W skrócie ⚡

  • Wykorzystano token górnika za 463,4 tys. dolarów: luka w zabezpieczeniach ERC-X prowadzi do 87% spadku ceny

  • DeFi wykorzystuje Strike BSC: @particle_trade i @dualpools ponoszą straty o łącznej wartości 180 tys. dolarów

  • Crypto Casino Duelbits traci 4,6 miliona dolarów w wyniku exploitów; Haker wykorzystuje zamianę zasobów, aby zaciemnić trop

    Odwiedź QuillMonitor

Haki i oszustwa⚠️

GórnikCx

Kwota straty: ~ 463 tys. dolarów

Analiza

  • Token Miner ERC-X po exploitie z 14 lutego stracił około 168,8 ETH (o wartości około 463,4 tys. dolarów), co doprowadziło do spadku jego ceny o 87%.

  • Exploit został przypisany luce w inteligentnym kontrakcie, w szczególności w funkcji _update, która błędnie przyznawała darmowe tokeny, gdy użytkownicy przekazali sobie tokeny.

  • Atakujący wykorzystał tę lukę, wysyłając sobie tokeny w ramach wielu transakcji, co spowodowało, że podczas obliczania salda liczba tokenów na koncie atakującego podwoiła się.

  • Zespół Miner Team odpowiedział, ogłaszając plany ponownego audytu podatnego kontraktu i ponownego wdrożenia go po naprawieniu. Zamierzają wykorzystać pozostałą płynność wynoszącą około 130 ETH do ponownego wdrożenia i planują wykonać migawkę przedeksploatacyjną obecnych posiadaczy.

  • Dodatkowo zespół podjął próbę negocjacji z atakującym za pomocą wiadomości łańcuchowej, oferując 30% nagrody (około 120 tys. dolarów) w zamian za zwrot skradzionych środków. Jednak do tej pory atakujący nie odpowiedział na tę ofertę.

Handel cząsteczkami i podwójna pula

Wysokość straty: ~139 tys. dolarów i 41 tys. dolarów

Analiza

  • Dwa protokoły DeFi, @particle_trade i @dualpools, padły ofiarą ataków skutkujących znacznymi stratami, wynoszącymi odpowiednio około 139 tys. i 41 tys. dolarów.

  • @particle_trade potwierdził istnienie exploita, przypisując go niesprawdzonym danym wprowadzonym przez użytkownika w ramach wcześniej wycofanego kontraktu NFT, zapewniając jednocześnie, że jego obecny protokół pozostał nienaruszony.

  • @dualpools jednak nie potwierdziło jeszcze oficjalnie włamania, mimo że szczegóły dotyczące wykorzystania luki zostały ujawnione publicznie.

  • Podział środków skradzionych z wykorzystaniem exploita @dualpools obejmuje różne kryptowaluty, takie jak BNB, BTCB, ETH, ADA i BSC-USD.

  • Zidentyfikowano i udostępniono konkretne adresy transakcji i kontraktów powiązane z exploitem @dualpools, co pozwala na wgląd w złośliwą aktywność.

Pojedynek

Wysokość straty: ~4,6 mln USD

Analiza

  • 13 lutego platforma kryptokasyna Duelbits padła ofiarą poważnego ataku, w wyniku którego utracono kryptowaluty o wartości około 4,6 miliona dolarów.

  • Atak miał na celu wykrycie portfeli Duelbits w sieciach Ethereum ($ETH) i Binance Smart Chain ($BNB).

  • Chociaż firma Duelbits nie wydała jeszcze oficjalnego oświadczenia w sprawie włamania, spekuluje się, że potencjalnymi przyczynami mogły być zhakowanie klucza prywatnego lub utrata dostępu do portfela.

  • Wśród skradzionych środków znajdowały się różne tokeny, takie jak USDT, APE i SHIB. Atakujący próbował ukryć trop, podmieniając aktywa z łańcucha BNB na Ethereum.

  • Aby ominąć ograniczenia związane z opłatami za gaz podczas wymiany aktywów, haker wykorzystał usługę FixedFloat umożliwiającą szybką wymianę kryptowalut.

Odkryj głębiny wiedzy: prace badawcze, blogi i tweety🔖

Tweety

  1. ALARM ALFA: Właśnie znalazłem fajny, dobrze opracowany sposób podejścia do bazy kodu podczas audytu inteligentnych kontraktów. Analiza inteligentnych kontraktów Jest to stosowane w Web2. Nazywają to analizą skażeń.

  1. A co z jedzeniem już przygotowanym do dostawy?

  1. Wygląda na to, że ten nowy szum wokół ERC404 ma zabawny efekt uboczny w swoim _transf

  1. Każdy język blockchain lub inteligentnych kontraktów powinien być świadomy „lawiny samouczków” i zrobić wszystko, aby ją wywołać.

  1. 3 obowiązkowe listy kontrolne, które należy przejrzeć przed przeprowadzeniem audytu bezpieczeństwa inteligentnych kontraktów w bazie kodu:

Repozytoria GitHub

  1.  zasoby uniswap

Artykuły

  1. 6 grzechów bezpieczeństwa mostów Web3

  2. Manipulacja kursem wymiany w skarbcach ERC4626

  3. ZK-Audyt

  4. Wrażliwe punkty protokołów pożyczkowych

  5. Ethereum wykonuje hard fork blockchain, aby zwrócić fundusze DAO

Społeczność Web3 w centrum uwagi🔦

Transformacja aktywów: Odblokowanie tokenizacji aktywów w świecie rzeczywistym

Dziękujemy za przeczytanie HashingBits! Udostępnij podsumowanie naszego newslettera na swoich platformach społecznościowych, oznacz nas i użyj hashtagu #AwareToEarn, a możesz wygrać 10 USDT jako nagrodę! Pomóż nam zbudować bezpieczniejszy ekosystem Web3 i miej szansę na zdobycie nagród i wsparcie naszej pracy.

Subskrybuj teraz