Reentrancy, serangan oracle harga dan eksploitasi di tujuh protokol menyebabkan ruang keuangan terdesentralisasi (DeFi) berdarah setidaknya $ 21 juta dalam crypto pada bulan Februari.
Menurut ke DeFi-sentris platform analitik data DefiLlama, salah satu yang terbesar di bulan itu adalah serangan flash loan reentrancy di Platypus Finance, yang menyebabkan hilangnya dana sebesar $8.5 juta.
DefiLlama menyoroti enam peretasan penting lainnya di bulan itu, yang pertama adalah serangan oracle harga di BonqDAO pada 1 Februari.
BonqDAO: $1.7 juta
BonqDAO mengungkapkan kepada para pengikutnya dalam postingan 1 Februari bahwa itu Protokol Bonq terungkap ke serangan oracle yang memungkinkan pengeksploitasi untuk memanipulasi harga token AllianceBlock (ALBT).
Pengeksploitasi menaikkan harga ALBT dan mencetak BEUR dalam jumlah besar. BEUR kemudian ditukar dengan token lain di Uniswap. Kemudian, harga diturunkan hingga hampir nol, yang memicu likuidasi harta karun ALBT.
Perusahaan keamanan Blockchain PeckShield memperkirakan kerugian sekitar $120 juta, namun kemudian terungkap bahwa peretas dilaporkan hanya menguangkan sekitar $ 1 juta karena kurangnya likuiditas di BonqDAO.
Protokol Orion: $3 juta
Sehari kemudian, pertukaran Orion Protocol yang terdesentralisasi mengalami a lepas sekitar $3 juta pada 2 Februari melalui serangan reentrancy, di mana penyerang menggunakan smart contract berbahaya untuk mengalirkan dana dari target dengan perintah penarikan berulang.
Kami telah menyelidiki serangan yang sangat canggih ini sejak menit terjadinya. Kami tidak akan membuka kembali fungsi Deposit sampai kami merasa yakin bahwa bug telah diperbaiki yang hanya akan terjadi setelah berhasil melewati audit baru dari firma audit terkemuka.
— Alexei Koloskov (@alexeykoloskov) Februari 2, 2023
CEO Orion Protocol Alexey Koloskov mengkonfirmasi serangan tersebut pada saat itu, meyakinkan semua orang, "Semua dana pengguna aman dan terlindungi."
“Kami memiliki alasan untuk percaya bahwa masalah ini bukan akibat dari kekurangan dalam kode protokol inti kami, tetapi mungkin disebabkan oleh kerentanan dalam menggabungkan perpustakaan pihak ketiga di salah satu kontrak pintar yang digunakan oleh broker eksperimental dan swasta kami. ," dia berkata.
Jaringan dForce: $3.65 juta
Jaringan dForce protokol DeFi adalah korban Februari lainnya dari serangan reentrancy yang mengakibatkan kerugian sekitar $3.65 juta.
Dalam 10 Februari pos, dForce mengonfirmasi exploit tersebut; namun secara bergantian, semua dana dikembalikan ketika peretas tampil sebagai peretas topi putih.
2/5 Tak lama setelah insiden itu, kami bercakap-cakap dengan si pengeksploitasi, yang tampil sebagai whitehat. Kami telah setuju untuk menawarkan hadiah dan akan membatalkan semua penyelidikan yang sedang berlangsung dan tindakan penegakan hukum.
— dForce (@dForcenet) Februari 13, 2023
“Pada 13 Februari 2023, dana yang dieksploitasi dikembalikan sepenuhnya ke multi-sig kami di Arbitrum dan Optimisme, akhir yang sempurna untuk semua,” kata dForce.
Keuangan Platipus: $9.1 juta
Pada 16 Februari, protokol DeFi Platypus Finance mengalami serangan pinjaman kilat mengakibatkan $ 8.5 juta terkuras dari protokol.
Laporan post-mortem dari auditor Platipus Omniscia mencatat bahwa serangan itu mungkin terjadi karena kode dengan urutan yang salah.
Pada 23 Februari, tim mengumumkan bahwa mereka berusaha untuk mengembalikan sekitar 78% dari dana kumpulan utama dengan mengembalikan stablecoin beku.
Halaman kompensasi yang diperbarui
Kami telah memperbarui halaman kompensasi kami hari ini! Jika Anda telah mendepositkan atau menarik token LP dari agregator hasil kami sebelum pool dijeda, jumlah kompensasi Anda akan diperbarui sebagaimana mestinya.
