🚨 Еженедельный отчет о безопасности SlowMist (1 - 7 декабря 2024) 🚨
Снова наступило время недели, когда мы подводим итоги. Давайте взглянем на инциденты безопасности за эту неделю и как они выглядят в целом. (Честно говоря, неделя не такая уж плохая)
Общие зафиксированные потери: более $1.64 миллиона 😅, что является одним из самых низких показателей за последнее время, но это только те случаи, о которых сообщается.
1️⃣ Эксплуатация Vestra DAO
Потери: ~$500,000
Уязвимость в контракте блокировки стейкинга Vestra DAO позволила хакеру получить больше вознаграждений, чем было заработано. Атакующий постепенно продал 73,720,000 VSTR токенов, что привело к значительным потерям ликвидности на Uniswap.
2️⃣ Атака на Clipper DEX
Потери: ~$457,878
Уязвимость контракта в функции единовременного депозита и вывода Clipper позволила атакующему манипулировать ликвидными пулами на Optimism и Base, выводя больше активов, чем было внесено.
3️⃣ Утечка безопасности MAAT
Потери: ~$240,000 (USDT)
Уязвимость безопасности в альфа-версии MAAT позволила осуществлять несанкционированные выводы. Примерно $240K USDT было потеряно.
4️⃣ Утечка ключа DeBox
Потери: ~$275,000
Утечка приватного ключа из EOA-кошелька операционного аккаунта привела к краже 31.03 ETH и 4.879M BOX токенов.
5️⃣ Атака на RunWay (BYC)
Потери: ~$100,000
RunWay (BYC) на BSC стал жертвой уязвимости контракта, что привело к потерям около $100K.
6️⃣ Эксплуатация GAGAW
Потери: ~$70,000
GAGAW на BSC пострадал от атаки на уязвимость контракта, потеряв около $70K.
7️⃣ Компрометация кошелька экосистемы Arata и CEX
Потери: неизвестно
Arata подтвердил, что его экосистема и кошелек CEX были скомпрометированы. Хотя деталей мало, а сумма не указана, ясно, что токены были проданы хакером.
🔑 Основные выводы:
Уязвимости контрактов повсеместны:
Несколько инцидентов (Clipper DEX, Vestra DAO, RunWay, GAGAW) подчеркивают постоянную угрозу недостатков смарт-контрактов. Необходимы тщательные аудиты, тестирование и строгие протоколы безопасности.
Безопасность приватных ключей критически важна:
Потеря DeBox подчеркивает, насколько разрушительной может быть одна скомпрометированная приватная ключ. Всегда защищайте приватные ключи с помощью лучших мер безопасности и рассматривайте аппаратные решения.
Продолжающаяся бдительность пользователей:
Хотя инциденты на этой неделе касались прямых атак, а не захватов аккаунтов или фишинга, пользователи должны оставаться осторожными, проверять надежность проектов и следить за официальными сообщениями.
Помните, это только зафиксированные инциденты. Всегда оставайтесь в курсе, будьте скептичными к неожиданным событиям и проводите собственное расследование перед тем, как взаимодействовать с любой платформой.
Для получения более подробной информации посетите https://t.co/e90CSvTm6B.
Как всегда, оставайтесь бдительными!