В новом DeFi-протоколе создателя yEarn.Finance обнаружили критическую уязвимость

Эксплойт, обнаруженный в смарт-контракте запущенного накануне DeFi-проекта yCredit, позволяет вывести все средства пользователей, заявил блокчейн-разработчик Нур Хариди. IMPORTANT The yCredit contract is vulnerable to an economic attack that can cause loss of all user funds. If you deposited into the contract using Etherscan or bought yCredit on Sushiswap, withdraw or sell it immediately. I’ll publish the exploit after all funds […]

» Read more

Токен DeFi-протокола Cover обвалился на 90% после атаки

Токен DeFi-протокола Cover обесценился более чем на 90% после того, как неизвестный злоумышленник воспользовался уязвимостью в коде и смог увеличить эмиссию. Ведущий разработчик yEarn.Finance под ником banteg призвал пользователей как можно скорее выводить ликвидность. Remove COVER liquidity ASAP, the rewards contract has been exploited. — banteg (@bantg) December 28, 2020 По его словам, команда проекта не смогла своевременно остановить выпуск, […]

» Read more

Эксперты рассказали, сколько средств хакеры и мошенники украли у пользователей криптовалют за девять лет

За последние девять лет, с 2011 по 2020 год, пользователи криптовалют лишились активов на $7,6 млрд в результате 113 атак и 23 мошеннических схем. Это сопоставимо с ВВП Монако, говорится в отчете аналитического сервиса Crystal Blockchain. [caption id="attachment_116254" align="aligncenter" width="1024"] Динамика ущерба по годам и типам инцидентов. Данные: Crystal Blockchain.[/caption] В отчете специалисты Crystal изучили все взломы, уязвимости и мошеннические схемы в индустрии. Наиболее популярными объектами для атак стали биржи из США, Великобритании, Южной Кореи, Японии и Китая. Крупнейшим по масштабам ущерба инцидентом считается взлом японской торговой площадки Coincheck в 2018 году. Авторы отчета считают, что число кибератак в ближайшие годы будет только расти. Полный отчет читайте по ссылке. Напомним, в мае Crystal Blockchain зафиксировал рост популярности биткоин-миксеров среди пользователей даркнета. В первом квартале 2020 года доля биткоинов, отправленных через даркнет-сервисы в миксеры, выросла на 20%. Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.

» Read more

В биткойн сети второго уровня Lightning Network обнаружена уязвимость

Операторам сетевых узлов Lightning Network (LN), работавшим с версиями LND до обновления 0.11, выпущенного 1 октября, было предложено выполнить обновление в связи с обнаруженной уязвимостью, затрагивающей LND 0.10 и ниже. «Оснований полагать, что уязвимости эксплуатируются в «the wild» нет. Однако настоятельно рекомендуем сообществу как можно скорее перейти на LND 0.11.0 или выше.» – сказал в объявлении […]

» Read more

Samourai Wallet: потенциальная уязвимость Wasabi Wallet угрожает анонимности пользователей

Стоящая за разработкой биткоин-кошелька Samourai Wallet компания OXT Research сообщила о двух потенциальных уязвимостях в конкурирующем Wasabi Wallet. Компания обнаружила их в конце июля, изучая движения похищенных в результате взлома Twitter биткоинов. Эти недочеты в программном коде, согласно заявлению OXT, угрожают приватности пользователей. После детального изучения проблемы исследователи классифицировали уязвимости как критические. По данным OXT, проблема касается технологии микширования CoinJoin: при повторном смешивании выходов транзакций результат первого отменяется, что ставит под угрозу анонимность пользователей. В OXT обратились к компании zkSNACKs Ltd, стоящей за разработкой Wasabi Wallet, с просьбой сделать официальное заявление. В нем разработчики Samourai Wallet попросили разъяснить пользователям риски и дать рекомендации по их избежанию. Согласно заявлению OXT, технический директор zkSNACKs Дэвид Мольнар ответил на их обращение и пообещал разобраться в ситуации. Позже свой ответ дал сооснователь компании Адам Фичор, назвавший заявление OXT попыткой шантажа. На этом коммуникация с представителями Wasabi Wallet оборвалась. Теперь OXT планируют опубликовать детальный отчет о найденных уязвимостях в течение 48 часов. По их словам, этот шаг позволит пользователям кошелька предпринять меры по защите своей приватности. Напомним, в апреле прошлого года Адам Фичор обвинил руководство Samourai Wallet в ведении очерняющей кампании с подставных аккаунтов в соцсетях. В середине июля аналитики Elliptic сообщили, что 22% похищенных в результате взлома Twitter биткоинов были отправлены на кошелек Wasabi Wallet. Подписывайтесь на новости ForkLog в Facebook!

» Read more

Новая прошивка Trezor содержит баг, способный привести к блокировке средств

Выпущенная на этой неделе новая прошивка аппаратного кошелька Trezor направлена на устранение уязвимости при осуществлении SegWit-транзакций, однако, как выяснилось, содержит другой баг. Из-за него пользователи могут потерять доступ к своим биткоинам, пишет Decrypt. Угроза возникает при взаимодействии Trezor со сторонними сервисами, включая десктопный кошелек Wasabi и процессинг BTCPay. Уязвимость, о которой идет речь, около трех месяцев назад обнаружил исследователь Салим Рашид. О нем он сообщил производителям популярных аппаратных кошельков, включая Trezor и Ledger.

