การกลับเข้ามาใหม่ การโจมตีด้วยออราเคิลด้านราคา และการใช้ประโยชน์จากโปรโตคอลทั้งเจ็ดทำให้พื้นที่การเงินแบบกระจายอำนาจ (DeFi) ไหลออกอย่างน้อย 21 ล้านดอลลาร์ในสกุลเงินดิจิทัลในเดือนกุมภาพันธ์
ตาม เพื่อ DeFi เป็นศูนย์กลาง แพลตฟอร์มวิเคราะห์ข้อมูล DefiLlamaหนึ่งในเหตุการณ์ที่ใหญ่ที่สุดในเดือนนี้คือการโจมตีการคืนเงินกู้แบบแฟลชต่อ Platypus Finance ซึ่งทำให้สูญเสียเงินไป 8.5 ล้านดอลลาร์
DefiLlama ได้เน้นย้ำถึงการแฮ็กที่สำคัญอีก 1 รายการในเดือนนี้ โดยครั้งแรกคือการโจมตีด้วยออราเคิลด้านราคาบน BonqDAO เมื่อวันที่ XNUMX ก.พ.
BonqDAO: 1.7 ล้านเหรียญ
BonqDAO เปิดเผยต่อผู้ติดตามในโพสต์เมื่อวันที่ 1 กุมภาพันธ์ว่า โปรโตคอล Bonq ถูกเปิดเผย ไปจนถึงการโจมตีด้วยออราเคิลที่อนุญาตให้ผู้แสวงประโยชน์ควบคุมราคาของโทเค็น AllianceBlock (ALBT)
ผู้โจมตีเพิ่มราคา ALBT และสร้าง BEUR จำนวนมาก จากนั้น BEUR จะถูกแลกเปลี่ยนเป็นโทเค็นอื่นบน Uniswap จากนั้นราคาก็ลดลงจนเกือบเป็นศูนย์ ซึ่งก่อให้เกิดการชำระบัญชีของ ALBT troves
บริษัทรักษาความปลอดภัยบล็อคเชน PeckShield ประเมินความสูญเสียไว้ประมาณ 120 ล้านดอลลาร์ อย่างไรก็ตาม ภายหลังมีการเปิดเผยว่ามีรายงานว่าแฮ็กเกอร์เท่านั้น ทำเงินออกไปประมาณ 1 ล้านเหรียญสหรัฐ เนื่องจาก BonqDAO ขาดสภาพคล่อง
Orion Protocol: 3 ล้านเหรียญสหรัฐ
เพียงหนึ่งวันต่อมา Orion Protocol การแลกเปลี่ยนแบบกระจายอำนาจประสบกับปัญหา ปิด ประมาณ 3 ล้านดอลลาร์เมื่อวันที่ 2 กุมภาพันธ์ผ่านการโจมตีแบบย้อนกลับ ซึ่งผู้โจมตีใช้สัญญาอัจฉริยะที่เป็นอันตรายเพื่อระบายเงินออกจากเป้าหมายด้วยคำสั่งถอนซ้ำ
เราได้ตรวจสอบการโจมตีที่ซับซ้อนนี้ตั้งแต่นาทีที่มันเกิดขึ้น เราจะไม่เปิดฟังก์ชันการฝากอีกครั้งจนกว่าเราจะมั่นใจว่าจุดบกพร่องได้รับการแก้ไขแล้ว ซึ่งจะทำได้ก็ต่อเมื่อผ่านการตรวจสอบใหม่จากบริษัทตรวจสอบบัญชีชั้นนำเรียบร้อยแล้วเท่านั้น
— อเล็กซี่ โคลอสคอฟ (@alexeykoloskov) กุมภาพันธ์ 2, 2023
Alexey Koloskov CEO ของ Orion Protocol ยืนยันการโจมตีในเวลานั้น ทำให้ทุกคนมั่นใจว่า “เงินของผู้ใช้ทั้งหมดปลอดภัย”
“เรามีเหตุผลให้เชื่อได้ว่าปัญหานี้ไม่ได้เกิดจากข้อบกพร่องใดๆ ในรหัสโปรโตคอลหลักของเรา แต่อาจเกิดจากช่องโหว่ในการผสมไลบรารีของบุคคลที่สามเข้ากับหนึ่งในสัญญาอัจฉริยะที่ใช้โดยโบรกเกอร์ทดลองและโบรกเกอร์ส่วนตัวของเรา ," เขาพูดว่า.
