Reentrancy, prisorakelangrep og utnyttelser på tvers av syv protokoller førte til at desentralisert finans (DeFi) plass til å blø ut minst 21 millioner dollar i krypto i februar.
Ifølge til DeFi-sentrisk dataanalyseplattform DefiLlama, en av de største i måneden var angrepet på gjeninnføring av flashlån på Platypus Finance, som førte til tap på 8.5 millioner dollar.
DefiLlama fremhevet seks andre bemerkelsesverdige hacks i måneden, den første var prisorakelangrepet på BonqDAO 1. februar.
BonqDAO: 1.7 millioner dollar
BonqDAO avslørte for sine følgere i et innlegg fra 1. februar at det er Bonq-protokollen ble avslørt til et orakelangrep som tillot utnytteren å manipulere prisen på AllianceBlock (ALBT) token.
Utnytteren økte ALBT-prisen og preget store mengder BEUR. BEUR ble deretter byttet mot andre tokens på Uniswap. Deretter ble prisen redusert til nesten null, noe som utløste avviklingen av ALBT troves.
Blockchain-sikkerhetsfirmaet PeckShield estimerte tapene til rundt 120 millioner dollar, men det ble senere avslørt at hackere angivelig bare utbetalt rundt 1 million dollar på grunn av mangel på likviditet på BonqDAO.
Orion-protokollen: 3 millioner dollar
Bare en dag senere led den desentraliserte børsen Orion-protokollen en tap på rundt 3 millioner dollar den 2. februar gjennom et reentrancy-angrep, der angripere brukte en ondsinnet smart kontrakt for å tappe penger fra et mål med gjentatte uttaksordrer.
Vi har undersøkt dette svært sofistikerte angrepet fra minuttene det skjedde. Vi vil ikke gjenåpne innskuddsfunksjonen før vi føler oss sikre på at feilen er fikset, noe som først vil skje etter vellykket bestått nye revisjoner fra ledende revisjonsfirmaer.
— Alexey Koloskov (@alexeykoloskov) Februar 2, 2023
Administrerende direktør i Orion Protocol, Alexey Koloskov, bekreftet angrepet den gang, og forsikret alle: "Alle brukeres midler er trygge og sikre."
"Vi har grunner til å tro at problemet ikke var et resultat av noen mangler i vår kjerneprotokollkode, men snarere kan ha vært forårsaket av en sårbarhet i å blande tredjepartsbiblioteker i en av de smarte kontraktene som brukes av våre eksperimentelle og private meglere ," han sa.
dForce Network: 3.65 millioner dollar
DeFi-protokollen dForce-nettverket var nok et offer i februar for et reentrancy-angrep som resulterte i tap på rundt 3.65 millioner dollar.
I en 10. februar poste, dForce bekreftet utnyttelsen; Men i en vri ble alle midler returnert da hackeren kom frem som en whitehat-hacker.
2/5 Kort tid etter hendelsen gikk vi i samtaler med utnytteren, som sto frem som en hvithatt. Vi har gått med på å tilby en dusør og vil droppe alle pågående etterforskning og polititiltak.
— dForce (@dForcenet) Februar 13, 2023
"Den 13. februar 2023 ble de utnyttede midlene fullt ut returnert til vårt multi-sig på både Arbitrum og Optimism, en perfekt avslutning for alle," sa dForce.
Platypus Finance: 9.1 millioner dollar
Den 16. februar, DeFi-protokollen Platypus Finance fikk et flashlånsangrep resulterer i at 8.5 millioner dollar tappes fra protokollen.
En post mortem rapport fra Platypus auditor Omniscia bemerket at angrepet var mulig på grunn av kode i feil rekkefølge.
Den 23. februar kunngjorde teamet at de søker å returnere rundt 78 % av hovedpoolen ved å gjenopprette frosne stablecoins.
Oppdatert kompensasjonsside
Vi har oppdatert kompensasjonssiden vår i dag! Hvis du har satt inn eller trukket ut LP-tokens fra våre avkastningsaggregatorer før bassengpausen, vil kompensasjonsbeløpet ditt oppdateres tilsvarende.
