#certik

Представьте: вы спите, а кто-то в это время просто берет и создает из воздуха токены на миллиард долларов. Звучит как фантастика, но для протокола Hyperbridge в сети Ethereum это стала суровой реальностью. На днях там провернули настолько изощренную аферу, что волосы дыбом встают у любого, кто шарит в кросс-чейн-мостах. Суть в том, что злоумышленник провернул классическое «доверяй, но проверяй» с точностью до наоборот. Он сфабриковал поддельное сообщение, выдав его за официальный запрос от платформы Polkadot. Система повелась, и в результате хакер получил админские ключи от контракта с нативным токеном DOT. Проще говоря, он стал директором банка, где сам себе может печатать деньги. Специалисты CertiK (те, кто постоянно ищут баги в блокчейнах) разобрали атаку по косточкам. Оказалось, парень провернул всё за одну транзакцию. Хитрость была в связке из двух контрактов: основной — для отвлечения внимания, и вспомогательный — который и сделал всю грязную работу. Второй модуль сумел обойти защитную верификацию, и вуаля — права на управление переписываются на левый адрес. Дальше — больше. Хакер включил «печатный станок» на полную мощность и наминтил себе примерно 1 миллиард DOT. Чтобы вы понимали масштаб бедствия: это в 2800 раз (!) больше, чем вообще существует токенов DOT в сети Ethereum. Представьте, что в вашем городе напечатали денег в три тысячи раз больше, чем вы заработали за всю жизнь. Правда, сказка о богатстве оказалась недолгой. Хакер быстро конвертировал часть «фантиков» в реальные 108 ETH и вывел их на свой кошелек (на момент отчета бабки так там и висели). Но самое забавное в другом — из-за того, что ликвидность пулов Hyperbridge оказалась дохлой, как у высохшего озера, рынок даже не особо заметил подлог. Цена DOT просела всего на смешные 4.8%, до $1.16. То есть эффект от наводнения рынка фальшивками оказался почти нулевым. Как будто хакер взломал инкассаторскую машину, а там — одни монеты по 10 копеек. Эксперты уже посмеиваются: «Если бы он проделал такое через сеть Polytope, а не через Hyperbridge, последствия были бы катастрофическими». Так что парню, считай, повезло, что он взломал «бедного родственника», а не реально ликвидную площадку. Но осадочек, как говорится, остался. Мораль: Кросс-чейн-мосты — штука удобная, но каждый раз, когда видите слово «мост», вспоминайте, что кто-то уже перешел по нему в рай с миллиардом фальшивых токенов.

Наш МАХ #Hyperbridge #Ethereum #Polkadot #Кибербезопасность #CertiK #КриптоЖулики #DeFi #Взлом #DOT

DeFi снова под ударом: хакеры украли $5 млн через манипуляцию оракулом

Очередной чёрный день для децентрализованных финансов. Аналитики безопасности CertiK сообщили о взломе протокола Makina Finance. В результате хищения из одного из его стейблкоин-пулов «утекло» около 5 миллионов долларов.

Причина знакома многим в индустрии — уязвимость в ценовом оракуле. Злоумышленник взял огромный флэш-кредит на сумму 280 миллионов USDC (да, вы не ослышались — это не опечатка). Этими деньгами он искусственно исказил данные в системе MachineShareOracle, которую протокол использует для точных расчётов цен. По сути, хакер на время «ослепил» протокол, заставив его поверить в нереальную стоимость активов.

Итог печален: пул DUSD/USDC на известной платформе Curve был полностью опустошён. Однако в этой истории есть и неожиданный поворот. Значительную часть добычи — около $4,14 млн — перехватил так называемый MEV-билдер. Это участник сети, который может влиять на порядок и состав транзакций в блоке. В данном случае он выступил в роли «добросовестного грабителя», изъяв средства у хакера и, вероятно, вернув их пострадавшим или оставив себе в качестве награды.

Команда Makina Finance подтвердила, что в курсе «потенциального инцидента» и ведёт расследование. По их предварительным данным, проблема затронула только поставщиков ликвидности (LP) для токена DUSD в пуле Curve. Точный итоговый ущерб пока не объявлен.

Такие истории — жёсткое напоминание о рисках в DeFi. Оракулы — это жизненно важные, но уязвимые «нервы» любого протокола. Хотите быть в курсе подобных инцидентов, оперативных реакций команд и понимать, как защитить свои активы? Подписывайтесь на Нейрокрипта . Мы мониторим безопасность, объясняем суть атак простыми словами и помогаем ориентироваться в мире криптовалют без лишнего стресса.

Что это значит для нас? Инцидент с Makina Finance — не первый и, увы, не последний. Он снова указывает на ключевую слабость многих DeFi-проектов: зависимость от внешних источников данных. До тех пор, пока оракулы не станут максимально децентрализованными и защищёнными, такие атаки будут повторяться. Для пользователей мораль проста: диверсифицируйте риски и тщательно изучайте, на каких механизмах построен протокол, в который вы вкладываете ликвидность.

#DeFi #Хак #Безопасность #MakinaFinance #CertiK #Оракул #ФлэшКредит #Криптовалюта #Стейблкоин #Curve #MEV #USDC #Криптобезопасность #Нейрокрипта #убытки