Search the Community
Showing results for tags 'уязвимость'.
-
Фонд Ethereum удвоил максимальную награду за обнаружение уязвимостей до $500 000 перед активацией хардфорка Shapella, намеченного на 12 апреля. Разработчики Эфириума сообщили, что развертывание долгожданного обновления Shapella, в названии которого объединились названия хардфорков Shanghai и Capella, состоится 12 апреля в 10:27 UTC на блоке под номером 6 209 536. Главной особенностью обновления считается предложение по улучшению сети Эфириума EIP-4895, которое позволит валидаторам выводить эфиры, заблокированные в стейкинге. Обновление включает в себя и другие улучшения для снижения затрат на газ. На собрании разработчиков специалист по безопасности Ethereum Foundation Фредрик Свантес (Fredrik Svantes) заявил, что сейчас очень важно найти любые уязвимости, влияющие на кодовую базу Shapella. Поэтому максимальное вознаграждение за найденные ошибки, связанные с Shapella, будет увеличено вдвое и составит $500 000. Программа вознаграждения за поиск багов распространяется на разные аспекты сети, включая модель консенсуса, доказательство доли и безопасность сети в целом. Инженер Паритош Джаянти (Parithos Jayanthi), работающий в команде DevOps в Ethereum Foundation, сообщил, что по мере готовности окончательных релизов клиентского программного обеспечения разработчики запустят ради теста последний теневой форк основной сети. Джаянти добавил, что ранее, в рамках подготовки к Shapella, уже было проведено несколько теневых форков. Разработчики призвали всех операторов узлов сети Эфириума обновить ПО перед запуском Shapella. Подробнее: https://bits.media/ethereum-foundation-udvoil-nagradu-za-poisk-bagov-v-seti-do-500-000/ -
Хакеры из Lazarus Group, которая связана с Северной Кореей, атаковали злоумышленников, которые похитили почти $200 млн в криптовалюте у DeFi-платформы для кредитования на блокчейне Эфириума Euler Finance. Взломщики из Lazarus отправили ончейн-послание хакерам Euler с просьбой расшифровать закодированное сообщение, пишет Coindesk со ссылкой на свои источники. Однако сообщение оказалось фишинговым запросом, в результате которого северокорейские хакеры хотели украсть данные кошелька взломщика Euler. Euler Finance предупредили собственного же хакера о взломе. «Ни при каких обстоятельствах не пытайтесь просмотреть это сообщение. Нигде не вводите свой закрытый ключ. Напоминаем о том, что ваш компьютер также может быть скомпрометирован», — написала команда Euler в отдельной транзакции. Подробнее: https://bits.media/khakery-iz-lazarus-popytalis-vzlomat-vzlomavshikh-euler-finance-khakerov/
-
2022 год стал рекордным для хакерских атак на криптовалютные проекты, говорят данные одной из крупнейших платежных систем мира Visa. При этом наиболее лакомой целью для преступников оказались межсетевые мосты. Аналитики Visa оценили угрозы атак на цифровую платежную инфраструктуру, а взломам криптовалютных проектов в своем исследовании отдали целую секцию. Уязвимости межсетевых мостов привлекали хакеров благодаря значительным средствам, которые становятся доступными при удачной атаке, сделали вывод исследователи. С января по октябрь 2022 года хакеры украли из межсетевых мостов активы на сумму свыше $2 млрд. Векторы атаки достаточно стандартны: либо хакеры пользуются уязвимостью для создания новых транзакций, либо подтверждают несанкционированные транзакции с помощью уязвимостей. Подробнее: https://bits.media/visa-mezhsetevye-mosty-stali-naibolee-populyarnym-obektom-khakerskikh-atak-v-2022-godu/
-
DeFi-платформа для кредитования на блокчейне Эфириума Euler Finance может стать на шаг ближе к возврату средств, украденных в результате хакерской атаки — злоумышленники вышли на переговоры. В марте команда Euler Finance сообщила, что хакеры взломали платформу и украли $197 млн в криптовалюте. Неизвестные воспользовались уязвимостью смарт-контрактов протокола с помощью мгновенных займов. На этой неделе преступники связались с Euler Finance и заявили, что теперь они хотят уладить вопрос миром. «Мы хотим облегчить жизнь всем пострадавшим. Нет намерения сохранить то, что нам не принадлежит. Настраиваем защищенную связь. Давайте договоримся», — написали неизвестные. Подробнее: https://bits.media/euler-finance-vedet-peregovory-s-khakerami-o-vozvrate-deneg/
