Bilaxy, Cream Finance и xToken — сразу три взлома за пару дней

Криптобиржу Bilaxy взломали 28 августа вечером, сумма убытков оценивается в $21 млн.
Протокол Cream Finance 30 августа стал частью атаки, благодаря которой хакеры заполучили около $20 млн.
29 августа один из контрактов проекта xToken был взломан, украли активы на $4.5 млн.

Вечером 28 августа криптовалютная биржа Bilaxy была взломана, в результате чего с ее горячих кошельков украли 295 различных токенов. Сумма ущерба в долларовом эквиваленте не приводится, но на адрес злоумышленника после инцидента поступили активы общей стоимостью в $21 млн.

*Сообщение в Media SIGEN.pro.* *Источник*.

Сразу после обнаружения уязвимости биржа остановила работу своего веб-сайта и предприняла все необходимые меры для перемещения оставшихся активов на холодные адреса.

Платформа будет сотрудничать с правоохранительными органами для расследования инцидента.

Спустя 2 дня после инцидента с Bilaxy протокол децентрализованного кредитования Cream Finance стал частью атаки, с помощью которой злоумышленники смогли заполучить 418 млн токенов Flexa Network (AMP) и 1 308 ETH. Если учитывать стоимость украденных активов до взлома, то убыток можно оценить примерно в $30 млн. Но если учесть резкое падение цены AMP после взлома, то сумма ущерба будет меньше — около $20 млн.

Аналитики PeckShield рассказали, что хакер взял необеспеченный заем в ETH и воспользовался «багом повторного входа» в смарт-контракте Flexa Network. Он осуществил 17 транзакций, в ходе которых за счет уязвимости получил дополнительные токены. Потом он ликвидировал собственные займы. Токен AMP нужен для обеспечения платежей в Flexa Network.

И еще один взлом протокола. Команда DeFi-проекта xToken 29 августа рассказала об успешно осуществленной атаке на их контракт.

Our xSNX contract was exploited. Our other contracts do not have similar vulnerabilities.

Every day going forward from here will be focused on rebuilding trust with our community.

We're assessing the situation and will update with next steps in the coming hours
— xToken (@xtokenmarket) August 29, 2021

«Наш контракт xSNX был взломан, другие контракты в безопасности. Мы проанализируем ситуацию и предоставим подробную информацию о дальнейших действиях позднее».

Основатель xToken Майкл Коэн рассказал о том, что атака стала возможна из-за функции callFunction, которая была общедоступной, хотя должна вызываться только из смарт-контракта мгновенных займов dYdX. Сумма ущерба оценивается в $4.5 млн.

xToken решили полностью отказаться от продукта xSNX. В будущем будет представлен план компенсации пользователям, который сейчас разрабатывается.