Блог

За последние дни сразу несколько сетей столкнулись с атаками на свои DeFi-платформы. Vee Finance из сети Avalanche [AVAX] потерял 8800 токенов Ethereum [ETH] и 213 Bitcoin [BTC]. Еще $3 млн. злоумышленники заполучили с SushiSwap [SUSHI].

Vee Finance лишился $35 млн. из-за взлома

За последнее время в сети Avalanche [AVAX] запустилось множество приложений в сфере децентрализованных финансов. Открылись Lydia Finance, Shroom Finance, Benqi.fi и другие. Среди них был Vee Finance, который успел набрать большую пользовательскую базу и внушительный выбор монет.

21 сентября Vee Finance в твиттере сообщили о том, что подверглись атаке, в результате которой было потеряно $35 млн. в Ethereum и Bitcoin.

Наша команда остановила контракты платформы чтобы убедиться в сохранности средств пользователей. Также были остановлены функции депозитов и кредитования. Секция стейблкоинов не пострадала.

Точное количество утерянных токенов составляет 8804 Ethereum и 213,93 Bitcoin. На момент написания они стоят $35,49 млн. Команда уже провела свое расследование и нашла адрес, на котором сейчас находятся украденные ETH. В отчете указывается, что деньги с него еще никуда не перемещались. Команда будет пытаться выйти на контакт со злоумышленником чтобы добиться от него возврата денег.

Эта атака стала одной из многих за последнее время. Неделю назад Zabu Finance, еще один протокол на базе Аваланче, потерял $3,2 млн. пользователей. Тогда атакующий использовал уязвимость в протоколе Spore Token и выпустил 4,5 млрд. токенов, позже выведя их на кошелек.

У пользователей SushiSwap украли $3 млн.

Технический директор SushiSwap сообщил о том, что 17 сентября его дочерняя платформа MISO также была взломана. Атакующий использовал программную уязвимость, выведя с платформы $3 млн. Minimal initial SushiSwap Offering (MISO) — платформа для выпуска новых токенов на торги.

В сообщении об атаке говорится, что злоумышленник использовал GitHub проекта. На него был загружен вредоносный код, который затем оказался в основном протоколе. Это позволило вставить кошелек взломщика в аукционной секции вместо официального кошелька. В результате, к нему ушло 864,8 Ethereum.

Непонятно, каким образом неизвестный смог внести правки в GitHub чтобы позже они «ушли» в работающий проект. Обычно мало у кого есть доступ к приватному репозиторию, а каждое обновление перед загрузкой тщательно проверяется сообществом.

Руководство площадки сообщило, что юрист получил поручение для подачи заявления в ФБР. Также SushiSwap начала запрашивать данные пользователя с централизованных бирж FTX и Binance, на которых он проходил верификацию. Позже деньги начали перемещаться с адреса обратно на кошельки SushiSwap. В сообществе считают, что сработала угроза обратиться в органы. Возврат денег не является чем-то необычным. Ранее взломщик Poly Network вернул сети, украденные $600 млн. и получил предложение о работе в Poly.

Источник: ruscoins.info