Dzwoniący podszywali się pod policję w oszustwie Bitcoin w Kolorado
Niektórzy mieszkańcy stanu Kolorado w Stanach Zjednoczonych padli ofiarą nowego oszustwa polegającego na podszywaniu się pod policję.
Według raportu z 31 października lokalnej strony informacyjnej Summit Daily, oszust dzwonił do mieszkańców i twierdził, że jest przedstawicielem lokalnego rządu. Powiedzieli ofierze, że musi zapłacić grzywnę w wysokości 10 000 dolarów za niepojawienie się w obowiązkowej służbie w sądzie, która musi być opłacona w Bitcoinie.
W odpowiedzi ofiara przelała 6000 dolarów w Bitcoinie (BTC), ale prawdziwe władze zatrzymały ofiarę przed przelaniem pozostałych 4000 dolarów, ratując je przed rękami atakującego.
Według raportu, to nie jest jedyny przypadek oszustw telefonicznych BTC w tej okolicy. W innym przypadku atakujący zdołał podrobić numer telefonu lokalnego departamentu szeryfa.
Zadzwonili do kilku osób, twierdząc, że są „sierżantem Schillingiem” i domagali się pieniędzy. Fałszywy „sierżant” twierdził, że te osoby przegapiły terminy sądowe i że ma nakaz ich aresztowania. W przeciwieństwie do poprzedniego przypadku, żadna z tych osób nie wysłała pieniędzy ani nie podała żadnych danych osobowych atakującemu.
Według raportu, departament szeryfa wydał oświadczenie, w którym stwierdził, że nigdy nie poprosi użytkowników o przelanie BTC podczas rozmowy telefonicznej.
Użytkownicy kryptowalut powinni być świadomi, że transakcje blockchain są nieodwracalne. Gdy użytkownik wyśle kryptowalutę na adres, nie można jej odzyskać. Z tego powodu użytkownicy powinni zachować szczególną ostrożność, aby upewnić się, że osoba, do której wysyłają fundusze, naprawdę jest tym, za kogo się podaje.
Sunray Finance padł ofiarą ataku na 2,7 miliona dolarów
Protokół handlu wieczystego Sunray Finance na Arbitrum został wykorzystany na 2,7 miliona dolarów 30 października, kiedy to atakujący zdołał zaktualizować umowę protokołu i wyemitować dwieście sekstylionów (200 000 000 000 bilionów) natywnego tokena SUN protokołu, zgodnie z raportem firmy zabezpieczeń blockchain TenArmor.
Atakujący następnie wymienił połowę tokenów na 2,1 miliona dolarów w Tether (USDT). Atak spowodował załamanie ceny SUN.
Wydaje się, że eksploitant przeoczył fakt, że istniała druga pula płynności dla SUN. W bardzo następnym bloku bot arbitrażowy zakupił około 90 sekstylionów SUN z puli, do której atakujący zrzucił monety, a następnie sprzedał je w drugiej puli z zyskiem wynoszącym około 560 000 dolarów w Ether (ETH). To również załamało cenę w drugiej puli.
Sunray ujawnił atak na X, stwierdzając, że nastąpiło „nagle wydanie tokenów aktywów skarbu Sunray”. Stwierdzili, że „ciężko pracują, aby odzyskać wszystkie dane” i wezwali użytkowników do zachowania cierpliwości podczas śledztwa.
Źródło: Sunray Finance
Ponieważ atakujący zainicjował aktualizację umowy, TenAmor zasugerował, że atak mógł być spowodowany wyciekiem prywatnego klucza.
Użytkownicy kryptowalut powinni być świadomi, że niektóre protokoły zawierają umowy do aktualizacji. Te umowy składają się z dwóch części: umowy proxy, która zawiera salda, oraz umowy wdrożeniowej, która zawiera kod.
Deweloper lub administrator może zmienić umowę wdrożeniową w dowolnym momencie, kierując proxy do innej implementacji, co może skutkować zmianami w sposobie działania protokołu.
Jeśli protokół zawiera umowy do aktualizacji, zazwyczaj oznacza to, że administratorzy mogą w każdej chwili wyczerpać środki. Z tego powodu użytkownicy powinni wchodzić w interakcje z umowami do aktualizacji tylko wtedy, gdy mają wysoki stopień zaufania do dewelopera.
Nawet jeśli deweloper jest całkowicie godny zaufania, umowy do aktualizacji mogą być nadal wykorzystywane, jeśli atakujący ukradnie prywatny klucz dewelopera, co może być tym, co wydarzyło się w tym przypadku.
Giełda Ramses pada ofiarą exploitu nagród
Inna zdecentralizowana giełda Arbitrum, Ramses, została wykorzystana na 93 000 dolarów 24 października, według raportu platformy zabezpieczeń blockchain Blocksec Phalcon. W tym przypadku aktualizacja umowy nie była przyczyną strat. Zamiast tego kod zawierał wadę, która pozwalała atakującemu na „wyczerpanie wrażliwej umowy”.
Według Blocksec, zespół Ramses został poinformowany o ataku i podjął działania, aby go zatrzymać.
Źródło: Blocksec Phalcon.
Inna firma zajmująca się bezpieczeństwem blockchain, SolidityScan, dostarczyła raport pośmiertny dotyczący exploitu 25 października. Atakujący użył jednego tokena nienadającego się do podziału, aby wielokrotnie otrzymywać nagrody, bez konieczności czekania na upłynięcie nowego okresu nagród. To były te nadmierne nagrody, które nie miały być częścią projektu protokołu, które pozwoliły na wyczerpanie puli nagród, co skutkowało stratami w wysokości 93 000 dolarów.
Ramses został poddany audytowi przez firmę zabezpieczającą Yearn Academy w 2023 roku. SolidityScan nie określił, czy exploit znajdował się w wersji audytowanej, czy został dodany później.
Zgodnie z raportem zespół Ramses przyznał się do ataku i stwierdził, że salda użytkowników pozostaną nietknięte.
Indyjskie władze mówią, że oszust kryptowalutowy ukradł 297 tys. dolarów.
Policja w Dhone w Indiach prowadzi dochodzenie w sprawie oskarżeń, że oszust kryptowalutowy ukradł fundusze od około 320 osób w różnych regionach kraju, zdobywając ponad 23 miliony rupii indyjskich (297 000 dolarów) od ofiar, zgodnie z raportem Deccan Chronicle.
Rzekomy oszust, Ramanjaneyulu, rzekomo obiecał inwestorom dochód w wysokości 10 000 rupii (119 dolarów) miesięcznie w zamian za wpłacenie kryptowalut. Oskarżyciele twierdzili, że twierdził, iż jest wspierany przez prominentne giełdy, takie jak Binance i OKX, a także że reprezentuje firmę zajmującą się ziołami organicznymi.
Policja wciąż prowadzi dochodzenie w sprawie zarzutów, a żaden formalny przypadek nie został zarejestrowany.
