Ущерб от взломов криптопроектов в ноябре составил 349 млн долларов

Что произошло? Согласно данным аудиторской блокчейн-компании SlowMist, в ноябре ущерб от хакерских атак на криптопроекты составил 349 млн долларов. Из них 15,8% приходится на эксплойты пулов ликвидности, 7,5% — на утечки API-ключей, 4,2% — на атаки методом мгновенного займа и манипуляции рынками, однако природа большей части инцидентов остается неизвестной.

Отчет SlowMist

Крупнейшие атаки ноября. За месяц зафиксировано 47 инцидентов, в частности пострадали следующие проекты:

• 1 ноября лендинговый DeFi-протокол Onyx потерял 1165 ETH на 2,1 млн долларов, хакеры манипулировали процентными ставками для займа большего объема средств и проведения атаки, а затем перевели средства в криптомикшер Tornado Cash, который находится под санкциями США с августа прошлого года.

• 6 ноября был атакован стекинговый контракт межсетевой доходной платформы TrustPad. Хакер использовал уязвимость для многократного вызова функции получения вознаграждений за стекинг, а затем вывел $155 000.

• 7 ноября DeFi-протокол для лендинга стейблкоинов TheStandard.io потерял $290 000, злоумышленник воспользовался низкой ликвидностью в пуле PAXG для манипулирования рынком. При этом 9 ноября он вернул проекту $265 000.

• 8 ноября из горячего кошелька австралийской криптобиржи CoinSpot вывели 1238 ETH на 2,5 млн долларов, предполагаемой причиной стала утечка закрытого ключа.

Потерянные криптокошельки: можно ли вернуть активы

Рассказываем, какие меры следует соблюдать при самостоятельном хранении цифровых активов

Читать дальше

• 11 ноября в результате атаки на протокол Raft в сети Ethereum было выпущено 6,7 млн стабильных монет R и потеряно 3,3 млн долларов в ETH. Причиной стала уязвимость механизма выпуска монет.

• 14 ноября хакер взломал кошелек администратора сети Exzo и присвоил своему адресу право управления контрактом нативной монеты XZO. После этого он выпустил большой объем XZO и вывел 169 ETH на $310 000 из пула ликвидности XZO/ETH на бирже Uniswap.

• 18 ноября биржа dYdX была вынуждена выделить из своего страхового фонда 9 млн долларов для покрытия ликвидаций позиций пользователей в токене YFI, на рынок которого, по словам руководства, была совершена целенаправленная атака.

• 19 ноября маркетмейкер Kronos Research из-за утечки API-ключей потерял 13 007 ETH на 26 млн долларов и был вынужден приостановить торговлю, что, в свою очередь, нанесло ущерб бирже WOO. Kronos был основным поставщиком ликвидности WOO, и приостановка торгов привела к ликвидации позиций пользователей биржи, однако ущерб им уже был возмещен.

• 10 и 22 ноября биржи Poloniex и HTX, а также кроссчейн-протокол Heco под руководством Джастина Сана в результате двух атак потеряли свыше 243 млн долларов, при этом в SlowMist не указали возможную причину взломов. Команда Сана также проводит расследование и уже анонсировала эйрдроп среди пользователей обеих бирж по итогам полного возобновления торговли.

HTX и Poloniex проведут эйрдроп после взлома на сумму свыше 210 млн долларов

Событие будет приурочено к полноценному восстановлению функций депонирования и вывода средств

Читать дальше

• 23 ноября биржа KyberSwap из-за уязвимости механизма обмена токенов потеряла 54,7 млн долларов. В ходе переговоров злоумышленник отказался от вознаграждения в обмен на возврат большей части средств и потребовал передать ему контроль над проектом. Он заявил, что после этого выкупит доли руководства в комппании, удвоит зарплаты сотрудникам и выплатит 50% поставщикам ликвидности, однако держатели нативных токенов в результате их обесценения останутся ни с чем.

«Это больше, чем вы заслуживаете». Хакер KyberSwap потребовал передать ему полный контроль над протоколом

В этом случае он обещал выкупить доли руководителей и удвоить зарплату сотрудникам

Читать дальше

Отдельно аналитики упомянули и случаи мошенничества. За месяц они зафиксировали 24 схемы, реализованных по методу Rug Pull, когда разработчики крадут все средства инвесторов. Большая часть инцидентов произошла в сетях Binance Smart Chain и Ethereum.