Низка зломів: атака на Holograph, фейк-біржа і нагорода від UwU Lend
Нативний токен блокчейна Holograph впав на 80% після того, як зловмисник зламав смартконтракт оператора протоколу і випустив 1 млрд HLG на суму $14,4 млн.
14 червня команда мережі підтвердила атаку і повідомила про виправлення помилки. Проєкт також звернувся до централізованих бірж і правоохоронних органів для заморозки вкрадених активів.
The Holograph Operator contract has been exploited by a malicious actor, enabling the hacker to mint 1 billion additional HLG
The team has patched the initial exploit & is working with exchange partners to lock the malicious accounts
The team has launched an investigation & is…
— Holograph (@holographxyz) June 13, 2024
За даними Etherscan, хакер випустив 1 млрд HLG під час дев’яти транзакцій. Першу партію він запустив 13 червня близько 10:00 (Київ/МСК).
Через 10 хвилин токен почав падати, впавши з $0,014 до $0,002. На момент написання монета відновилася до $0,006.
15-хвилинний графік HLG/USDT біржі Binance. Джерело: TradingView.
За поточного курсу 1 млрд HLG оцінюють приблизно в $6,8 млн. Однак хакер почав конвертувати свої створені монети в USDT через чотири години після атаки.
Аналітик венчурної компанії CMT Digital Метт Касто вважає, що зловмисник був «розробником-шахраєм», який за 26 днів до інциденту профінансував адресу одержувача випущених HLG.
Looks like a rogue dev who funded the address 26 days ago. That address was the the one who received the minted supply. https://t.co/30E8Bqwkwt pic.twitter.com/Pv7kztTvNK
— Matt (@mcasto_) June 13, 2024
Несправжня криптобіржа
13 червня Відділ цінних паперів Департаменту фінансових установ штату Вашингтон (DFI) опублікував попередження про фейкову торгову платформу Ethfinance.
Спочатку у відомство надійшла скарга від інвестора. Він виявив рекламу біржі в соцмережі LinkedIn і перевів на неї близько $310 000 зі свого «DeFi-гаманця».
Після торгів користувач вирішив вивести частину депозиту і прибутку, але не зміг цього зробити. Техпідтримка Ethfinance порадила внести додатковий депозит. Однак клієнт відмовився, і його заблокували.
У DFI заявили, що випадок схожий на «шахрайство з передоплатою» — тип скаму, за якого жертвам обіцяють гроші, товари або послуги в обмін на невеликий авансовий платіж. При цьому регулятор не підтвердив звинувачення.
Трекер шахрайства DFI показує, що платформа також згадувалася в іншій скарзі. Житель Каліфорнії повідомив про втрату понад $165 000 після того, як йому пообіцяли в інтернеті навчити торгувати криптоопціонами.
Інвестор усвідомив ситуацію, коли «генеральний директор служби підтримки клієнтів» у Telegram попросив його відправити 25% прибутку як «податки» для завершення виведення коштів.
Нагорода за голову
Команда DeFi-протоколу UwU Lend запропонувала $5 млн за ідентифікацію зламувача.
«Термін повернення вкрадених вами коштів закінчився. Нагорода в розмірі $5 млн, хто першим ідентифікує і виявить вас», — ідеться в ончейн-повідомленні.
Розробники пообіцяли виплатити кошти в Ethereum до повернення вкрадених активів і порушення справи проти хакера.
UwU Lend зазнав одразу двох атак за тиждень. 10 червня платформу зламали на $19,3 млн. Тоді роботу протоколу призупинили через кілька годин після інциденту.
13 червня хакер вивів ще $3,72 млн у різних активах. В обох зломах брала участь одна і та сама адреса гаманця. Спочатку в UwU Lend запропонували хакеру повернути 80% вкрадених коштів, але відповіді так і не надійшло.
Нативний токен протоколу UWU після атак просів на 18% — з $3,1 до $2,5, згідно з CoinGecko.
Нагадаємо, на початку червня децентралізована біржа Velocore зазнала атаки. Хакер вивів із пулів у L2-мережах Linea і zkSyncEra приблизно $6,8 млн в Ethereum.
У травні японська криптобіржа DMM Bitcoin втратила $305 млн під час злому. Платформа має намір залучити фінансову підтримку для виплати компенсацій користувачам.