Блог

29-30 августа 2021 сразу два DeFi-проекта сообщили, что стали жертвами мошенников. Пользователи Cream Finance и xToken потеряли миллионы долларов. Команды проектов сообщают, что теперь ситуация находится под контролем. Чем популярнее становятся децентрализованные финансы, тем больше злоумышленников атакуют эти протоколы.

Очередной взлом Cream Finance

Протокол децентрализованных финансов Cream Finance [CREAM] 30 августа в своем твиттере сообщил о взломе. Злоумышленники смогли заполучить $18 млн. в токенах AMP и Ethereum [ETH].

Для этого использовались так называемые «reentrancy-атаки». В ходе них мошенник инициализирует транзакции, не подписывая ни одну из них. Система, проверяющая баланс только на этапе инициализации, не видит, что финального проведения транзакций нет. Позже пользователь может подписать все транзакции одновременно, отправив намного больше денег, чем есть у него на балансе. В итоге у протокола «возникают обязательства» в выплате этой суммы пользователю. Этим и пользуются злоумышленники.

В твиттере команда Cream Finance написала:

Протокол Cream v1 на базе Ethereum подвергся атаке. В результате нее потеряно 418 млн. токенов AMP и 1308 ETH. Мы остановили этот эксплоит, поставили на паузу работу, связанную с AMP. Рынки других токенов оказались не затронутыми.

Re-entrancy-атаки являются одними из самых распространенных для смарт-контрактов на языке Solidity. Для Cream Finance это не первая атака, закончившаяся потерями денег. В феврале эту сеть уже атаковали, тогда убытки составили $37 млн. Часть сообщества тогда не поверила разработчикам, посчитав, что они скрывают свои мошеннические действия. Также команда сообщала об атаке через DNS. Тогда разработчики советовали пользователям не заходить с использованием своей сид-фразы.

xToken потерял $4,5 млн.

29 августа об атаке сообщила команда xToken. В случае с этим протоколом эксплоит оказался в рынке xSNX. Судя по их отчету, атака была проведена через флеш-займ токенов Synthetix [SNX], взятый на Aave [AAVE]. В результате целой серии обменов с использованием нескольких DeFi-протоколов, злоумышленник заполучил $4,5 в стейблкоинах.

Для xToken эта атака также не является первой. Ранее злоумышленники уже использовали уязвимости в этом протоколе: в мае они смогли унести с xToken $25 млн. Команда заявила, что приостанавливает работу с SNX и разрабатывает план компенсации потерь.

Мы считаем, что пока лучше приостановить работу с SNX и его смарт-контрактом. Нынешнее воплощение SNX на нашей платформе является самым сложным, а его работа зависит от множества факторов. Это создает большое пространство для возможных уязвимостей.

Команда DeFi-проекта DeFiYield подсчитала, что с 2016 года были взломаны 2516 проектов сферы децентрализованных финансов. Суммарно в результате всех взломов и использования «логических» уязвимостей за это время потеряно $1,7 млрд. Взрывной рост таких инцидентов начался в 2020 году. Это связано с приростом популярности сферы DeFi и вложения все большего количества денег в финансовые протоколы.

Источник: ruscoins.info