Главные взломы 2020 года: DeFi, биржи и снова DeFi
В 2020 году мир изменился. После первого шока, вызванного пандемией и последовавшего за ней обвала рынков, люди стали приспосабливаться к новой "изоляционной реальности". Одним из главных изменений в повседневной жизни стал массовый переход на удаленную работу. На фоне этого существенно увеличилось количество киберпреступлений. Как прогнозируют исследователи, число атак продолжит расти. Криптовалютное сообщество и компании давно находятся под прицелом хакеров. Согласно данным аналитиков, по состоянию на октябрь блокчейн-индустрия лишилась свыше $13,6 млрд в результате атак с 2012 года. К сожалению, взломы биткоин-бирж и кошельков - далеко не новость для индустрии. Однако в этом году на фоне бума излюбленной мишенью хакеров стали DeFi-проекты. По оценкам CipherTrace, к ноябрю злоумышленники украли из DeFi-протоколов почти $100 млн. Мы расскажем о главных взломах 2020 года, в результате которых пользователи потеряли миллионы долларов, а некоторые компании и вовсе закрылись. Ключевое Самым крупным взломом года стала атака на криптовалютную биржу KuCoin. Чаще всего в 2020 году от действий злоумышленников страдали DeFi-протоколы. Сразу несколько подверглись атакам с использованием мгновенного займа. Помимо взломов протоколов и платформ, киберпреступники активно торговали данными пользователей. KuCoin - один из крупнейших взломов в истории (ущерб - $280 млн) Сентябрьская атака на криптовалютную биржу KuCoin стала одним из самых крупных взломов в истории индустрии. Изначально ущерб оценивался в $150 млн, но позже аналитики изменили оценку на $280 млн. Взломавшие KuCoin хакеры отмывали средства через миксеры и децентрализованную биржу Uniswap. К ноябрю KuCoin вернула пользователям большую часть похищенных средств и восстановила ввод и вывод активов. Незадачливый хакер и dForce (ущерб - $25 млн) В апреле хакер атаковал DeFi-протокол dForce. На момент кражи сумма составляла почти $25 млн. Как выяснилось, он воспользовался уязвимостью токена imBTC стандарта ERC-777 и критической уязвимостью в смарт-контрактах платформы Lendf.me, отвечающих за обновление балансов пользователей. Помимо ущерба, нанесенного dForce, хакер вывел все токены с Lendf.me (291 imBTC или $2 млн на момент атаки). Однако злоумышленник совершил фатальную (для него) ошибку - по неосторожности раскрыл свои идентификационные данные, обратившись к децентрализованным биржам напрямую без использования распределенной файловой системы IPFS. В результате хакером заинтересовались правоохранители Сингапура и ему пришлось вернуть все похищенные средства. Harvest Finance: "инженерная ошибка" ценой почти в $20 млн (ущерб - $19,8 млн) В октябре злоумышленник похитил $19,8 млн с платформы Harvest Finance. На вывод средств у него ушло семь минут. Позже хакер вернул $2,47 млн. Разработчики пообещали распределить их среди пользователей и назначили награду в $1 млн за помощь в возврате средств. Хакерскую атаку представители проекта объяснили "инженерной ошибкой". Конец самостоятельной жизни Pickle Finance (ущерб - $19,7 млн) Крупный ущерб в результате атаки понес еще один DeFi-проект Pickle Finance. Хакеры украли более $19 млн. Токен проекта обвалился и вскоре после взлома Pickle Finance объявил о слиянии с yEarn.Finance. Eminence: еще один проект Андрэ Кронье в центре внимания (ущерб - $15 млн) В сентябре хакер вывел $15 млн из незавершенного DeFi-проекта Eminence. Его запуском занимался известный в секторе децентрализованных финансов разработчик Андрэ Кронье. https://www.youtube.com/watch?v=c9q2SBhYX6E Впоследствии злоумышленник вернул Кронье $8 млн. Серийные атаки на bZx (ущерб - $11,6 млн) DeFi-платформа bZx подверглась хакерским атакам несколько раз за год. В феврале злоумышленники вывели 1193 ETH. Спустя несколько дней bZx взломали повторно и вывели еще 2388 ETH. Еще одна атака произошла уже в сентябре. Общая сумма ущерба составила более $11,6 млн по курсу на момент написания. Exmo без 6% средств (ущерб - $10,5 млн) В конце декабря хакеры взломали криптовалютную биржу Exmo. Изначально речь шла о потере примерно 5% от общих активов, однако позже биржа уточнила, что лишилась 6% средств. По предварительным оценкам, ущерб составил $10,5 млн. Хакер-шантажист и основатель Nexus Mutual Хью Карп (ущерб - $8 млн) Помимо бирж и DeFi-проектов в поле зрения хакеров попадали и отдельные личности. В декабре злоумышленник вывел из личного кошелька основателя Nexus Mutual Хью Карпа более $8 млн в токенах NXM. Карп обратился к хакеру через Twitter с предложением награды в $300 000 и прекращения расследования за возврат средств. Последний ответил. Правда, просто так вернуть средства он не согласился. Хакер заявил, что не будет продавать токены до момента роста курса или пока Карп не переведет на его адрес 4500 ETH. "Черный четверг" для MakerDAO (ущерб - $8 млн) На фоне мартовского обвала рынка злоумышленники вывели из системы MakerDAO более $8 млн. https://forklog.com/chernyj-chetverg-v-d
softweri
0
249
Ключевое
- Самым крупным взломом года стала атака на криптовалютную биржу KuCoin.
- Чаще всего в 2020 году от действий злоумышленников страдали DeFi-протоколы. Сразу несколько подверглись атакам с использованием мгновенного займа.
- Помимо взломов протоколов и платформ, киберпреступники активно торговали данными пользователей.
KuCoin - один из крупнейших взломов в истории (ущерб - $280 млн)
Сентябрьская атака на криптовалютную биржу KuCoin стала одним из самых крупных взломов в истории индустрии. Изначально ущерб оценивался в $150 млн, но позже аналитики изменили оценку на $280 млн. Взломавшие KuCoin хакеры отмывали средства через миксеры и децентрализованную биржу Uniswap. К ноябрю KuCoin вернула пользователям большую часть похищенных средств и восстановила ввод и вывод активов.Незадачливый хакер и dForce (ущерб - $25 млн)
В апреле хакер атаковал DeFi-протокол dForce. На момент кражи сумма составляла почти $25 млн. Как выяснилось, он воспользовался уязвимостью токена imBTC стандарта ERC-777 и критической уязвимостью в смарт-контрактах платформы Lendf.me, отвечающих за обновление балансов пользователей. Помимо ущерба, нанесенного dForce, хакер вывел все токены с Lendf.me (291 imBTC или $2 млн на момент атаки). Однако злоумышленник совершил фатальную (для него) ошибку - по неосторожности раскрыл свои идентификационные данные, обратившись к децентрализованным биржам напрямую без использования распределенной файловой системы IPFS. В результате хакером заинтересовались правоохранители Сингапура и ему пришлось вернуть все похищенные средства.Harvest Finance: "инженерная ошибка" ценой почти в $20 млн (ущерб - $19,8 млн)
В октябре злоумышленник похитил $19,8 млн с платформы Harvest Finance. На вывод средств у него ушло семь минут. Позже хакер вернул $2,47 млн. Разработчики пообещали распределить их среди пользователей и назначили награду в $1 млн за помощь в возврате средств. Хакерскую атаку представители проекта объяснили "инженерной ошибкой".Конец самостоятельной жизни Pickle Finance (ущерб - $19,7 млн)
Крупный ущерб в результате атаки понес еще один DeFi-проект Pickle Finance. Хакеры украли более $19 млн. Токен проекта обвалился и вскоре после взлома Pickle Finance объявил о слиянии с yEarn.Finance.Eminence: еще один проект Андрэ Кронье в центре внимания (ущерб - $15 млн)
В сентябре хакер вывел $15 млн из незавершенного DeFi-проекта Eminence. Его запуском занимался известный в секторе децентрализованных финансов разработчик Андрэ Кронье. https://www.youtube.com/watch?v=c9q2SBhYX6E Впоследствии злоумышленник вернул Кронье $8 млн.Серийные атаки на bZx (ущерб - $11,6 млн)
DeFi-платформа bZx подверглась хакерским атакам несколько раз за год. В феврале злоумышленники вывели 1193 ETH. Спустя несколько дней bZx взломали повторно и вывели еще 2388 ETH. Еще одна атака произошла уже в сентябре. Общая сумма ущерба составила более $11,6 млн по курсу на момент написания.Exmo без 6% средств (ущерб - $10,5 млн)
В конце декабря хакеры взломали криптовалютную биржу Exmo. Изначально речь шла о потере примерно 5% от общих активов, однако позже биржа уточнила, что лишилась 6% средств. По предварительным оценкам, ущерб составил $10,5 млн.Хакер-шантажист и основатель Nexus Mutual Хью Карп (ущерб - $8 млн)
Помимо бирж и DeFi-проектов в поле зрения хакеров попадали и отдельные личности. В декабре злоумышленник вывел из личного кошелька основателя Nexus Mutual Хью Карпа более $8 млн в токенах NXM. Карп обратился к хакеру через Twitter с предложением награды в $300 000 и прекращения расследования за возврат средств. Последний ответил. Правда, просто так вернуть средства он не согласился. Хакер заявил, что не будет продавать токены до момента роста курса или пока Карп не переведет на его адрес 4500 ETH."Черный четверг" для MakerDAO (ущерб - $8 млн)
На фоне мартовского обвала рынка злоумышленники вывели из системы MakerDAO более $8 млн. https://forklog.com/chernyj-chetverg-v-defi-kak-umelye-hakery-vyveli-8-mln-iz-makerdao-na-fone-obvala-rynka/ Инвесторы подали групповой иск против Maker Foundation и нескольких аффилированных с ней организаций. Maker Foundation опубликовала отчет об инциденте, но держатели токенов MKR отказались компенсировать убытки владельцам залогов в MakerDAO. В сентябре групповой иск передали в арбитражное производство.Атака на стейблкоин Origin Dollar (ущерб - $7 млн)
В ночь на 17 ноября хакер взломал сеть стейблкоина Origin Dollar и вывел средства на сумму более $7 млн. Для отмывания и перемещения средств он использовал миксер Tornado Cash и монеты renBTC. К декабрю команда Origin Protocol представила план возмещения убытков пользователям.Here's our detailed compensation plan for $OUSD holders. We appreciate everyone’s patience as we worked to develop a detailed plan for providing compensation equal to 100% of the value deposited to OUSD at the time of the exploit.
