Этой весной серия эксплойтов сочетала сбои управления протоколами, компрометации цепочек поставок и социальную инженерию, чтобы опустошить значительные запасы криптовалюты.

Эксплойт мультиподписи протокола Drift

Протокол Drift потерял средства после того, как процесс paper multisig позволил неавторизованный административный перевод и последующее изъятие активов.

Первоначальный подписант создал новую мультиподпись и инициировал административный перевод, не присоединившись к новому набору ключей.

Замена требовала 2/5 подписей и имела таймлок в ноль секунд, что позволило немедленное исполнение после двух одобрений.

Один инсайдер одобрил изменение, а хакер обеспечил вторую подпись, что позволило немедленно получить контроль над административными привилегиями.

Затем злоумышленники отчеканили бесполезный токен, раздулли его оценку до $480 M и использовали это, чтобы занять $270 M.

Комментарии по инциденту перечисляют конкретные похищенные активы и описывают последовательность переводов, использованных для вывода средств.

Компрометация цепочки поставок через мейнтейнера Axios

Был скомпрометирован аккаунт мейнтейнера библиотеки Axios, и в официальное обновление пакета был внедрён вредоносный код.

Проекты, которые обновляются, могут непреднамеренно раскрыть приватные ключи, и следователи сообщают о первых жертвах, в то время как атака продолжает распространяться.

Инцидент иллюстрирует риск цепочки поставок, где доверие к зависимостям и учётные данные одного мейнтейнера создают системную уязвимость.

8662 ETH взлом кошелька

Кошелёк с 8662 ETH был опустошён посредством социальной инженерии, направленной на владельца, а не за счёт эксплуатации кода в сети.

После кражи средства переместились через THORChain, кроссчейн-протокол ликвидности без KYC, и в конечном итоге появились на HitBTC.

Жертва в Гонконге потеряла $840 000

66-летний житель Гонконга потерял в общей сложности $840 000 в результате трёх отдельных платежей мошенникам.

Жертва сначала инвестировала средства, затем заплатила за обещанный возврат, а позже отправила деньги за якобы двойную компенсацию.

Полиция описывает схему как многоступенчатое вымогательство, в котором мошенники исчезают сразу после получения переводов.

Chainalysis намерена интегрировать блокчейн‑агентов ИИ

Chainalysis планирует интегрировать в свою платформу блокчейн‑агентов на основе ИИ, чтобы позволить пользователям проводить собственные расследования.

Компания заявляет, что эти агенты помогут аналитикам, автоматизируя распространённые задачи трассировки, при этом сохраняя цепочки доказательств в блокчейне.

В совокупности инциденты подчёркивают, что у держателей криптовалют основными векторами риска являются проблемы управления, уязвимости цепочек поставок и человеческий фактор.