CHEESEBANK.IO - flashloan взлом на 3.3м$
Полное ощущение инсайдерской атаки.
В дискорде у проекта - 75 человек.
С 20 октября от членов команды не было ответов. Сообщения других участников группы - раз 2-3 дня.
И печальное сообщение о взломе протокола.
Мысли вслух
Полное ощущение инсайдерской атаки.
В дискорде у проекта - 75 человек.
С 20 октября от членов команды не было ответов. Сообщения других участников группы - раз 2-3 дня.
И печальное сообщение о взломе протокола.
Мысли вслух
This media is not supported in your browser
VIEW IN TELEGRAM
Новый день - новый взлом. Опасайтесь фармилок, монет приносящих
DEFI Scam Check pinned «WBTC и кошельки Аламеды Наблюдаем в прямом эфире за шортом UNI Записал скринкаст по мощному аналитическому сервису nansen.ai, где разобрал как можно найти и подглядеть за действиями Аламеды Видео на 2 минуты, ситуативное, было сделано %на 5-7 выше по UNI…»
$Sushi затеяли битву за ликвидность с $UNI
В ответ на предложение сократить вдвое награды за фарминг UNI по парам:
* WBTC/ETH - 1.25M UNI/month
* USDC/ETH - 1.25M UNI/month
* USDT/ETH - 1.25M UNI/month
* DAI/ETH - 1.25M UNI/month
Sushi сокращают награду по фармингу REN, BAND, COMP, SNX, UMA и !CRV! в 2 раза
И перераспределяет эти награды на пулы:
- ETH/USDT Tether
- ETH/USDC Circle
- ETH/DAI Donald
- ETH/wBTC (NEW)
Завернутые битки сейчас полетят в $SUSHI с полной силой.
Если копнуть поглубже, вероятно - это в будущем будет давлением на курс $SUSHI, т.к. ринется туда много WBTC и капиталисты будут стремиться продать свои награды как можно скорее.
P.s.: это шаг назад для SUSHI, т.к. они убрали Меню недели (фарминг на новых проектах), ради перетягивания ликвидности с UNI
Это не конкуренция. Это война
В ответ на предложение сократить вдвое награды за фарминг UNI по парам:
* WBTC/ETH - 1.25M UNI/month
* USDC/ETH - 1.25M UNI/month
* USDT/ETH - 1.25M UNI/month
* DAI/ETH - 1.25M UNI/month
Sushi сокращают награду по фармингу REN, BAND, COMP, SNX, UMA и !CRV! в 2 раза
И перераспределяет эти награды на пулы:
- ETH/USDT Tether
- ETH/USDC Circle
- ETH/DAI Donald
- ETH/wBTC (NEW)
Завернутые битки сейчас полетят в $SUSHI с полной силой.
Если копнуть поглубже, вероятно - это в будущем будет давлением на курс $SUSHI, т.к. ринется туда много WBTC и капиталисты будут стремиться продать свои награды как можно скорее.
P.s.: это шаг назад для SUSHI, т.к. они убрали Меню недели (фарминг на новых проектах), ради перетягивания ликвидности с UNI
Это не конкуренция. Это война
API3 Скам атака в прямом эфире
1 ШАГ. 928 эфира было украдено путем забора ликвидности из проекта UNN.finance (скам подделка)
https://etherscan.io/tx/0x16f57e313c72245ddca128368fd6206c88dabeca4866661a2073221d59f6e845
2 ШАГ. Полученные ден средства уходят на новый кошелек
https://etherscan.io/address/0x4e8f97c41a374b035c4c155bf077ab08e07c12f7
3 ШАГ. Их получает кошелек, создающий контракт API3
https://etherscan.io/address/0x49fa4e6fa5174b21a2ad6ebf4f24d4f8269f973f
4 ШАГ. Создание контракта монеты API3, рассылка спам адресам бесплатных токенов (для создания видимости легитимности проекта)
https://etherscan.io/tx/0x33ff0e023f640b950526d205d81f3f54a77d8eb7c47f8d0b527801b691fa309a
5 ШАГ. Добавление 200 эф ликвидности в API3 скам проект
https://etherscan.io/tx/0xa84cd7a153467704d0d0775773a37c1d2268214dd38d0db5372a608cc4f5ecec
6 ШАГ. Ждем как он дернет ковер
1 ШАГ. 928 эфира было украдено путем забора ликвидности из проекта UNN.finance (скам подделка)
https://etherscan.io/tx/0x16f57e313c72245ddca128368fd6206c88dabeca4866661a2073221d59f6e845
2 ШАГ. Полученные ден средства уходят на новый кошелек
https://etherscan.io/address/0x4e8f97c41a374b035c4c155bf077ab08e07c12f7
3 ШАГ. Их получает кошелек, создающий контракт API3
https://etherscan.io/address/0x49fa4e6fa5174b21a2ad6ebf4f24d4f8269f973f
4 ШАГ. Создание контракта монеты API3, рассылка спам адресам бесплатных токенов (для создания видимости легитимности проекта)
https://etherscan.io/tx/0x33ff0e023f640b950526d205d81f3f54a77d8eb7c47f8d0b527801b691fa309a
5 ШАГ. Добавление 200 эф ликвидности в API3 скам проект
https://etherscan.io/tx/0xa84cd7a153467704d0d0775773a37c1d2268214dd38d0db5372a608cc4f5ecec
6 ШАГ. Ждем как он дернет ковер
Ethereum (ETH) Blockchain Explorer
Ethereum Transaction Hash (Txhash) Details | Etherscan
Ethereum (ETH) detailed transaction info for txhash 0x16f57e313c72245ddca128368fd6206c88dabeca4866661a2073221d59f6e845. The transaction status, block confirmation, gas fee, Ether (ETH), and token transfer are shown.
Описание взлома Origin Protocol. 7,7 млн $ украдено.
Немного технических подробностей, как был вскрыт протокол OriginProtocol с его OriginalUSD ($OUSD)
1. Флэшлоан - 70k ETH от биржи dYdX
2. Обмен 17.5к Эфира на 7.86 млн USDT на Uniswap
3. Обмен 52.5к Эфира на 20.99 млн DAI на Uniswap
4. Вызов функции rebase для атаки контракта
5. Производство 7,5 млн OUSD из 7,5 млн USDT (Здесь все еще идет по плану).
6. Вызов мультифункции производства токенов OUSD (MintMultiple):
6.1 Производство 20,5 млн OUSD из 20,5 млн DAI
6.2 Производство 2k OUSD с 2k USDT (здесь идет атаки re-entrancy (повторного расходования) с учетом того, что 2k USDT – поддельные токены
7. Обмен 300к OUSD на 158.5 к USDT на Uniswap. Здесь идет занижение цены OUSD по отношению к USDT на 40%.
8. Обмен 1 млн OUSD на 520.7 к USDT на Sushiswap. Также занижение цены.
!Здесь начинается магия!
За счет манипулирования ценой OUSD – злоумышленник может выкупить взятые в займ OUSD на 40% дешевле, оставив по сути у себя 40% от суммы в стейблах.
9. Выкуп 33.27 млн. OUSD после перебазирования за 19,5 млн DAI, 3,9 млн USDC и 9,4 млн USDT
10. Обмен 10,4 млн USDT на 22,9 тыс. ETH на Uniswap
11. Обмен 3,9 млн USD C на 8,3 тыс ETH на Uniswap
12. Своп 19 млн ДАИ до 47,9к ETH на Uniswap
!ЗДЕСЬ ВОЗНИКАЕТ ПРИБЫЛЬ!
Т.к. залог его в протоколе был 20,5 млн DAI – он смог получить обратно не 20,5 млн OUSD, а 33,27 млн. Вызывая функцию перебазирования (опрос контракта по уровню цены, вернув его к исходному уровню) он по факту из 33,27 млн OUSD смог вернуть = 10,4+3,9+19 = 33,7 млн USD
13. Выкуп флешлоан (займа) 70К ETH на dYdX
После этой манипуляции злоумышленник произвел:
- 7 сделок, в которых он выкупил свой OUSD
- 2 сделки по обмену 300k OUSD на USDT на Uniswap
- 4 сделки со сбором прибыли (обмен всех USDT и USDC на ETH на Uniswap и вывод DAI и ETH из атакующего контракта)
Наконец, он использовал саморазрушение для уничтожения контракта.
