Найбільші криптозломи за перший квартал 2024 року

У цій статті ми перерахували основні експлойти, що відбулися в криптовалюті в першому кварталі 2024 року. 

Orbit Chain ($81,5 млн)

Рік почався з найбільшої атаки першого кварталу — зламу Orbit Chain на суму $81,5 млн. 1 січня кросчейн-платформа повідомила в твітері про неідентифікований доступ. Згодом з'ясувалося, що хакеру вдалося провести транзакції з різних гаманців і вкрасти ETH, USDT, USDC, WBTC і DAI. Попри спроби Orbit Chain зв'язатися з хакером, відповіді не надійшло. 

Південнокорейська блокчейн-компанія Ozys, що стоїть за розробкою Orbit, почала розслідування спільно з поліцією та Агентством інтернету і безпеки. Вони також провели аудит, щоб поліпшити систему захисту платформи. У січні у своєму блозі Ozys звинуватила у зламі свого попереднього керівника служби безпеки. Компанія повідомила, що під час перевірки виявила, що колишній співробітник вніс зміни в проєкт безпеки мережі, нікого про це не повідомивши. Пізніше ця людина добровільно пішла у відставку. Ozys заявила, що вживе цивільних і кримінальних заходів для з'ясування причин зламу. 

Наступним за масштабом став експлойт GameFi-платформи Munchables, побудованої на Blast, Layer 2 блокчейну Ethereum. 27 березня Munchables оголосила, що її зламали. Хакеру вдалося вивести з платформи понад 17 000 ETH. Після багатогодинного розслідування, проведеного PeckShield і ZachXBT, стало відомо, що за зламом стоїть один із розробників Munchables. На щастя, інцидент мав відносно щасливий кінець, оскільки вже колишній розробник погодився повернути кошти без будь-яких умов. 

Ще одну GameFi-платформу зламали в лютому. 10 лютого компанія PlayDapp повідомила про критичне порушення безпеки. Хакер виявив уразливість у смартконтракті токенів PLA і зміг випустити 200 мільйонів цих токенів, які на той момент коштували близько $36,5 млн. У відповідь PlayDapp повідомила біржам-партнерам про припинення торгівлі токенами PLA. Вони також надіслали хакеру ончейн-повідомлення із закликом до переговорів. Однак в останнього були інші плани, і 13 лютого він здійснив повторну атаку. Цього разу хакер намінтив 1,59 мільярда токенів на суму понад $253 млн. Після цього PlayDapp оголосила про перехід на новий токен, PDA, що ускладнило зловмиснику можливість отримати вигоду від вкрадених активів. На порталі переходу з PLA на PDA власники токенів можуть обміняти свої токени на нові. 

У середині лютого децентралізована біржа FixedFloat постраждала від великого експлойту, втративши $26,1 млн у біткоїнах та ефірі. Біржа не поспішала офіційно повідомляти про те, що трапилося. Це наштовхнуло деяких користувачів на думку про те, що це був rug pull — вид шахрайства, коли засновники проєкту зникають із коштами користувачів. Тим часом сайт не працював і відображав повідомлення, що ведуться технічні роботи. У березні FixedFloat відновила роботу і переїхала на новий домен. У блозі біржі було опубліковано повідомлення про те, що понад тридцять ордерів, призупинених під час зламу, було виконано. FixedFloat зазначила, що шкоди було завдано тільки сервісу, а кошти користувачів перебувають у безпеці. У відповідь на занепокоєння людей команда написала: 

Хакери не залишили без уваги й ігрову платформу Gamee. 23 січня проєкт оголосив про інцидент, пов'язаний із порушенням безпеки. У своєму твітері GAMEE повідомила, що хакер отримав доступ до приватних ключів і смартконтрактів платформи, скориставшись уразливістю в репозиторії GitLab — платформі для розміщення коду. Це дало змогу зловмиснику отримати контроль над приблизно 600 мільйонами токенів GMEE та виконати несанкціоновану конвертацію в MATIC і ETH. Виявивши злам, GAMEE призупинила роботу моста Polygon-Ethereum і припинила торгівлю смартконтрактами, що зазнали атаки. Однак 200 мільйонів токенів залишилися під контролем хакера. Проєкт підкреслив, що експлойт зачепив тільки запаси токенів команди, але не активи, що належать спільноті.

Останній великий злам за цей квартал стався наприкінці березня і був спрямований на DeFi стейкінг-платформу Prisma Finance. 28 березня Prisma Finance повідомила у твітері про можливий експлойт та вказала, що призупинила роботу протоколу, щоб розслідувати цю справу. За даними компанії Hacken, що спеціалізується на безпеці блокчейну, зловмисник зміг отримати $11,7 млн за допомогою кількох атак на флеш-кредити. Prisma заявила, що всі кошти, що залишилися, у безпеці і команда працює над відновленням грошових коштів та вирішенням ситуації.

6 березня DeFi платформа WOOFI повідомила про злам свого смартконтракту на базі мережі Arbitrum. Зловмисники виявили вразливість в алгоритмі коригування цін платформи, яка давала змогу маніпулювати цінами. Для цього використовувався функціонал флеш-кредитування, який дає змогу брати кошти в борг без надання застави. Спочатку хакер взяв близько 7,7 мільйона токенів WOO через флеш-кредит, а потім продав активи в пул. Велика кількість продаваних токенів змусила алгоритм знизити ціну на токени WOO. Домігшись цього, хакер обміняв велику кількість токенів WOO (близько 10 мільйонів) на інші активи, повторивши атаку 3 рази і заподіявши збитки в розмірі $8,75 млн. Щоб повернути кошти, WOOFI запропонувала хакеру винагороду в розмірі 10 %. Також команда платформи повідомила користувачам, що вони працюють над виправленням контракту і підвищенням безпеки платформи.