-
Производитель криптоматов General Bytes сообщил о взломе своей облачной платформы. Хакеры устанавливали вредоносное ПО на устройства и получали доступ к активам пользователей, похитив свыше $1,5 млн. В бюллетене, опубликованном General Bytes, сказано, что благодаря уязвимости, злоумышленники могут удаленно загружать на криптоматы компании Java-приложения. С их помощью хакеры могут получить доступ к информации пользователей и вводимые данные, а также украсть криптовалюты с горячих кошельков. Компания приостановила работу своего облачного сервиса, но и криптоматы, подключенные к сторонним серверам, также остаются уязвимыми. «Хакеры могут получить доступ к базе данных. Могут читать и дешифровать API-ключи, используемые для доступа к средствам на горячих кошельках и биржах, выводить с них активы. Также имеют доступ к именам пользователей, могут скачать хэши их паролей и отключать двухфакторную аутентификацию», ― сообщил основатель General Bytes Карел Киовский (Karel Kyovsky). Компания опубликовала список из 41 адреса кошельков, на которые хакеры переводили средства. Больше всего они вывели биткоинов ― на кошельке хранится 56 BTC, что составляет свыше $1,54 млн. Кроме того, злоумышленники смогли украсть почти 22 ETH. Подробнее: https://bits.media/polzovateli-kriptomatov-general-bytes-poteryali-svyshe-1-5-mln-v-khode-khakerskoy-ataki/
-
Разработчики недавно взломанного протокола DeFi Euler Labs обратились к хакеру, похитившему почти $200 млн. Они попросили вернуть 90% украденных средств, тогда команда не будет преследовать злоумышленника. В своем заявлении разработчики подчеркнули, что у хакера есть 24 часа на возврат средств, иначе он столкнется «с юридическими последствиями». Для поиска хакера разработчики Euler пообещали выделить $1 млн. Заявление было сделано с помощью блокчейна ― на адрес злоумышленника была отправлена транзакция с текстом: «Если 90% средств не будут возвращены в течение 24 часов, то завтра мы запускаем программу по выплате награды в $1 млн за информацию, которая приведет к Вашему аресту и возврату всех украденных средств». Интересно, что еще вчера разработчики взломанного протокола были гораздо более вежливы. Они аналогичным образом обратились к хакеру с вопросом о возможности «потенциальных шагов по разрешению ситуации». Разработчики заявили, что работают с правоохранительными органами США и Великобритании, а также аналитическими фирмами Chainalysis и TRM Labs. Подробнее: https://bits.media/razrabotchiki-euler-labs-predlozhili-khakeru-ostavit-sebe-20-mln-i-vernut-ostalnoe/
-
Эксперты компании по кибербезопасности Halborn выявили ряд критических уязвимостей, которые затрагивают более 280 сетей блокчейнов и ставят под угрозу цифровые активы на сумму свыше $25 млрд. В марте прошлого года с Halborn был заключен контракт на оценку кодовой базы Dogecoin на наличие уязвимостей, которые могут повлиять на безопасность блокчейна. В ходе этой оценки компания выявила несколько критических уязвимостей, которые впоследствии были устранены командой Dogecoin. Однако после более широкого обзора эксперты Halborn определили, что те же уязвимости затронули более 280 других сетей, созданных на аналогичной кодовой базе, включая Litecoin и Zcash, что поставило под угрозу цифровые активы на сумму более $25 млрд. Halborn discovered massive #ZeroDay impacting Dogecoin and 280+ networks including Litecoin and Zcash, putting over $25 Billion of digital assets at risk! ... Подробнее: https://bits.media/halborn-bolee-280-blokcheynov-podverzheny-risku-eksploytov-nulevogo-dnya/
-
Совокупная стоимость всей заблокированной криптовалюты проекта Hedera в смарт-контрактах протокола DeFi упала на $5 млн. Это случилось после атаки хакеров и последовавшей затем приостановки работы сервисов Hedera. Согласно аналитикам проекта DeFiLlama, объем общей заблокированной ценности (TVL) Hedera за сутки снизился с $29,6 млн до $24,6 млн — на 16,8%. В четверг. 9 марта, разработчики Hedera из HBAR Foundation заявили, что заметили сбои в сети, которые влияют на приложения и их пользователей. «Мы поддерживаем связь с пострадавшими от сбоев. Мы отслеживаем и работаем над решением проблемы», — заверили разработчики. Подробнее: https://bits.media/obem-zablokirovannoy-tsennosti-aktivov-v-hedera-upal-na-17-posle-ataki-khakerov/
-
Разработчики криптовалютного кошелька MyAlgo для сети Algorand призвали всех пользователей вывести свои средства с адресов, созданных с применением кодовой фразы, в связи с возможным взломом. Хакерам удалось украсть активов на сумму $9,2 млн, при этом разработчики MyAlgo так и не смогли найти уязвимость и закрыть ее, поэтому попросили всех пользователей вывести средства. «Мы крайне рекомендуем вывести любые средства с кошельков, созданных с использованием мнемонической фразы. Мы все еще не знаем корневую причину недавних взломов, поэтому просим всех предусмотрительно вывести средства. Спасибо за понимание», ― пишут разработчики MyAlgo. Хакеры атаковали около 25 крупных кошельков и вывели свыше 19,5 млн монет ALGO и более 3,5 млн токенов USDC. Общий объем украденных средств составил $9,2 млн, правда, криптовалютной бирже ChangeNOW удалось заморозить активы на $1,5 млн. Подробнее: https://bits.media/razrabotchiki-koshelka-myalgo-prizvali-polzovateley-vyvesti-vse-sredstva/
-
По данным аналитической компании Chainalysis, в 2022 году было совершено наибольшее количество хакерских атак в криптовалютной индустрии. Суммарно криптофирмы потеряли $3.8 млрд. Chainalysis приводит статистические данные по атакам на криптовалютные проекты за 2022 год, когда было украдено рекордное количество пользовательских средств. Пики активности хакеров пришлись на начало весны и середину осени. Например, в октябре у 32 компаний было украдено около 20% от общегодового объема — $775.7 млн. Интересен не только сам факт хакерских атак, но и то, что большинство из них оказались связаны с Северной Кореей. Помимо приведенной статистики специалисты Chainalysis подчеркнули уязвимость протоколов DeFi, число хакерских атак на которые увеличилась в 2022 году. Представители компании сообщили в социальных сетях: «На этой неделе мы выпускаем превью раздела хакерских атак, входящего в наш обзор криптопреступлений от 2023 года. В 2022 году было украдено $3.8 млрд через хакерские атаки. По вашему мнению, какой процент пришелся на протоколы DeFi?» Подробнее: https://bits.media/samye-uyazvimye-kuda-natseleny-khakerskie-ataki-v-kriptoindustrii/
-
Хакерам удалось получить доступ к аккаунту популярного проекта NFT Azuki в социальной сети Твиттер. Всего за 30 минут они смогли украсть свыше $750 000. Для кражи активов злоумышленники опубликовали вредоносную ссылку. Через полчаса по ней перешел один из пользователей, на кошельке которого оказалось 751 321 стейблкоин UDC. Хакерам удалось вывести все средства пользователя. У других пользователей хакерам удалось украсть $6 752 в USDC, 3.9 ETH и 11 NFT. Общая сумма украденных средств, по данным Wallet Guard, составила $758 074. Взлом подтвердила менеджер сообщества проекта Azuki Эмили Роуз (Emily Rose). Через несколько часов команде разработчиков удалось вернуть контроль за взломанным аккаунтом. Сейчас ведется расследование и поиск уязвимости, с помощью которой хакерам удалось получить доступ к учетной записи. Подробнее: https://bits.media/khakery-vzlomali-akkaunt-azuki-v-tvittere-i-ukrali-aktivy-na-750-000/
-
