12 января стартап TenArmorAlert, занимающийся безопасностью в режиме реального времени, сообщил, что злоумышленник воспользовался «процессом выкупа» UniLend, манипулируя недостатком в расчете цены акций. Это позволило злоумышленнику искусственно завысить стоимость залога и вывести средства из пула.
Атакующий внес USDC и Lido Staked Ether (stETH) в качестве залога, занял весь stETH пула, а затем погасил свои первоначальные депозиты, не возвращая заемные токены, фактически опустошив пул.
- Около 11:19:59 AM UTC была выполнена транзакция эксплойта, при этом потери, первоначально оцененные TenArmorAlert в $196.2K. Однако последующее обновление от компании SlowMist, занимающейся безопасностью web3, показало, что общие потери немного выше — $197.6K.
На момент публикации UniLend Finance не отреагировала на инцидент, а запрос о предоставлении дополнительных сведений остался без ответа.
Сектор DeFi оставался главной целью для злоумышленников в последние годы. По данным компании по судебной экспертизе блокчейнов PeckShield, около 60% всех эксплойтов и мошенничеств в 2024 году были нацелены на этот сектор.
- Одной из самых крупных атак в 2024 году стала атака Radiant Capital, предположительно осуществленная печально известной Lazarus Group, в результате которой был нанесен ущерб в размере $50 млн. Злоумышленники выдавали себя за доверенного бывшего подрядчика протокола DeFi, чтобы внедрить вредоносное ПО на устройства как минимум трех разработчиков проекта.
Эксперты Scam Sniffer задокументировали новый метод, с помощью которого злоумышленники используют безопасность блокчейна для кражи криптовалют. Только в одном случае хакеры увели $1435.46 ETH (около $460 000) всего за 30 секунд.
Некоторые онлайн-кошельки для Web3 предлагают визуальную демонстрацию результата транзакции до ее подписания. Это призвано повысить прозрачность процесса, позволяя оценить объем перевода, размер комиссии и другую соответствующую информацию о блокчейне.
Мошенники пользуются хрупкостью этой системы. Они заманивают жертв на вредоносный веб-сайт, который обещает выплатить им небольшую сумму Ethereum. Пользователь может увидеть фрагмент отличительного знака транзакции.
Однако задержка между имитацией и выполнением перевода позволяет преступникам изменять статус контракта в следе. Если пользователь подтверждает транзакцию, кошелек хакеров будет пуст.
Данные: Scam Sniffer.
По данным, опубликованным PeckShield, отмывание криптовалюты, связанное со взломами, достигло $1,3 млрд в 2024 году, что представляет собой почти трехкратный рост по сравнению с $342 млн в 2023 году. В сообщении X от 13 января фирма по безопасности блокчейна заявила, что рост отмытых средств «возможно, обусловлен ростом цен на криптовалюту», поскольку цена биткоина (BTC) выросла более чем вдвое с начала 2024 года.
- В отчёте основное внимание уделено потерям от взлома, превышающим $1 млн. Согласно данным, переброска цепочек — процесс отмывания монет между различными блокчейнами — привел к перемещению $452 млн, а смешивание монет принесло $468 млн.
Убытки от мошенничества снизились до 834,5 млн долларов США в 2024 году, что на 24% меньше, чем 1,1 млрд долларов США в 2023 году. аже несмотря на снижение, ишинговые мошенничества по-прежнему оставались большой проблемой, составляя почти 80% от общей суммы в 660 млн долларов США.
В разговоре с Cointelegraph 23pds объяснил, что, хотя атака произошла в июне 2022 года, информация была обнародована только недавно, что означает, что «группы злоумышленников могут использовать эти данные для совершения фишинга и шенничества».
Это никогда не было публично раскрыто. Теперь все данные, которые были украдены, находятся в открытом доступе и могут быть доступны любому.
23pds опубликовали скриншот сообщения с Cointelegraph, на нем было показано сообщение elegram с прикрепленным файлом под названием «opensea.io_mail_list.rar», который, как говорят, содержит 7 миллионов записей.
Объем утекших данных составил 7 миллионов, включая большой объем информации б электронной почте относительно зарубежных специалистов криптовалюты, включая многих важных деятелей, компании и KOL, сообщил 23pds в сообщении на X, которое изначально было написано на китайском языке.
Избежание нарушений, связанных с фишингом
CertiK сообщила, что фишинг был одной из самых серьезных угроз для компьютерной безопасности в 2024 году, с общим числом инцидентов 296 в том году, что позволило преступникам украсть более 1 миллиарда долларов цифровых активов.
- «Фишинг» был самым дорогостоящим вектором атак в 2011 году, как ранее сообщил Cointelegraph представитель CertiK. Наши оценки консервативны, фактическая цифра выше, если учесть зарегистрированные инциденты и другие виды фишинговых схем, такие как разделка свиней.
По словам Майкла Перла, заместителя по стратегии GТM в Cyvеrs, новое решение по надёжности блокчейна может предотвратить большинство мошенничества с криптовалютой, активно моделируя и проверяя транзакции блокчейна в независимой среде.
Если у вас есть мониторинг и упреждающее сдерживание, этот комплексный подход предотвратит большинство взломов, включая взломы нулевого дня, объяснил Перл Cointelegraph.
Криптофишинговые схемы, которые являются причиной большинства краж на сумму 1 миллиард долларов в 296 инцидентах в 2024 оду, по-прежнему являются одним из самых вредоносных векторов атак. По крайней мере три случая фишинга привели к убыткам более 100 миллионов долларов.
Проверка транзакций в цепочке предотвратила бы взлом WazirX на сумму 230 миллионов долларов.
Pearl сообщил, что решение Cyvers обнаружило бы вредоносный смарт-контракт, который вызвал взлом WazirX на 230 миллионов долларов, прежде чем средства были бы фактически утеряны.
Pearl объяснил, что решение может быть использовано для защиты от X, у которых есть только одно уязвимое место.
Причина — слабое место, потому то у вас имеется один, 2 или 3 богатых кошелька, в которых находятся миллионы долларов, и у бирж есть концепция, что деньги защищены комбинацией подписей или сторон, которые составляют большую часть денег.
- Эти атаки, называемые уязвимостями контроля доступа, привели к финансовым потерям в размере 1,9 миллиарда долларов в 2024 году, или более 81% от общих потерь, связанных с криптовалютой в киберпространстве, согласно отчету Cyvers за 2024 год.
Средства, выделенные на каждый вектор атаки. Источник: Cyvers
Смарт-контракты считаются вторым по величине вектором угроз для атак, они нанесли ущерб в размере 456 миллионов долларов в 97 инцидентах, что составляет 18% от общей украденной стоимости.