More https://t.co/GfLIn5jmtF— Platipus (++) (@Platipusdefi) 3 Maret, 2023
Tim juga mengonfirmasi insiden kedua dan ketiga, yang menyebabkan eksploitasi $667,000 lainnya, sehingga total kerugian sekitar $9.1 juta.
polisi Prancis menangkap dua tersangka terkait peretasan dan menyita aset kripto senilai sekitar $222,000 pada 25 Februari.
Keuangan Harapan: $1.86 juta
Beberapa hari kemudian, pengguna proyek stablecoin algoritmik berbasis arbitrum, Hope Finance, menjadi mangsa eksploitasi kontrak pintar pada 20 Februari, yang melihat sekitar $2 juta dicuri dari pengguna.
#Peringatan Komunitas @harapan_fin telah mengumumkan bahwa komunitas telah ditipu sebesar ~$2 juta menjadikan ini yang terbesar #keluar kamera tentang Arbitrum pada tahun 2023.
$1.86 juta telah ditransfer ke @Tornado.
Hope_fin telah memposting langkah-langkah bagi pengguna untuk menarik LP yang dipertaruhkanhttps://t.co/hJbFXiKujt
— Peringatan CertiK (@CertiKAlert) Februari 21, 2023
Perusahaan keamanan Web3 CertiK menandai insiden tersebut pada 21 Februari, menyusul pengumuman dari akun Twitter Hope Finance yang memberi tahu pengguna tentang penipuan tersebut.
Seorang anggota tim CertiK memberi tahu Cointelegraph pada saat itu bahwa scammer telah mengubah detail kontrak pintar, yang menyebabkan dana terkuras dari protokol genesis Hope Finance:
“Tampaknya scammer mengubah kontrak TradingHelper yang berarti bahwa ketika 0x4481 memanggil OpenTrade di GenesisRewardPool, dana ditransfer ke scammer.”
Dexible: $2 juta
Agregator pertukaran multichain Dexible terkena eksploit yang menargetkan fungsi selfSwap aplikasi, dengan cryptocurrency senilai $2 juta hilang sebagai akibat dari serangan 17 Februari.
Menurut posting 18 Februari dari bursa, “seorang peretas mengeksploitasi kerentanan dalam kontrak pintar terbaru kami. Ini memungkinkan peretas untuk mencuri dana dari dompet mana pun yang memiliki persetujuan pengeluaran yang tidak terpakai pada kontrak.”
Komunitas Dexible yang terhormat, dengan menyesal kami informasikan kepada Anda bahwa dini hari tanggal 17 Februari, seorang peretas mengeksploitasi kerentanan dalam kontrak cerdas terbaru kami. Ini memungkinkan peretas untuk mencuri dana dari dompet mana pun yang memiliki persetujuan pengeluaran yang tidak terpakai pada kontrak.
1/5
— Dexible (@DexibleApp) Februari 17, 2023
Setelah menyelidiki, tim Dexible menemukan bahwa penyerang telah menggunakan fungsi selfSwap aplikasi untuk memindahkan crypto senilai lebih dari $2 juta dari pengguna yang sebelumnya telah mengotorisasi aplikasi untuk memindahkan token mereka.
Setelah menerima token ke dalam smart contract mereka sendiri, penyerang menarik koin tersebut melalui Tornado Cash ke dalam dompet BNB yang tidak diketahui.
LaunchZone: $700,000
Keuangan terdesentralisasi berbasis rantai BNB (DeFi) protokol LaunchZone memiliki $700,000 senilai dana yang terkuras pada 27 Februari.
Menurut kepada perusahaan keamanan blockchain Immunefi, seorang penyerang memanfaatkan kontrak yang tidak diverifikasi untuk menguras dana.
“Persetujuan telah dibuat untuk kontrak yang tidak diverifikasi 473 hari yang lalu oleh penggelar LaunchZone,” kata Immunefi.
Terkait: Kerugian eksploitasi kripto di bulan Januari mengalami penurunan hampir 93% dari tahun ke tahun
Angka Februari merupakan peningkatan mencolok dari Januari, menurut angka DefiLlama.
Pelacak hanya mencantumkan $740,000 dalam peretasan ke platform DeFi dalam sebulan di dua protokol — Midas Capital dan ROE Finance.
Dalam 2023 nya Laporan Kejahatan Crypto, perusahaan data blockchain Chainalysis mengungkapkan bahwa peretas mencuri $3.1 miliar dari protokol DeFi pada tahun 2022l, terhitung lebih dari 82% dari jumlah total yang dicuri pada tahun tersebut.
Sumber: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama