10 березня повідомляється, що DeFi-кредитний протокол Compound Finance знову зазнав атаки на фронтенд, кілька користувачів повідомили про аномалії на офіційному сайті проекту, який перенаправляв на підозрілі фішингові сторінки. Ця подія вважається останнім випадком у серії недавніх захоплень сайтів DeFi-платформ.
За повідомленням команди безпеки проекту на форумі управління, зловмисники підробили домен, схожий на “compOOnd”, створивши фішинговий сайт і перенаправляючи відвідувачів на цю сторінку. Однак команда заявила, що наразі не зафіксовано втрат користувацьких коштів, облікові записи інфраструктури, що постраждали, були повністю замінені, а системний ризик взято під контроль.
Це вже другий випадок за менш ніж два роки, коли фронтенд Compound зазнає подібної атаки. Раніше, у липні 2024 року, кілька доменів DeFi-проектів, розміщених на Squarespace, були масово атаковані хакерами, і сайт Compound також був уражений. Експерти з безпеки зазначають, що з підвищенням автоматизації інструментів фішингу технологічний бар’єр для таких атак знижується.
У цьому випадку, причина, чому кошти користувачів не постраждали, частково полягає у різниці у способах розгортання основних торгових інтерфейсів. За офіційною інформацією, піддомен app.compound.finance, який використовується для підключення гаманців і виконання транзакцій, надає послуги через мережу IPFS, що дозволяє команді безпеки незалежно перевіряти цілісність коду і зменшувати ризик підробки фронтенду.
Хоча ця подія не спричинила фінансових втрат, для протоколу Compound, який раніше був одним із лідерів у DeFi, серія недавніх проблем постійно підриває довіру ринку. За останні роки проект неодноразово стикався з суперечками щодо операційної діяльності та управління. Наприклад, раніше DAO Compound через потенційний конфлікт інтересів із постачальником послуг з управління ризиками Gauntlet піддавався критиці з боку спільноти.
Ще раніше, у 2022 році, помилка у операції призвела до тимчасової зупинки ринку cETH на суму понад 8 мільярдів доларів приблизно на тиждень, доки не було проведено технічне виправлення. Крім того, у процесі оновлення протоколу 2021 року трапилися помилки у розподілі нагород, через що близько 1,5 мільярда токенів були випадково випущені користувачам.
Аналітики зазначають, що з розширенням масштабу DeFi-індустрії безпека фронтенду, захист доменів і прозорість управління стають важливими факторами для довгострокової стабільності протоколів. Для платформ кредитування будь-яка вразливість на рівні сайту може стати ключовим входом для зловмисників у здійснення фішингових атак.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Kelp DAO відмовляється від LayerZero на користь Chainlink CCIP після експлойту мосту на $292 мільйони
За даними The Block, Kelp DAO відмовився від LayerZero на користь протоколу Chainlink Cross-Chain Interoperability Protocol (CCIP) після $292 мільйонного бридж-використання минулого місяця. Представник Chainlink підтвердив, що Kelp DAO є першим великим протоколом, який перейшов від LayerZero після атаки. On
GateNews3хв. тому
Засновник LayerZero спростовує звинувачення KelpDAO та посилається на ручну зміну конфігурації від 1 квітня 2024 року
За словами Браяна Пеллегрінo, співзасновника й CEO LayerZero Labs, більшість звинувачень проти KelpDAO є безпідставними. 6 травня Пеллегрінo заявив, що Kelp спочатку використовував конфігурацію за замовчуванням MultiDVN або DeadDVN, але вручну змінив її на конфігурацію 1/1 1 квітня 2024 року, згідно з даними on-chain
GateNews23хв. тому
Вразливість у коді для віддаленого виконання Bitcoin Core для майнерів, 43% вузлів не оновлено
За повідомленням Protos від 5 травня розробники Bitcoin Core на офіційному сайті оприлюднили критично небезпечну вразливість CVE-2024-52911. Ця вразливість дозволяє майнерам шляхом майнінгу спеціально створених блоків віддалено спричиняти аварійне завершення роботи вузлів інших користувачів і за певних умов виконувати код. Оскільки повне оновлення біткоїн-вузлів наразі є добровільною дією, за оцінками, досі близько 43% вузлів працюють на застарілому програмному забезпеченні, яке містить вразливість.
MarketWhisper2год тому
Вразливість у Bitcoin Core під CVE-2024-52911 дозволяє віддалене виконання коду; 43% вузлів досі не виправлено
За даними Protos, розробники Bitcoin Core нещодавно розкрили критичну вразливість (CVE-2024-52911), яка зачіпає версії 0.14.1 і 28.4, дозволяючи майнерам віддалено спричиняти збої в вузлах і виконувати довільний код шляхом майнінгу спеціально створених блоків. Її виявив у листопаді 2024 року розробник Cory
GateNews2год тому
Ekubo: EVM Swap роутерний контракт зазнав інциденту безпеки, Starknet не постраждав
Згідно з офіційним оголошенням AMM-інфраструктури Ekubo, опублікованим 6 травня на X, сталася безпекова подія в контракті маршрутизації Swap у мережі EVM. Ekubo підтвердив, що постачальники ліквідності (LP) та Starknet не постраждали від цієї події; команда проводить розслідування щодо масштабу інциденту та готує звіт за його підсумками.
MarketWhisper3год тому
Kelp DAO став першим проєктом, який відмовився від основного протоколу LayerZero та перейшов на Chainlink CCIP
За повідомленням The Block від 5 травня, децентралізована платформа для кредитування в DeFi Kelp DAO оголосила про відмову від LayerZero як постачальника кросчейн-інфраструктури та перехід на кросчейн-інтероперабельність Chainlink — CCIP; Kelp DAO є «першим серед ключових протоколів, який відмовився від LayerZero з моменту, коли стався інцидент із вразливістю LayerZero».
MarketWhisper3год тому