Mer https://t.co/GfLIn5jmtF— Platypus (++) (@Platypusdefi) Mars 3, 2023
Teamet bekreftet også andre og tredje hendelser, som førte til at ytterligere $667,000 9.1 ble utnyttet, noe som ga totale tap på rundt $XNUMX millioner.
fransk politi arresterte to mistenkte relatert til hacket og tok beslag i kryptoaktiva verdt rundt 222,000 25 dollar XNUMX. februar.
Hope Finance: 1.86 millioner dollar
Noen dager senere, brukere av arbitrum-basert algoritmisk stablecoin-prosjekt, Hope Finance, ble offer for en smart kontraktsutnyttelse 20. februar, hvor omtrent 2 millioner dollar ble stjålet fra brukere.
#Community Alert @hope_fin har kunngjort at fellesskapet har blitt svindlet for ~2 millioner dollar, noe som gjør dette til det største #exitscam på Arbitrum i 2023.
1.86 millioner dollar ble overført til @TornadoCash.
Hope_fin har lagt ut trinn for brukere for å trekke tilbake sin satsede LPhttps://t.co/hJbFXiKujt
— CertiKAlert (@CertiKAlert) Februar 21, 2023
Web3-sikkerhetsfirmaet CertiK flagget hendelsen 21. februar, etter en kunngjøring fra Hope Finance Twitter-kontoen som varslet brukere om svindelen.
Et medlem av CertiK-teamet fortalte den gang til Cointelegraph at svindleren hadde endret detaljene i den smarte kontrakten, noe som førte til at midler ble tappet fra Hope Finance genesis-protokollen:
"Det ser ut til at svindleren endret TradingHelper-kontrakten som betydde at når 0x4481 ringer OpenTrade på GenesisRewardPool, blir midlene overført til svindleren."
Deksible: $2 millioner
Multichain-utvekslingsaggregator Dexible ble rammet av en utnyttelse som var rettet mot appens selfSwap-funksjon, hvor kryptovaluta verdt 2 millioner dollar gikk tapt som følge av angrepet 17. februar.
I følge et innlegg fra børsen 18. februar, «utnyttet en hacker en sårbarhet i vår nyeste smarte kontrakt. Dette tillot hackeren å stjele midler fra enhver lommebok som hadde en ubrukt forbruksgodkjenning på kontrakten.»
Kjære Dexible-fellesskap, vi beklager å måtte informere deg om at i morgentimene 17. februar utnyttet en hacker en sårbarhet i vår nyeste smartkontrakt. Dette tillot hackeren å stjele midler fra enhver lommebok som hadde en ubrukt forbruksgodkjenning på kontrakten.
1/5
— Dexible (@DexibleApp) Februar 17, 2023
Etter å ha undersøkt, fant Dexible-teamet ut at en angriper hadde brukt appens selfSwap-funksjon for å flytte kryptoverdier for over 2 millioner dollar fra brukere som tidligere hadde autorisert appen til å flytte tokenene deres.
Etter å ha mottatt tokens i sin egen smarte kontrakt, trakk angriperen myntene gjennom Tornado Cash inn i ukjente BNB-lommebøker.
LaunchZone: $700,000 XNUMX
BNB Kjedebasert desentralisert finans (DeFi) protokollen LaunchZone hadde $700,000 XNUMX verdi av midler tappet 27. februar.
Ifølge til blockchain-sikkerhetsfirmaet Immunefi utnyttet en angriper en ubekreftet kontrakt for å tappe pengene.
"En godkjenning ble gitt til den ubekreftede kontrakten for 473 dager siden av LaunchZone-distributøren," sa Immunefi.
Relatert: Tap på kryptoutnyttelse i januar viser en nedgang på nesten 93 % fra året før
Februartallene er en sterk økning fra januar, ifølge DefiLlama-tall.
Trackeren viser bare $740,000 XNUMX i hacks til DeFi-plattformer i måneden på tvers av to protokoller - Midas Capital og ROE Finance.
I sin 2023 Rapport om kryptokrim, avslørte blokkjededatafirmaet Chainalysis at hackere stjal 3.1 milliarder dollar fra DeFi-protokoller i 2022l, og utgjorde mer enn 82 % av det totale beløpet som ble stjålet i året.
Kilde: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama