Нарушение безопасности произошло из-за сбоя в инфраструктуре. Злоумышленники получили доступ к учетным данным подрядчика на GitHub, в конечном итоге проникнув в AWS Key Management Service компании Resolv, чтобы завладеть закрытым ключом SERVICE_ROLE. С помощью этого ключа атакующий обошел лимиты на выпуск токенов (минтинг), выпуская их под минимальный залог, что позволило вывести около 24,5 млн долларов в ETH и привело к резкому депегу (потере привязки) USR. Это событие вызвало вторичную цепную реакцию в секторе DeFi, что привело к возникновению безнадежных долгов в таких протоколах, как Morpho и Fluid.

Техническая ошибка конфигурации в CAPO от Aave спровоцировала ликвидации на здоровых аккаунтах. Инцидент был вызван несоответствием параметров между snapshotRatio и snapshotTimestamp протокола, из-за чего стоимость Wrapped Staked Ether (wstETH) была занижена примерно на 2,85%. Автоматизированные боты обработали 10 938 wstETH в ходе ликвидаций, принеся ликвидаторам около 512 ETH прибыли. Chaos Labs и Aave DAO обязались полностью возместить ущерб пострадавшим пользователям. Меры по предотвращению подобных ситуаций в будущем сосредоточены на внедрении обязательного моделирования транзакций и ончейн-проверок на адекватность данных, чтобы параметры риска соответствовали рыночным реалиям.

Эксплойт был вызван логической ошибкой в смарт-контракте, которая позволила произвести двойной выпуск монет. Злоумышленник развернул два специализированных контракта для автоматизации последовательности из 22 циклов. Транзакция атаки включала 76 отдельных переводов токенов ERC-20. Заключительные этапы транзакции были сосредоточены на конвертации раздутых токенов BRO в ликвидные активы.

Злоумышленник использовал ошибку в функции swap(), которая позволяла произвольные экзекуции, что привело к краже средств у пользователей, предоставивших неограниченные аппрувалы.

Предположительно, утекшие ключи подписи валидатора и флеш-заем позволили злоумышленнику получить исключительные права голоса. Получив контроль над валидаторами, злоумышленник в том же блоке использовал средства бриджа для покупки BONE, делегировал их для увеличения голосующей силы валидатора, подписывал мошеннические контрольные точки, а затем погасил «заем» украденными активами.

Злоумышленник использовал скомпрометированный приватный ключ от аккаунта администрирующего прокси для обновления смарт контракта на вредоносную версию. Далее атакующий использовал вредоносную версию смарт контракта для опустошения баланса самого контракта, а также кошельков пользователей аппрувнувших данный смарт контракт.

Несанкционированный доступ к API Kiln, партнера SwissBorg по стейкингу, привел к краже $41.5 миллиона из программы стейкинга SOL Earn. Злоумышленники манипулировали полномочиями стейкинг-аккаунтов без необходимости многофакторного подтверждения. Это позволило им незаметно передать права, сохранив при этом роль Withdrawer, что помогло им обойти стандартные инструменты мониторинга, которые отслеживают события вывода средств. Взлом был результатом эксплуатации оффчейн API, что дало злоумышленникам контроль над ончейн-активами.

Разработчик Nemo внедрил новую, непроверенную функцию в кодовую базу после первоначального аудита безопасности, но до завершения окончательного пересмотренного отчета. В результате, версия контракта, содержащая этот непроверенный код, была развернута в основной сети. Основной причиной сбоя в управлении было то, что протокол полагался на адрес с одной подписью для обновлений, что не смогло предотвратить развертывание кода, который не прошел тщательную проверку безопасности. Кроме того, разработчик развернул другую версию кода, чем та, которая была подтверждена аудиторской компанией. Злоумышленник использовал эти непроверенные функции для манипулирования внутренним состоянием и успешно вывел значительное количество активов из пула ликвидности.

Злоумышленники использовали вредоносный клиент Zoom, чтобы получить доступ к устройству жертвы. Они использовали этот доступ, чтобы обманным путём заставить жертву подписать транзакцию, которая назначала злоумышленника доверенным делегатом Venus для их аккаунта, что позволило злоумышленнику брать и погашать займы от имени жертвы.

Злоумышленниками был получен доступ к multisig кошельку с 32 миллионами AIO токенов. Средства были перемещены и обменяны на 2 миллиона долларов.

Злоумышленник воспользовался уязвимостью в контракте-коннекторе, который автоматически конвертирует токены, приносящие доход (например, aUSDC), в USDC во время вывода средств. Используя этот недостаток, хакер совершил вывод средств от имени другого пользователя и вывел 427 000 долларов США в USDC из Aave.

Злоумышленник воспользовался отсутствием надлежащей проверки для минтинга FAVOR токенов. Он использовал левый смарт контракт в качестве поставщика ликвидности (LP) и выполнил bulk swap, чтобы получить значительный бонус, который можно было конвертировать в реальные деньги. Аудитор, zokyo, ранее сообщал об уязвимостях, напрямую связанных с этим взломом. Однако из-за недостаточного углубленного анализа серьезность этих уязвимостей была понижена до низкого уровня.

Турецкая криптобиржа BTCTurk подверглась взлому на 48 миллионов долларов. Атака включала утечку приватных ключей, что позволило злоумышленникам вывести средства из «горячих» кошельков в семи разных блокчейнах. Биржа приостановила предоставление криптовалютных услуг.

Odin.fun, платформа для запуска и торговли мемкоинами на базе биткойна, подверглась эксплойту. Атака использовала уязвимость в инструменте автоматического маркет-мейкинга, появившемся в последнем обновлении платформы. Злоумышленники провели схему манипуляции ликвидностью: они добавляли токены, такие как SATOSHI, чтобы поднять цены, а затем выводили свою ликвидность, чтобы обналичить средства в биткойнах.

Атакующий использовал роль BRIDGE для выпуска токенов без надлежащего обеспечения. Затем эти токены были использованы в качестве залога для займов в других токенах. Заёмные средства (обеспеченные необеспеченными токенами) были выведены и отмыты в сети Ethereum.

Контроль доступа в функции updateMerkleRoot() был сконфигурирован неверно. Вместо проверки на то что вызывающий адрес ЯВЛЯЕТСЯ владельцем, код проверял на то что они им НЕ ЯВЛЯЕТСЯ. Эта ошибка в кодировании смарт контракта позволила злоумышленнику сформировать поддельный корень Merkle и обновить им смарт контракт. Сфабрикованный корень позволил злоумышленнику отозвать из смарт контракта токены.

Злоумышленник скомпрометировал устройство разработчика при помощи фишинговой атаки. Доступ был получен к среде разработки. Злоумышленник инициировал снятие средств с 9 пользовательских аккаунтов.

Инцидент был связан с несанкционированным доступом к операционному кошельку, используемому для обеспечения ликвидности на партнерской бирже.

Атака на цепочку поставок, которая скомпрометировала инфраструктурный слой, позволив злоумышленникам изменить логику контроля учетных записей и анализа рисков.

Протокол имел систему автоматического отключения (circuit breaker), которая сработала при развертывании вредоносного контракта. Однако встроенный механизм, разработанный для предотвращения бессрочной приостановки работы протокола, был использован злоумышленником против самого протокола. Когда команда провела симуляции с вредоносным смарт-контрактом и не обнаружила возможных путей эксплойта, они возобновили работу протокола. Последующие действия злоумышленника не были остановлены из-за ранее описанного ограничителя на повторную приостановку работы протокола. Злоумышленник использовал мгновенные займы (flash loans) и вредоносные данные вызова (calldata), чтобы опустошить счета жертв. Основной причиной взлома стало отсутствие проверки данных вызова.

В тысячах контрактов, использующих ERC1967Proxy, была обнаружена критический бэкдор. Хакеру удалось опередить инициализацию прокси, установить свой прокси-контракт и оставаться незамеченным из-за ошибки в блокчейн эксплорерах. Хакер сминтил 110 000 токенов K и начал атаку по опустошению хранилища Morpho и пула Uniswap v4.

Эксплойт произошел из-за вредоносного смарт контракта, созданного злоумышленником, который использовался для перехвата потока выполнения во время выполнения ордера. Основная причина включает неявное предположение в функции executeDecreaseOrder() о том, что параметр _account является пользовательским адресом (EOA), хотя на самом деле это может быть вредоносный смарт контракт. Эта уязвимость привела к сложной многоэтапной атаке, в ходе которой злоумышленник смог искусственно завысить оценку активов под управлением протокола (AUM) и обменять GLP на большее количество средств, чем полагалось.

Злоумышленник смог использовать функцию ребалансировки контракта Texture Vaults для запуска перевода. Злоумышленник предоставил свой собственный токен-счет, который Хранилище по ошибке заполнило LP-токенами во время ребалансировки. Затем злоумышленник обменял эти LP-токены на реальную ликвидность.

Пользователь использовал пул с низкой ликвидностью в качестве оракула при настройке пода. Злоумышленник смог манипулировать этим пулом с помощью флэш-займа, после чего был взят займ с недостаточным обеспечением.

Злоумышленник атаковал контракт ResupplyPair, использующий манипулированную цену, сразу после его развертывания. Основой была манипуляции обменным курсом, вызванная классической атакой хранилища ERC4626 «первое пожертвование», что привело к сценарию «деления на большое значение», обрушившему обменный курс до нуля. Этот манипулированный курс использовался для вычисления LTV заемщика в проверке _isSolvent(). Поскольку ltv = 0, когда exchangeRate = 0, злоумышленник обошел проверку на платежеспособность и занял 10 миллионов reUSD, используя всего 1 вей залога.

Эксплойт относился к смарт контракту для неопубликованной функции левереджа, развернутой для целей тестирования. Он был направлен на периферийный контракт, использующий fillQuote для вызова silo.borrow(), манипулируя параметрами для атаки на тестовый кошелек команды Silo.

Кросс-чейн бридж Hacken был взломан. Приватный ключ, связанный с учетной записью с правами на выпуск токенов (минтинг), был скомпрометирован, что позволило злоумышленникам выпустить огромное количество токенов HAI, а затем быстро продать их на децентрализованных биржах. Приватный ключ был связан с ролями минтинга в сетях Ethereum и BNB Chain. Злоумышленникам удалось выпустить около 900 миллионов токенов HAI.

Nobitex, крупнейшая иранская криптовалютная биржа, стала целью крупной кибератаки, ответственность за которую взяла на себя произраильская хакерская группа Gonjeshke Darande, также известная как Predatory Sparrow. Группа заявила, что Nobitex поддерживала военную деятельность Ирана и помогала пользователям обходить международные санкции, представив этот акт как символическое послание, связанное с эскалацией напряженности между Израилем и Ираном. Взлом включал кражу криптовалюты из горячих кошельков Nobitex на нескольких EVM и Tron блокчейнах. Хакерская группа сожгла криптоактивы, фактически уничтожив их, а не присвоив себе с целью получения прибыли.

Злоумышленник использовал критическую уязвимость целочиселенного переполнения (integer underflow) в функции BankrollNetworkStack.sell() для манипулирования подсчетом дивидендов и вывода средств у пользователей, которые ранее взаимодействовали с контрактом или одобрили его.

Уязвимость возникла из-за отсутствия переопределения или ограничия доступа к публично доступной базовой функции mint(), унаследованной от стандарта OpenZeppelin ERC4626Upgradeable, что позволило злоумышленникам сминтить 9701 mpETH без отправки какого-либо ETH.

Эксплойт возник из-за уязвимости в логике верификации функции пользовательского листинга. Злоумышленник использовал критическую уязвимость в логике верификации функции create2, указав неудачную транзакцию, что позволило вредоносному токену обойти проверки и перевести средства из пулов ликвидности.

Злоумышленник совершил атаку на цепочку поставок, чтобы украсть приватные ключи. Утекшие ключи затем использовались для разблокировки средств из смарт контрактов бриджа. Атака на цепочку поставок была нацелена на код валидатора, вредоносный код был внедрен в образ Docker во время сборки.

Была использована уязвимость в контракте миграции Mendi-to-Malda. Контракт позволял динамически передавать адрес контроллера Mendi, вместо того чтобы быть константой. Злоумышленник использовал функцию, которая была разработана исключительно для того, чтобы пользователи протокола Mendi могли напрямую мигрировать в Malda. Злоумышленник задеплоил фейковый контракт контроллера Mendi, что позволило ему создать поддельную позицию Malda и вывести средства с нее.

Основная причина эксплойта кроется в двух критических недостатках протокола Cork. Во-первых, контракт конфигурации протокола (CorkConfig) позволял пользователям создавать рынки с произвольными активами погашения (RA), что дало злоумышленнику возможность назначить DS в качестве RA. Во-вторых, функция beforeSwap контракта CorkHook не имела надлежащего контроля доступа и проверки входных данных, что позволяло любому вызывать ее с пользовательскими данными хука для операций CorkCall. Используя эти уязвимости, злоумышленник создал вредоносный рынок, используя DS в качестве RA, и использовал действительные токены DS с легитимного рынка для депонирования на этот поддельный рынок. Взамен они получили как токены DS, так и токены CT. Из-за отсутствия ограничений на типы RA и недостаточной проверки вызывающей стороны и входных данных злоумышленник смог манипулировать ликвидностью и выполнять несанкционированные выкупы, истощая исходный рынок. Эта манипуляция позволила им приобрести большое количество деривативов, которые они в конечном итоге обменяли на 3,761 wstETH. Фундаментальная причина эксплойта заключается в неспособности протокола строго проверять данные, предоставленные пользователем, и применять надлежащие ограничения на создание рынка.

Злоумышленник использовал ситуационную уязвимость в пути пополнения хранилища usUSDS++, бета-хранилища, построенного на базе протокола Sky. Уязвимость была связана с процессом "развертывания" (unwrap), при котором USD0++ конвертируется в USD0 во время пополнения. Манипулируя маршрутом пополнения хранилища, в частности ограниченным преобразованием из USD0++ в USD0, злоумышленник реализовал арбитражную стратегию и получил прибыль около $42 800. Хранилище прошло 4 аудита безопасности за последние месяцы. Эксплойт не был вызван ошибочной логикой. Вместо этого он использовал небезопасный пограничный случай.

Отсутствие валидации цены Chainlink Oracle позволило злоумышленнику использовать старую, но все еще криптографически действительную подпись цены для открытия позиции. Злоумышленник использовал значительно устаревшую цену ETH около $1816, в то время как реальная рыночная цена была ближе к $2520. Разница в ценах активов была извлечена в качестве прибыли.

Ошибка в методе проверки переполнения целых чисел позволила злоумышленнику выпустить необеспеченные SUI.

старевший смарт контракт содержавший уязвимость всё ещё использовался в качестве оракула для цены токена до атаки. Злоумышленник использовал пожертвование, чтобы эксплуатировать уязвимость в коде и искусственно завысил цену dGLP. Затем злоумышленник использовал переоцененный dGLP в качестве залога для займа.

Последовательность атаки основывалась на получении обширных административных привилегий. Роль администратора была предоставлена адресу злоумышленника с помощью кошелька Zunami Protocol Deployer Wallet. Позже злоумышленник осуществил эксплойт, напрямую вызвав функцию withdrawStuckToken() в стратегии Zunami – функцию, предназначенную для экстренного вывода средств. Этот вызов позволил злоумышленнику перевести 296 456 LP токенов, представляющих обеспечение для zunUSD и zunETH, непосредственно на свой адрес.

Непроверенный смарт контракт содержал простую логическую ошибку, которая позволила злоумышленнику вывести всю ликвидность. Основной причиной было использование лишнего множителя 1e18 в функции оценки стоимости депозита.

Инцидент был связан с разработчиком, нанятым командой, который оказался тайным IT-сотрудником КНДР. Злоумышленник получил доступ к административным ключам и осуществил ряд несанкционированных транзакций. Злоумышленник развернул модифицированную версию контрактов AToken и VariableDebtToken. В этой версии модификатор контроля доступа onlyPool был изменен, чтобы разрешить не только контракту Pool, но и любому адресу с ролью администратора выполнять функции, которые изначально были ограничены. Злоумышленник использовал скомпрометированный кошелек для опустошения всех пулов.

Используя недостатки в коде протокола, злоумышленник создал пул ликвидности вдали от текущей цены и сгенерировал значительные комиссии посредством "отмывочных" свопов. Эти комиссии затем были использованы для завышения оценки залога, опираясь на ошибочную математику смарт-контракта. Впоследствии злоумышленник брал займы под этот переоцененный залог. Однако реинвестирование позже снизило стоимость залога, что привело к необеспеченному долгу. Этот долг затем был реструктурирован без ликвидации, что позволило злоумышленнику сохранить незаконно полученные средства.

Во время внутреннего обновления оракула tETH было внесено несоответствие в точности десятичных знаков между компонентами оракула. Эта несогласованность привела к некорректным выходным данным о цене tETH. Анонимный ликвидатор произвел ликвидации в период, когда действовала некорректная цена tETH.

Loopscale стал мишенью атаки, которая была нацелена на логику ценообразования токенов RateX. Подделав интерфейсы контракта RateX PT, злоумышленник смог взять серию необеспеченных кредитов. Уязвимый код был развернут как часть новой интеграции с RateX до того как прошел официальный аудит безопасности.

Деплойер Oxya Origin, по всей видимости, был скомпрометирован, в результате чего право собственности на смарт контракт токена $OXYZ было передано на сторонний адрес (0x2a00d9941ab583072bcf01ec2e644679e4579272). Злоумышленник сминтил 9 миллиардов $OXYZ, обменял на $45 тыс. и перевел средства через бридж Stargate.

Уязвимость в функции overPaper смарт контракта BTCMapp позволила злоумышленнику вывести 1311 ETH, что эквивалентно $2 228 700.

Злоумышленник манипулировал ценой токена $NUMA, одновременно открывая крупные короткие и длинные позиции, снижая залог путем самоликвидации и выводя профит через волт.

Злонамеренный разработчик внедрил код в смарт-контракт стейкинга, что позволило ему осуществить экстренный вывод средств из пула ликвидности, в результате чего было украдено токенов на сумму около 490 ETH.

Уязвимость возникла в контракте TrustedForwarder, который наследовался от MinimalForwarderUpgradeable из библиотеки OpenZeppelin, но не переопределял метод execute. В результате этот метод остался с открытым доступом и был подвержен атаке. Злоумышленник воспользовался этим недостатком, напрямую вызвав исходную функцию execute из MinimalForwarderUpgradeable. В рамках одной транзакции злоумышленник открыл позицию по искусственно заниженной цене, а затем закрыл ее по более высокой цене, получив неправомерную прибыль за счет этого эксплойта.

Злоумышленник использовал скомпрометированную учетную запись администратора для выпуска оставшихся невостребованных токенов ZK, используемых для аирдропа ZKsync 17 июня 2024 года. Хакер успешно завладел 111 881 122 токенами ZK.

Приватные ключи были скомпрометированы. Злоумышленник затем использовал эти ключи для обновления функции в контракте на вредоносную, что позволило ему вывести средства.