В результате злоумышленник смог получить ~$7,7 млн: - 2,249,821 DAI - 11,804 ETH
Кроме того, злоумышленник внес 333 ETH в Tornado Cash и попытался отмыть деньги с помощью:
1. Uniswap обмен ~4338 ETH на 120 WBTC
2. Обменял на CURVE 120 WBTC к ~120 renBTC
3. REN вывод ~120 BTC на четыре адреса: - bc1qdky68q9uv24ah8mf8uykj8x437u2hlrz6k4vzg - bc1q2atlthkh04hsnk76w08ek5stk28wxgzhh8xvnu - bc1qr0v3zz5wl0wjt79hj7yq57f3tkswj79jmjaynh - bc1q4f645352dsam42ag3uym8rt0qzxwd8qlqe336h
Немного технических подробностей, как был вскрыт протокол OriginProtocol с его OriginalUSD ($OUSD)
1. Флэшлоан - 70k ETH от биржи dYdX
2. Обмен 17.5к Эфира на 7.86 млн USDT на Uniswap
3. Обмен 52.5к Эфира на 20.99 млн DAI на Uniswap
4. Вызов функции rebase для атаки контракта
5. Производство 7,5 млн OUSD из 7,5 млн USDT (Здесь все еще идет по плану).
6. Вызов мультифункции производства токенов OUSD (MintMultiple):
6.1 Производство 20,5 млн OUSD из 20,5 млн DAI
6.2 Производство 2k OUSD с 2k USDT (здесь идет атаки re-entrancy (повторного расходования) с учетом того, что 2k USDT – поддельные токены
7. Обмен 300к OUSD на 158.5 к USDT на Uniswap. Здесь идет занижение цены OUSD по отношению к USDT на 40%.
8. Обмен 1 млн OUSD на 520.7 к USDT на Sushiswap. Также занижение цены.
!Здесь начинается магия!
За счет манипулирования ценой OUSD – злоумышленник может выкупить взятые в займ OUSD на 40% дешевле, оставив по сути у себя 40% от суммы в стейблах.
9. Выкуп 33.27 млн. OUSD после перебазирования за 19,5 млн DAI, 3,9 млн USDC и 9,4 млн USDT
10. Обмен 10,4 млн USDT на 22,9 тыс. ETH на Uniswap
11. Обмен 3,9 млн USD C на 8,3 тыс ETH на Uniswap
12. Своп 19 млн ДАИ до 47,9к ETH на Uniswap
!ЗДЕСЬ ВОЗНИКАЕТ ПРИБЫЛЬ!
Т.к. залог его в протоколе был 20,5 млн DAI – он смог получить обратно не 20,5 млн OUSD, а 33,27 млн. Вызывая функцию перебазирования (опрос контракта по уровню цены, вернув его к исходному уровню) он по факту из 33,27 млн OUSD смог вернуть = 10,4+3,9+19 = 33,7 млн USD
13. Выкуп флешлоан (займа) 70К ETH на dYdX
После этой манипуляции злоумышленник произвел:
- 7 сделок, в которых он выкупил свой OUSD
- 2 сделки по обмену 300k OUSD на USDT на Uniswap
- 4 сделки со сбором прибыли (обмен всех USDT и USDC на ETH на Uniswap и вывод DAI и ETH из атакующего контракта)
Наконец, он использовал саморазрушение для уничтожения контракта.
В результате злоумышленник смог получить ~$7,7 млн: - 2,249,821 DAI - 11,804 ETH
Кроме того, злоумышленник внес 333 ETH в Tornado Cash и попытался отмыть деньги с помощью:
1. Uniswap обмен ~4338 ETH на 120 WBTC
2. Обменял на CURVE 120 WBTC к ~120 renBTC
3. REN вывод ~120 BTC на четыре адреса: - bc1qdky68q9uv24ah8mf8uykj8x437u2hlrz6k4vzg - bc1q2atlthkh04hsnk76w08ek5stk28wxgzhh8xvnu - bc1qr0v3zz5wl0wjt79hj7yq57f3tkswj79jmjaynh - bc1q4f645352dsam42ag3uym8rt0qzxwd8qlqe336h