Популярный криптовалютный обменник Bitzlato приостановил деятельность ― сервис был взломан, но, по заверениям разработчиков, злоумышленникам удалось вывести лишь незначительный объем средств. О взломе Bitzlato сообщил в телеграм-канале ранним утром 18 января. Разработчики призвали пользователей сервиса не пополнять свои балансы и заявили о приостановке вывода средств. Позднее они написали, что средства пользователей в безопасности и после исправления уязвимости все активы будут возвращены владельцам. «Средства находятся в полной безопасности. Злоумышленники смогли вывести малую часть средств, но всем пострадавшим, мы гарантируем возврат средств! В мерах безопасности мы отключили работу сервиса, просим вас не пополнять кошельки нашего сервиса до восстановления работы», ― сказано в заявлении Bitzlato. Разработчики пообещали разобраться с проблемой в кратчайшие сроки. Пока неизвестно, сколько именно средств удалось вывести хакерам. Подробнее: https://bits.media/kriptovalyutnyy-obmennik-bitzlato-soobshchil-o-vzlome/
-
Парламент Великобритании рассматривает законопроект по финансовым сервисам и рынкам, который частично регулирует криптовалюты. Однако Палата лордов призывает к более всеобъемлющему надзору. Причиной для такого отношения к криптовалютам стал достаточно сложный год для рынка цифровых активов. Кроме того, громкие события вроде краха экосистемы Terra и банкротства биржи FTX привлекли к отрасли внимание, в том числе, и регуляторов. «Недавний крах FTX показал и волатильность рынка криптовалют, и уязвимость к мошенничествам. Управление новыми инновационными возможностями и предотвращение их использования для преступных целей стало действительно сложной задачей для регулятора, как структурно, так и количественно. Честно говоря, я не уверен, что FCA действительно готово к такому регулированию», ― заявил член Палаты лордов Алан Смит (Alan Smith). Он сравнил криптовалютную индустрию с онлайн-казино и другими подобными азартными играми, отметив, что, возможно, для криптовалютной отрасли потребуется полностью новый подход к регулированию. Подробнее: https://bits.media/britanskaya-palata-lordov-prizvala-k-bolee-masshtabnomu-regulirovaniyu-kriptovalyut/
-
Аналитики агентства Drofa Comms представили результаты опроса «Обзор системы безопасности DeFi в 2022 году» (An Overview of DeFi Security In 2022), куда включили мнение о рынке руководства компаний HashEx, Beosin и Apostro. Опрошенные аналитиками участники рынка сходятся во мнении, что хакеры стали гораздо более изощренными и активными, поэтому 2023 год не станет более простым для проектов DeFi. «Интерес к криптовалютной индустрии сохраняется и количество хакеров не будет снижаться», ― считает управляющий директор компании Beosin Томми Дэн (Tommy Deng). Дэн уверяет, что протоколы DeFi продолжают улучшать свой код в отношении безопасности, однако «никогда не будет абсолютной защиты». А новые проекты зачастую слишком спешат выйти на рынок и не проводят полноценной проверки безопасности смарт-контрактов. Подробнее: https://bits.media/drofa-comms-defi-proekty-zhdet-uvelichenie-chisla-khakerskikh-atak-/
-
Протокол децентрализованных финансов Raydium в сети Solana сообщил об атаке. Хакер получил доступ к административному аккаунту протокола и вывел различных активов на сумму свыше $2 млн. Ночью 16 декабря административный аккаунт Raydium совершил около 1 000 транзакций. Хакер выводил ликвидность из пулов протокола, при этом не внося соответствующее количество токенов LP. Средства выводились из самых разных пулов ликвидности, включая пулы с USDC, wSOL, Raydium и другие. Первой об атаке хакеров сообщила команда разработчиков проекта Prism. Они предупредили своих пользователей о необходимости вывести токены Prism и USDC из протокола Raydium. Через 40 минут после этого разработчики пострадавшего протокола подтвердили взлом. По данным Ottersec, хакер использовал функцию withdraw_pnl в смарт-контракте Raydium. Функция предназначена для разработчиков, чтобы выводить комиссии из пулов ликвидности, поэтому позволяет выводить средства, не внося соответствующее обеспечение. Подробнее: https://bits.media/protokol-defi-raydium-soobshchil-o-vzlome-na-2-2-mln/
-
Разработчики Web3-версии веб-браузера Opera объявили о запуске нового набора инструментов безопасности, который должен помочь пользователям миновать риски наткнуться на хакеров и мошенников. Набор назвали Web3 Guard — он представляет из себя несколько новых функций безопасности, при включении которых браузер должен фильтровать децентрализованные приложения (dApps), установленные пользователями, а также предупреждать фишинговые атаки. Обещано, что новый инструмент будет сканировать известные угрозы в dApps — код алгоритма, уязвимости и историю аудита. Все это должно помочь пользователю лучше понять, какое приложение он собирается установить — браузер обязан предупредит человека о подозрительном приложении. Также будут проверяться фишинговые атаки с использованием секретных фраз (Seed). Браузер должен сканировать веб-страницы на предмет использования подобных атак. В компании Opera заявили, что новая система безопасности не будет собирать данные пользователей. Подробнее: https://bits.media/opera-zapuskaet-instrumenty-bezopasnosti-dlya-svoego-web3-brauzera/
-
В начале этой недели валидаторы проекта Terra проголосовали за расширение мер безопасности и выплату гранта в размере 500 000 LUNA компании по кибербезопасности SCV. Аудиторская компания SCV будет выявлять и отслеживать уязвимости, риски и потенциальные угрозы во второй версии протокола Terra. Генеральный директор SCV Винисиус Марино (Vinicious Marino) заявил, что со временем все поддается взлому, поскольку технологии и векторы атак становятся все более изощренными. Он добавил, что SCV применит «активный подход» к обеспечению безопасности сети Terra. Для выполнения мер безопасности SCV запросила у Terra около 500 000 LUNA ($900 000), однако некоторые члены сообщества выразили возражения против такой крупной суммы. После того, как Terra пережила смертельную спираль, ее создатель До Квон (Do Kwon) пытался возродить сеть с помощью Terra 2.0 — форка пострадавшего блокчейна. Держатели токенов новой сети проголосовали за раздачу LUNA, создание социального протокола «Знай своего клиента» (KYC) и финансирование нового стейблкоина. Подробнее: https://bits.media/soobshchestvo-terra-vydelit-500-000-luna-na-obespechenie-bezopasnosti-proekta/
-
Крупная канадская криптобиржа сообщила, что активы пользователей находятся в безопасности и, вероятно, злоумышленники не воспользовались персональными данными. Coinsquare в субботу, 26 ноября, отправила клиентам электронное письмо, сообщив об «инциденте с данными», в ходе которого «неавторизованная третья сторона получила доступ к базе клиентов, содержащей личную информацию». Команда биржи уточнила, что злоумышленники получили доступ к «именам клиентов, адресам электронной почты, адресам проживания, номерам телефонов, датам рождения, идентификаторам устройств, адресам общедоступных кошельков, историям транзакций и остаткам на счетах»: «Пароли не были раскрыты. У нас нет доказательств того, что злоумышленник просматривал эту информацию». На прошлой неделе Coinsquare приостановила деятельность на своей платформе после обнаружения уязвимости, вызвавшей спекуляцию версиями о возможных проблемах с ликвидностью, учитывая крах многомиллиардной криптобиржи FTX в начале ноября. Полное обслуживание на площадке Coinsquare было восстановлено в пятницу, 25 ноября. Подробнее: https://bits.media/birzha-coinsquare-vyyavila-utechku-dannykh-klientov/
-
Команда Polkadot запустила программу по борьбе с мошенничеством Anti-Scam Bounty для улучшения безопасности своей экосистемы, в рамках которой участникам предлагается денежное вознаграждение. В рамках программы участники сообщества Polkadot находят мошеннические сайты, поддельные профили в социальных сетях и фишинговые приложения, маскирующиеся под Polkadot, а также защищать серверы Discord от хакерских атак. В перечень задач входит создание обучающих материалов для пользователей, а также разработка специальной панели инструментов Anti-Scam для защиты от мошенничества в экосистеме Polkadot. Выполнение каждой задачи курируется членами сообщества, которые взаимодействуют с исполнителями и предлагают идеи для более эффективного достижения результатов. За свои усилия пользователи получают определенное вознаграждение. Сейчас программой руководят три куратора из сообщества Polkadot и два сотрудника из Web3 Foundation. Инициативы по улучшению безопасности и обнаружению уязвимостей запускаются многими криптовалютными проектами. Так, в прошлом году, после взлома Poly Network создатели сети объявили о программе по поиску багов в коде на общую сумму $500 000. Перед активацией хардфорка Altair подобную программу организовали и разработчики Эфириума 2.0. Подробнее: https://bits.media/polkadot-zapustil-programmu-voznagrazhdeniya-dlya-borby-s-moshennikami/
-
Злоумышленник, стоящий за октябрьским взломом Mango Market, в результате маневра по манипулированию ценами, похоже, потерял миллионы долларов США на попытке взлома протокола DeFi Aave. Мошенник под ником «Avraham Eisenberg» позаимствовал 40 млн токенов CRV на децентрализованной кредитной платформе Aave, чтобы одномоментно продать их на рынке. В результате его манипуляции цена на CRV должна была резко упасть, что привело бы к ликвидации миллионов коротких позиций. Однако, это не сработало. Цена CRV снизилась с $0.53 до $0.41, но затем быстро восстановилась, поднявшись до $0.71. Несколько недель назад хакер опубликовал свой план по использованию уязвимости Aave. По его мнению, эта схема должна была сработать и не имела слабых мест. Ни Aave, ни платформа финансового моделирования Gauntlet, используемая Aave, не предприняли никаких мер предосторожности для предотвращения эксплойта. В результате Aave потеряла лишь $1.6 млн, которые покроет Gauntle из своего фонда. В случае удачной атаки, сумма убытков была бы гораздо больше. Подробнее: https://bits.media/vzlomavshiy-mango-market-khaker-lishilsya-millionov-dollarov-pri-popytke-vzloma-aave/
-
Ранним утром компания Peckshield и несколько пользователей Твиттера сообщили о выпуске токенов GALA на сумму свыше $2 млрд. Разработчики заверили, что это не взлом и не мошенничество. Ситуация действительно была крайне похожа на взлом или схему rug-pull, когда разработчики продают большое количество токенов и получают прибыль, а потом цена актива падает до нуля. Утром один из адресов в сети BSC выпустил токены GALA на сумму свыше $2 млрд и переместил их в пул pGALA на бирже PancakeSwap. Часть токенов была переведена на биржу Huobi и продана, в результате чего курс токена упал на 90%. Правда, только на этой площадке. В целом по рынку падение составляет около 25%. Разработчики Gala Games заявили, что колебания цены связаны с действиями межсетевого моста pNetwork. Команда pNetwork опустошила пул pGALA на бирже PancakeSwap из-за неправильной конфигурации, чтобы предотвратить возможную уязвимость. Речь только про токены GALA в сети Binance Smart Chain, тогда как токены в сети Эфириума остаются в безопасности, как и их обеспечение. Команда pNetwork подтвердила заявление Gala Games, назвав свои действия «атакой белых хакеров». Разработчики сообщили, что мост остановлен и разработчики пытаются полностью опустошить пул pGALA. При этом старые токены затем будут уничтожены, а проект выпустит новые токены, чтобы возместить убытки. Новые токены будут распределены между пользователями, владевшими до начала событий старыми токенами. Прорабатывается схема возмещения убытков пользователям, купившим токены уже после инцидента. Представители pNetwork призвали не покупать токены GALA в сети BSC. Подробнее: https://bits.media/belyy-vzlom-v-seti-binance-smart-chain-vypushcheny-tokeny-gala-na-2-mlrd/
-
Агентство по безопасности блокчейнов PeckShield сообщило, что протокол кредитования Solend на базе Solana столкнулся с эксплойтом и потерями в $1.26 млн Платформа Solend признала эксплойт и заявила, что атака была нацелена на пулы со стейблкоинами Hubble, токенами Coin98 и Kamino: «Была обнаружена атака оракула на USDH, затронувшая изолированные пулы Stable, Coin98 и Kamino, в результате чего безнадежный долг проекта составил 1.26 млн». Команда Solend заверила, что сразу после инцидента пострадавшие пулы были заблокированы. Все остальные кредитные пулы остаются доступными для пользователей. Разработчики протокола объяснили, что злоумышленник воспользовался уязвимостью ценового оракула проекта — системой для отслеживания цен на различные криптоактивы. Подробнее: https://bits.media/puly-defi-solend-postradali-iz-za-uyazvimosti-tsenovogo-orakula-/
-
Как сообщает аналитическая компания Peckshield, в октябре хакеры воспользовались 44 уязвимостями в как минимум 53 протоколах. Они смогли вывести цифровые активы на сумму свыше $657 млн. По данным специалистов Peckshield, с начала года общий ущерб от атак хакеров на криптовалютные проекты составил около $3 млрд. Для сравнения, это вдвое больше, чем за весь прошлый год. Хакеры воспользовались уязвимостью Profanity в криптовалютных кошельках, уязвимостями в смарт-контрактах и плохой архитектурой некоторых проектов. Одними из наиболее часто взламываемых стали межсетевые мосты. В частности, хакеры смогли украсть активы на сумму более $100 млн из моста в сети BNB Chain. Были и другие крупные взломы, например, торговая платформа Mango Market потеряла $114 млн. При этом разработчикам удалось договориться со злоумышленниками – хакеры вернули $67 млн в обмен на оставшиеся средства и отсутствие преследования. Подробнее: https://bits.media/peckshield-za-oktyabr-khakery-ukrali-kriptovalyut-na-657-mln/
-
Разработчики крупного криптовалютного проекта Cosmos опубликовали предложение по внедрению новой системы безопасности для основной сети проекта под названием Hub. В рамках новой системы безопасности децентрализованные приложения, запущенные на дополнительных сетях Cosmos, смогут полагаться на валидаторов основной сети. То есть, безопасность проектов на базе дополнительных сетей будет обеспечивать основной блокчейн проекта. А это наиболее крупная сеть в экосистеме Cosmos. Также разработчики изменят функциональность собственной криптовалюты Cosmos Hub под названием ATOM. Новая монета ATOM 2.0 будет использоваться в качестве токена для обеспечения работы инфраструктурной платформы Cosmos Hub. Напомним, что в середине октября разработчики Cosmos объявили об обнаружении критической уязвимости в протоколе межсетевого взаимодействия IBC. Они усилили проверки безопасности своего кода после взлома моста BSC Token Hub. Как рассказал сооснователь Cosmos Итан Бухман (Ethan Buchman), была обнаружена «критическая уязвимость, которая влияет на все сети Cosmos с поддержкой IBC, причем любых версий». Подробнее: https://bits.media/soobshchestvo-cosmos-progolosuet-za-vvedenie-novoy-sistemy-bezopasnosti/
-
«Хактябрь» продолжается – злоумышленники смогли получить доступ к кошельку разработчиков децентрализованной автономной организации FriesDAO и вывести токены FRIES на сумму $2.3 млн. Помимо FRIES злоумышленники вывели и другие токены из пула стейкинга. Украденные средства были обменяны на стейблкоины DAI и пока находятся на кошельке хакеров. Также на нем хранятся 160 ETH и незначительное количество других криптовалют. «Нам стало известно, что злоумышленники воспользовались уязвимостью в контракте возмещения средств», – сообщили разработчики проекта. Как оказалось, кошелек разработчиков был сгенерирован с помощью Profanity. Созданные с помощью этого инструмента кошельки оказались под угрозой после обнаружения уязвимости. Подробнее: https://bits.media/khakery-vyveli-2-3-mln-iz-koshelka-detsentralizovannoy-organizatsii-friesdao/