Как пишут разработчики Trezor, идентифицированный вектор атаки довольно сложен и предполагает, что при осуществлении SegWit-транзакции пользователь должен установить вредоносное ПО. Следующим шагом он, например, отправляет транзакцию с двумя входами на 10 и 5,0001 BTC. Общая сумма транзакции составляет 15 BTC, размер комиссии – 0,0001 BTC. После этого пользователь получает сообщение об ошибке с просьбой повторно подписать транзакцию повторно. На данном этапе злоумышленник меняет входы таким образом, что сумма транзакции составляет 0,0001 BTC, а размер комиссии – 15 BTC. Чтобы трюк сработал, злоумышленнику не только необходимо самому быть майнером, но и добыть при этом нужный блок. Производителя аппаратного кошелька ColdCard Рашид по какой-то причине не уведомил об уязвимости, однако его разработчик NVK в комментарии Decrypt заявил о низком уровне ее серьезности. В то же время он отметил, новый апдейт может нарушить взаимодействие устройства с другим ПО. CEO Trezor Павол Руснак тем временем заявил, что решение проблемы достаточно простое: SegWit-транзакции необходимо расценивать точно так же, как и все другие, что подразумевает валидирование всех предыдущих транзакций перед отправкой новых. Но, даже если Trezor и считает решение простым, это не означает полное устранение проблемы для тех пользователей кошелька, которые доверяют ему взаимодействие с некоторым сторонним ПО.

«Trezor не сможет подписывать транзакции при помощи этих инструментов, пока они не будут обновлены для корректной работы. В силу процесса ответственного раскрытия информации мы не могли уведомить об этом обслуживающие их команды заранее», — заявили представители чешской компании.

В числе этих сервисов ориентированный на приватность пользователей кошелек Wasabi, который был интегрирован в Trezor в прошлом году. Его основатель и технический директор Адам Фичор уже обратился к пользователям с рекомендацией воздержаться от установки прошивки Trezor до тех пор, пока уязвимость не будет устранена.

По словам Фичора, последствия обновления прошивки Trezor, ведущей к ограничению доступа пользователей к кошельку, являются более проблематичными, чем сама атака, однако он не винит компанию за чрезмерную осторожность. Основатель BTCPay Server Николас Дорье считает, что Trezor следовало не спешить с выпуском прошивки и отвести пользователям месяц или два на перемещение активов. Он не исключил, что BTCPay откажется поддержки Trezor и других аппаратных кошельков, которые полагаются на аналогичную схему проверки транзакций, так как пользователи сервиса используют урезанные версии нод и не хранят всю необходимую информацию. В своем Twitter представители сервиса написали:

«Если вы используете Trezor и обновили прошивку, то не сможете больше выводить деньги со своего кошелька через BTCPay Server. Мы не в состоянии исправить проблему, так как у нас нет данных, которые запросит Trezor. Мы рекомендуем либо дождаться изменения решения Trezor, либо сменить аппаратный кошелек, если вы хотите пользоваться BTCPay Server, либо переключиться на имплементацию горячего кошелька в BTCPay Server».

Тем временем сооснователь Trezor Марек ‘Slush’ Палатинус подчеркнул, что подтвержденных случаев блокировки средств нет. Выразив надежду, что ситуация вскоре будет разрешена, он отметил, что благодаря совместимости BIPs пользователи могут управлять средствами в других кошельках, которые не имеют такого строгого интерфейса, как у BTCPay, например Electrum или Trezor Wallet

Напомним, в январе специалисты Kraken Security Labs нашли в аппаратных кошельках Trezor критическую уязвимость, открывающую при физическом доступе к устройству возможность извлечения seed-фразы в течение 15 минут. Подписывайтесь на новости ForkLog в Twitter!

» Read more

Исследователь: баг в ProgPoW делает выгодным майнинг Ethereum на ASIC-устройствах

Независимый японский исследователь и разработчик под ником kikx выявил уязвимость в решении ProgPoW, призванном сделать неэффективным майнинг Ethereum на ASIC-оборудовании. Finally, I decided to disclose ProgPoW vulnerability exploits ASIC resistance for the future of Ethereum.https://t.co/P8nQTi12vThttps://t.co/Rw5EsL9iLF#ProgPoW #EthCC @hudsonjameson — kikx (@kikx) March 4, 2020 По словам kikx, код управляющей ProgPoW хеш-функции можно изменить таким образом, чтобы […]

» Read more

Злоумышленник вывел $350 000 с DeFi-платформы bZx, потратив на комиссии менее $9

Платформа bZx лишилась $350 000 или около 2% от общего объема активов под управлением из-за действий злоумышленника, использовавшего различные DeFi-протоколы для реализации задуманного. Об этом сообщает CoinDesk. Во время атаки команда проекта участвовала на хакатоне ETHDenver. Вскоре после выявления проблем и последующего закрытия торговой платформы Fulcrum компания подтвердила намерение возместить пользователям убытки. 1/ Due to […]

» Read more

Платформа криптокредитования bZx потеряла часть залога в результате атаки

Хакеры взломали протокол DeFi-платформы bZx и вывели часть залога в Ethereum (ETH). Сумма ущерба уточняется, сообщает The Block. По словам соучредителя bZx Кайла Кистнера, злоумышленники использовали уязвимость в контракте, и в настоящий момент компания его приостановила. Точную причину произошедшего он пообещал назвать после расследования инцидента специалистами по кибербезопасности. Компания также закрыла свою торговую платформу Fulcrum […]

» Read more

Аппаратные кошельки Trezor оказались уязвимы для физического взлома

Подразделение по информационной безопасности Ledger Donjon проверило аппаратные кошельки различных производителей и оказалось, что устройства Trezor можно взломать всего за 5 минут. Сообщается, что при получении физического доступа к устройству злоумышленники могут взломать его всего за 5 минут и получить «сид» кошелька. Этой уязвимости подвержены устройства Trezor One, Trezor T, Keepkey и другие клоны данных аппаратных кошельков. При этом уязвимость […]

» Read more
1 2 3