Хакерам и мошенникам за последние 6 месяцев удалось украсть из проектов Web3 больше, чем за весь 2021 год, сообщает TechRadar со ссылкой на отчёт CertiK https://vk.cc/cf3252.
Сумма украденных за полгода средств составила $2 млрд. Социальная инженерия всё ещё остаётся излюбленным инструментом мошенников, однако в последнее время всё большую популярность приобретают атаки с использованием Flash Loan или флэш-кредитов (взять средства в долг, купить цифровые монеты, продать, вернуть средства).
Флэш-кредиты используют для получения быстрого дохода, играя на разнице валют. При этом достаточно, чтобы на счету у пользователя была только сумма для оплаты комиссии за транзакции. Зачастую эту схему используют для махинаций с курсами токенов, а также для скупки всех токенов управления в проекте и голосования за вывод всех средств, как было с Beanstalk в апреле этого года.
С помощью флэш-кредитов злоумышленник выкупил контрольный пакет токенов и в ту же минуту проголосовал за вывод средств в свою пользу.
Атака на Beanstalk стала самой масштабной атакой с использованием флэш-кредита во втором квартале 2022 года.
По данным CertiK, во втором квартале 2022 года злоумышленники совершили 27 атак с использованием флэш-кредитов, что привело к потерям в размере $308 млн.
Число фишинговых атак увеличилось со 106 в первом квартале до 290 во втором квартале этого года. Чаще всего злоумышленники пытались скомпрометировать эндпоинты через Discord — одну из самых популярных платформ среди разработчиков и энтузиастов из сферы Web3.