เครือข่าย dForce: 3.65 ล้านเหรียญสหรัฐ
โปรโตคอล DeFi เครือข่าย dForce เป็นเหยื่ออีกรายในเดือนกุมภาพันธ์ของการโจมตีแบบย้อนกลับ ส่งผลให้สูญเสียเงินประมาณ 3.65 ล้านดอลลาร์
ในวันที่ 10 กุมภาพันธ์ เสาdForce ยืนยันการใช้ประโยชน์; อย่างไรก็ตาม ในทางกลับกัน เงินทั้งหมดถูกส่งคืนเมื่อแฮ็กเกอร์แสดงตัวว่าเป็นแฮ็กเกอร์หมวกขาว
2/5 หลังจากเหตุการณ์นั้นไม่นาน เราได้พูดคุยกับผู้แสวงประโยชน์ซึ่งแสดงตัวเป็นหมวกขาว เราได้ตกลงที่จะเสนอเงินรางวัลและจะยกเลิกการสืบสวนที่กำลังดำเนินอยู่และการบังคับใช้กฎหมายทั้งหมด
— ดีฟอร์ซ (@dForcenet) กุมภาพันธ์ 13, 2023
“ในวันที่ 13 กุมภาพันธ์ 2023 เงินที่ถูกใช้ประโยชน์ได้ถูกส่งกลับคืนสู่ multi-sig ของเราอย่างเต็มที่ทั้งใน Arbitrum และ Optimism ซึ่งเป็นจุดจบที่สมบูรณ์แบบสำหรับทุกคน” dForce กล่าว
การเงินของตุ่นปากเป็ด: 9.1 ล้านเหรียญ
เมื่อวันที่ 16 กุมภาพันธ์ โปรโตคอล DeFi Platypus Finance ถูกโจมตีด้วยสินเชื่อแฟลช ส่งผลให้เงิน 8.5 ล้านดอลลาร์ถูกระบายออกจากโปรโตคอล
รายงานหลังชันสูตรจากผู้ตรวจสอบบัญชี Platypus Omniscia ระบุว่าการโจมตีเป็นไปได้เนื่องจาก รหัสในลำดับที่ไม่ถูกต้อง.
เมื่อวันที่ 23 กุมภาพันธ์ ทีมงานประกาศว่าพวกเขากำลังพยายามที่จะคืนเงินประมาณ 78% ของกองทุนรวมหลักโดยการนำ Stablecoin ที่แช่แข็งกลับมาใหม่
อัปเดตหน้าการชดเชย
เราได้อัปเดตหน้าค่าตอบแทนของเราแล้ววันนี้! หากคุณฝากหรือถอนโทเค็น LP จากเครื่องมือรวบรวมผลตอบแทนของเราก่อนที่พูลจะหยุดชั่วคราว จำนวนค่าตอบแทนของคุณจะถูกอัปเดตตามนั้น
More https://t.co/GfLIn5jmtF— ตุ่นปากเป็ด (++) (@Platypusdefi) March 3, 2023
ทีมงานยังยืนยันเหตุการณ์ที่สองและสาม ซึ่งนำไปสู่การแสวงประโยชน์อีก 667,000 ดอลลาร์ นำมาซึ่งความสูญเสียทั้งหมดประมาณ 9.1 ล้านดอลลาร์
ตำรวจฝรั่งเศส จับกุมผู้ต้องสงสัยสองคนที่เกี่ยวข้องกับการแฮ็ก และยึดทรัพย์สิน crypto มูลค่าประมาณ $222,000 เมื่อวันที่ 25 กุมภาพันธ์
โฮปไฟแนนซ์: 1.86 ล้านเหรียญสหรัฐ
ไม่กี่วันต่อมา ผู้ใช้โครงการ Stablecoin อัลกอริทึมตามอัลกอริทึมของอนุญาโตตุลาการ Hope Finance ตกเป็นเหยื่อของการใช้ประโยชน์จากสัญญาที่ชาญฉลาด เมื่อวันที่ 20 กุมภาพันธ์ซึ่งพบว่ามีการขโมยเงินจากผู้ใช้ไปประมาณ 2 ล้านเหรียญ
#แจ้งเตือนชุมชน @หวัง_ฟิน ได้ประกาศว่าชุมชนนี้ถูกหลอกลวงด้วยเงินประมาณ 2 ล้านเหรียญ ทำให้ชุมชนนี้ใหญ่ที่สุด #ออกจากกล้อง ในอนุญาโตตุลาการในปี 2023
$1.86m ถูกโอนไปยัง @TornadoCash ครับ.
Hope_fin ได้โพสต์ขั้นตอนสำหรับผู้ใช้ในการถอน LP ที่เดิมพันไว้https://t.co/hJbFXiKujt
– CertiK Alert (@CertiKAlert) กุมภาพันธ์ 21, 2023
บริษัทรักษาความปลอดภัย Web3 CertiK ตั้งค่าสถานะเหตุการณ์เมื่อวันที่ 21 กุมภาพันธ์ หลังจากประกาศจากบัญชี Twitter ของ Hope Finance ที่แจ้งให้ผู้ใช้ทราบถึงการหลอกลวง
สมาชิกของทีม CertiK บอกกับ Cointelegraph ในเวลานั้นว่านักต้มตุ๋นได้เปลี่ยนรายละเอียดของสัญญาอัจฉริยะ ซึ่งนำไปสู่การระบายเงินออกจากโปรโตคอลการกำเนิด Hope Finance:
“ดูเหมือนว่าสแกมเมอร์เปลี่ยนสัญญา TradingHelper ซึ่งหมายความว่าเมื่อ 0x4481 เรียก OpenTrade บน GenesisRewardPool เงินจะถูกโอนไปยังสแกมเมอร์”
Dexible: 2 ล้านเหรียญ
Dexible ผู้รวบรวมการแลกเปลี่ยนแบบหลายเชนถูกโจมตีโดยการโจมตีที่กำหนดเป้าหมายฟังก์ชั่น selfSwap ของแอป โดยมูลค่า 2 ล้านดอลลาร์ของสกุลเงินดิจิทัลหายไปอันเป็นผลมาจาก การโจมตีเมื่อวันที่ 17 กุมภาพันธ์.
จากการโพสต์เมื่อวันที่ 18 ก.พ. จากการแลกเปลี่ยน “แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ในสัญญาอัจฉริยะใหม่ล่าสุดของเรา สิ่งนี้ทำให้แฮ็กเกอร์สามารถขโมยเงินจากกระเป๋าเงินใด ๆ ที่มีการอนุมัติการใช้จ่ายที่ยังไม่ได้ใช้ในสัญญา”
เรียน ชุมชน Dexible เราเสียใจที่ต้องแจ้งให้คุณทราบว่าในช่วงเช้ามืดของวันที่ 17 กุมภาพันธ์ แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ในสัญญาอัจฉริยะใหม่ล่าสุดของเรา สิ่งนี้ทำให้แฮ็กเกอร์สามารถขโมยเงินจากกระเป๋าเงินใด ๆ ที่มีการอนุมัติการใช้จ่ายที่ยังไม่ได้ใช้ในสัญญา
1/5
— Dexible (@DexibleApp) กุมภาพันธ์ 17, 2023
หลังจากการตรวจสอบ ทีมงาน Dexible พบว่าผู้โจมตีใช้ฟังก์ชัน selfSwap ของแอปเพื่อย้าย crypto มูลค่ากว่า 2 ล้านดอลลาร์จากผู้ใช้ที่เคยอนุญาตให้แอปย้ายโทเค็นของตน
หลังจากได้รับโทเค็นในสัญญาอัจฉริยะของพวกเขาเอง ผู้โจมตีได้ถอนเหรียญผ่าน Tornado Cash ไปยังกระเป๋าเงิน BNB ที่ไม่รู้จัก
LaunchZone: 700,000 ดอลลาร์
การเงินแบบกระจายอำนาจตามเชน BNB (DeFi) โปรโตคอล LaunchZone มีมูลค่า 700,000 ดอลลาร์ มูลค่าเงินไหลออกในวันที่ 27 ก.พ.
ตาม สำหรับบริษัทรักษาความปลอดภัยบล็อคเชน Immunefi ผู้โจมตีใช้ประโยชน์จากสัญญาที่ไม่ได้รับการยืนยันเพื่อระบายเงินทุน
“มีการอนุมัติสัญญาที่ไม่ได้รับการยืนยันเมื่อ 473 วันก่อนโดยผู้ปรับใช้ LaunchZone” Immunefi กล่าว
ที่เกี่ยวข้อง การใช้ประโยชน์จาก Crypto ในเดือนมกราคมลดลงเกือบ 93% เมื่อเทียบเป็นรายปี
ตัวเลขในเดือนกุมภาพันธ์เพิ่มขึ้นอย่างมากจากเดือนมกราคม ตามตัวเลขของ DefiLlama
ตัวติดตามแสดงรายการแฮ็กแพลตฟอร์ม DeFi เพียง 740,000 ดอลลาร์ในเดือนนั้นผ่านสองโปรโตคอล ได้แก่ Midas Capital และ ROE Finance
ใน 2023 ของ รายงานอาชญากรรม Cryptoบริษัทข้อมูลบล็อกเชน Chainalysis เปิดเผยว่าแฮ็กเกอร์ขโมยเงิน 3.1 พันล้านดอลลาร์จากโปรโตคอล DeFi ในปี 2022 ซึ่งคิดเป็นกว่า 82% ของจำนวนเงินทั้งหมดที่ถูกขโมยในปี
ที่มา: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama