Категории
Все монеты
Курсы
Криптобот 💎
Калькулятор
Прогнозы
Отзывы о криптовалютах
Ближайшие аирдропы криптовалют
Обучение арбитражу криптовалют
По странам
На русском языке
Белорусские
Украинские
Американские
Японские
Корейские
Китайские
Турецкие
Казахстанские
Мониторинг обменников
Криптокарты 💎
Приложения для обмена
Другие рейтинги
Инфографика
NFT
DeFi
Мероприятия
Регулирование
Криптопроекты
Безопасность
Институциональные инвесторы
Майнинг
Эксперты
Инвестирование
Интервью
Биткоин
Эфириум
Эксперимент
Купить оборудование для майнинга
Онлайн-калькулятор доходности майнинга
Доходность асиков и цена
Майнинговые компании
Книги про майнинг криптовалют
Индекс страха и жадности
Календарь листинга криптовалют на биржах
Календарь ICO
Рейтинг IDO-площадок
Халвинг Биткоина
Рынок NFT
Академия криптовалют
Телеграм-каналы про криптовалюту
Аккаунты о крипте в Twitter
Вопросы и ответы
Закон
Обратная связь
Редакция
Книга о криптовалюте
Пожаловаться на биржу
Комьюнити
Блоги
Форум
Топ-100 СМИDeFi-протокол Arcadia Finance стал жертвой хакерской атаки на $455 тыс.
Эксперты из компании по безопасности блокчейнов Beosin отметили, что сегодня, 10 июля 2023 года, был взломан очередной протокол децентрализованных финансов (DeFi). Речь шла об Arcadia Finance. По словам специалистов, злоумышленники похитили около $455 тыс. в сетях Ethereum и Optimism.
После того, как киберпреступники осуществили эксплойт протокола, они отправили примерно $332 тыс. через сервис микширования Tornado Cash. Как правило, данный инструмент используется для отмывания средств и «запутывания следов». По мнению экспертов, основной причиной успеха данной атаки стало «отсутствие проверки параметров ввода злоумышленника». Это позволило хакеру «одобрить заемные средства для вредоносного контракта».
По словам исследователей, атаке способствовали 3 причины: «кредитное плечо, контролируемые данные действий и повторный вход». Аналитики отметили, что киберпреступник использовал популярную функцию мгновенного кредита (flashloan) и таким образом успешно взломал Arcadia Finance.
Исследователи безопасности блокчейнов объяснили, как хакеру удалось успешно осуществить задуманное. Злоумышленник вызвал функцию doActionWithLeverage, чтобы увеличить сумму средств в 5 раз и внести депозит в контракт ActionMultiCall. Затем он передал вредоносный файл actionData.
Поскольку данный параметр не требует никаких проверок, киберпреступник «смог утвердить WETH и USDC для вредоносного контракта с разрешением», а затем вызвать функцию transferFrom() для перевода одобренных средств.
Специалисты из Beosin пояснили: так как контракт будет проверять на предмет, являются ли средства «нормальными» после перевода, злоумышленнику необходимо повторно ввести контракт с кредитным плечом. Это позволило выполнить процедуру ликвидации и таким образом обойти валидацию.
Монеты
Обменники
Вход/регистрация
Обучение
Форум