных целях. Cardano Foundation сообщил, что за нахождение уязвимостей с низким уровнем риска в кошельке Cardano награда будет увеличена с $300 до $600. За предоставление отчета об уязвимостях со средним уровнем опасности в этой категории предусмотрена награда в $2 000, с высоким уровнем – $6 000, а за критические ошибки, которые следует немедленно устранить, – $7 500. Другая подкатегория – Cardano Node – считается более приоритетной, поэтому предусматривает более высокие награды. За ошибки с низким уровнем риска вознаграждение увеличилось до $800, уязвимости со средней и высокой степенью риска оцениваются в $4 000 и $10 000, тогда как за нахождение критических уязвимостей предлагается $20 000. Подробнее: https://bits.media/cardano-udvoit-nagradu-dlya-belykh-khakerov-za-poisk-uyazvimostey-v-koshelke-i-seti/
-
Криптовалютная биржа Coinbase отреагировала на сообщение белого хакера и приостановила торговлю на новой платформе Advanced Trading. Белый хакер под псевдонимом «Tree of Alpha» 11 февраля предупредил криптовалютную биржу Coinbase через Twitter о наличии на новой платформе Advanced Trading эксплойта, который «потенциально может взорвать рынок». Белый хакер уточнил, что кошельки Coinbase в безопасности. Anyone here can get me a direct line with someone at @coinbase, preferably management or dev team, possibly @brian_armstrong himself? I'm submitting a hacker1 report but I'm afraid this can't wait. Can't say more either, this is potentially market-nuking. DMs open. «Это деликатная проблема и может позволить злоумышленникам выставлять произвольные цены во всех книгах ордеров Coinbase». Подробнее: https://bits.media/belyy-khaker-soobshchil-birzhe-coinbase-ob-uyazvimosti-proekta-advanced-trading/
-
Разработчики популярного решения для масштабирования Эфириума Optimism обнаружили критическую уязвимость и исправили ошибку до того, как ей смогли воспользоваться хакеры. В блоге компании сообщается, что уязвимость была обнаружена разработчиком Джеем Фриманом (Jay Freeman) в форке клиента Geth, который использовался для работы Optimism. Фриман опубликовал отдельную статью о проблеме. Уязвимость была обнаружена 2 февраля и уже через несколько часов разработчики смогли ее исправить. Фриману было выплачено вознаграждение в размере $2 млн за обнаружение проблемы. «Ошибка в коде позволяла хакеру выпускать ETH в сети Optimism с помощью постоянного вызова опкода SELFDESTRUCT на контракт с положительным балансом в ETH. Исправление ошибки было протестировано и распространено на основную сеть Optimism и тестовую сеть Kovan всего через несколько часов. Мы хотели бы поблагодарить компании Infura, QuickNode и Alchemy за быструю реакцию. Мы также предупредили разработчиков нескольких форков Optimism, в которых также может наблюдаться данная проблема, а также операторов межсетевых мостов. Данные проекты применили исправление», – пишут разработчики. Напомним, что полноценный запуск решения Optimism состоялся в середине декабря прошлого года. До этого проект находился в стадии тестирования. По состоянию на 10 февраля, в решении Optimism заблокировано активов на сумму около $530 млн. Подробнее: https://bits.media/razrabotchiki-resheniya-optimism-soobshchili-ob-ispravlenii-kriticheskoy-uyazvimosti/
-
Киберпреступник использовал эксплойт моста Meter Passport и похитил $4.4 млн в криптовалюте, в результате чего Hundred Finance потеряла $3.3 млн из-за кредитов с недостаточным обеспечением. Компания Meter сообщила, что 5 февраля хакер, используя эксплойт, взломал смарт-контракт моста Meter Passport (MTRG) в сети Эфириума и выпустил токены BNB и wETH на сумму около $4.4 млн. Затем киберпреступник вывел и продал криптоактивы на децентрализованной бирже SushiSwap, что привело к падению цены BNB в сети Moonriver на 77%. Воспользовавшись падением цены, пользователи купили BNB, использовав их в качестве залога в Hundred Finance для получения кредитов в ETH, FRAX и MIM. Однако из-за расхождения в цене BNB их кредиты стоили больше, чем предоставленный ими залог, что вызвало кризис предложения. После того, как два кредита в ETH были полностью погашены, в протоколе Hundred Finance остались убытки в размере $3.3 млн. Команда Hundred Finance попыталась связаться с вовлеченными сторонами и попросить их вернуть BNB, используемые в качестве залога. К сожалению, ей это не удалось. Подробнее: https://bits.media/dvoynoy-udar-meter-passport-i-hundred-finance-poteryali-7-7-mln-iz-za-khakerskoy-ataki/
-
Хакеры воспользовались уязвимостью в смарт-контрактах моста Wormhole в сети Solana. Им удалось вывести 120 000 wETH, что по текущему курсу составляет $320 млн. Wormhole поддерживает сети Эфириума, Solana, Binance Smart Chain, Polygon, Avalanche, Oasis и Terra и позволяет быстро и просто переносить активы с одного блокчейна на другой. Хакеры смогли воспользоваться уязвимостью в платформе со стороны Solana и вывести токены wETH на сумму $320 млн. Сейчас активы распределены между кошельками злоумышленников в сетях Эфириума и Solana. Взлом произошел вчера, 2 февраля, в 21:24 по МСК. Хакеры выпустили 120 000 wETH в сети Solana. Затем 93 750 wETH были использованы для обмена на аналогичное количество ETH в сети Эфириума. Еще часть wETH была направлена на покупку токенов SportX (SX), Meta Capital (MCAP), Finally Usable Crypto Karma (FUCK) и Bored Ape Yacht Club Token (APE). Оставшиеся wETH в сети Solana хакеры обменяли на монеты SOL и стейблкоины USDC. Активы в других сетях, поддерживаемых Wormhole, затронуты не были. Однако, по данным компании Certik, занимающейся аудитом смарт-контрактов, аналогичная уязвимость может быть в мосте Wormhole в сети Terra. Команда платформы связалась с хакером через транзакцию в сети Эфириума и предложила оставить себе активы на $10 млн за обнаружение уязвимости, а остальные токены и монеты вернуть: Подробнее: https://bits.media/vzlom-mosta-wormhole-v-seti-solana-privel-k-potere-aktivov-na-320-mln/