Череда взломов: атака на Holograph, фейк-биржа и награда от UwU Lend

Нативный токен блокчейна Holograph упал на 80% после того, как злоумышленник взломал смарт-контракт оператора протокола и выпустил 1 млрд HLG на сумму $14,4 млн.

14 июня команда сети подтвердила атаку и сообщила об исправлении ошибки. Проект также обратился к централизованным биржам и правоохранительным органам для заморозки украденных активов. 

The Holograph Operator contract has been exploited by a malicious actor, enabling the hacker to mint 1 billion additional HLG

The team has patched the initial exploit & is working with exchange partners to lock the malicious accounts

The team has launched an investigation & is…

— Holograph (@holographxyz) June 13, 2024

По данным Etherscan, хакер выпустил 1 млрд HLG в ходе девяти транзакций. Первую партию он запустил 13 июня около 10:00 (Киев/МСК). 

Спустя 10 минут токен начал падать, обрушившись с $0,014 до $0,002. На момент написания монета восстановилась до $0,006. 

При текущем курсе 1 млрд HLG оценивается примерно в $6,8 млн. Однако хакер начал конвертировать свои созданные монеты в USDT спустя четыре часа после атаки. 

Аналитик венчурной компании CMT Digital Мэтт Касто считает, что злоумышленник был «разработчиком-мошенником», который за 26 дней до инцидента профинансировал адрес получателя выпущенных HLG.

Looks like a rogue dev who funded the address 26 days ago. That address was the the one who received the minted supply. https://t.co/30E8Bqwkwt pic.twitter.com/Pv7kztTvNK

— Matt (@mcasto_) June 13, 2024

Ненастоящая криптобиржа

13 июня Отдел ценных бумаг Департамента финансовых учреждений штата Вашингтон (DFI) опубликовал предупреждение о фейковой торговой платформе Ethfinance. 

Изначально в ведомство поступила жалоба от инвестора. Он обнаружил рекламу биржи в соцсети LinkedIn и перевел на нее около $310 000 из своего «DeFi-кошелька». 

После торгов пользователь решил вывести часть депозита и прибыли, но не смог этого сделать. Техподдержка Ethfinance посоветовала внести дополнительный депозит. Однако клиент отказался, и его заблокировали. 

В DFI заявили, что случай похож на «мошенничество с предоплатой» — тип скама, при котором жертвам обещают деньги, товары или услуги в обмен на небольшой авансовый платеж. При этом регулятор не подтвердил обвинения. 

Трекер мошенничества DFI показывает, что платформа также упоминалась в другой жалобе. Житель Калифорнии сообщил о потере более $165 000 после того, как ему пообещали в интернете научить торговать криптоопционами. 

Инвестор осознал ситуацию, когда «генеральный директор службы поддержки клиентов» в Telegram попросил его отправить 25% прибыли в качестве «налогов» для завершения вывода средств. 

Награда за голову

Команда DeFi-протокола UwU Lend предложила $5 млн за идентификацию взломщика. 

«Срок возврата украденных вами средств истек. Награда в размере $5 млн, кто первым идентифицирует и обнаружит вас», — говорится в ончейн-сообщении.

Разработчики пообещали выплатить средства в Ethereum до возвращения украденных активов и возбуждения дела против хакера. 

UwU Lend подвергся сразу двум атакам за неделю. 10 июня платформу взломали на $19,3 млн. Тогда работу протокола приостановили спустя пару часов после инцидента.

13 июня хакер вывел еще $3,72 млн в различных активах. В обоих взломах участвовал один и тот же адрес кошелька. Изначально в UwU Lend предложили хакеру вернуть 80% украденных средств, но ответа так и поступило.

Нативный токен протокола UWU после атак просел на 18% — с $3,1 до $2,5, согласно CoinGecko.

Напомним, в начале июня децентрализованная биржа Velocore подверглась атаке. Хакер вывел из пулов в L2-сетях Linea и zkSyncEra примерно $6,8 млн в Ethereum.

В мае японская криптобиржа DMM Bitcoin потеряла $305 млн в ходе взлома. Платформа намерена привлечь финансовую поддержку для выплаты компенсаций пользователям.