10 марта поступила информация, что DeFi-кредитный протокол Compound Finance вновь столкнулся с инцидентом безопасности фронтенда. Несколько пользователей сообщили о необычной активности на официальном сайте проекта, который был перенаправлен на подозрительную фишинговую страницу. Этот инцидент считается последним случаем в серии атак на сайты DeFi-платформ за последнее время.
По словам команды по безопасности проекта, злоумышленники создали фишинговый сайт, подделав похожий домен «compOOnd», и перенаправляли посетителей на него. Однако команда отметила, что на данный момент не зафиксировано потерь средств пользователей, все учетные данные пострадавших инфраструктурных аккаунтов были заменены, и системный риск взят под контроль.
Это уже второе за менее чем два года подобное нападение на фронтенд Compound. Ранее, в июле 2024 года, несколько доменов DeFi-проектов, размещённых на Squarespace, были атакованы хакерами, и сайт Compound также пострадал. Эксперты по безопасности отмечают, что с ростом автоматизации инструментов фишинга технический порог для подобных атак снижается.
В этом случае причина, по которой средства пользователей остались невредимыми, частично связана с отличиями в способах развертывания ключевых интерфейсов для транзакций. Согласно официальной информации, поддомен app.compound.finance, используемый для подключения кошельков и выполнения транзакций, работает через сеть IPFS, что позволяет команде по безопасности независимо проверять целостность кода и снижать риск вмешательства со стороны фронтенда.
Несмотря на то, что данный инцидент не привёл к финансовым потерям, для Compound, ранее входившего в число ведущих DeFi-протоколов, серия недавних проблем продолжает подрывать доверие рынка. За последние годы проект неоднократно сталкивался с операционными и управленческими спорами. Например, ранее DAO Compound подвергалось критике со стороны сообщества из-за потенциальных конфликтов интересов с поставщиком услуг по управлению рисками Gauntlet.
Ранее, в 2022 году, ошибка в операциях привела к приостановке работы рынка cETH стоимостью более 8 миллиардов долларов примерно на неделю, пока не были выполнены технические исправления. Также в 2021 году в ходе обновления протокола произошли ошибки при распределении наград, в результате чего около 1,5 миллиарда токенов были случайно выданы пользователям.
Аналитики отмечают, что с расширением масштаба DeFi-индустрии безопасность фронтенда, защита доменов и прозрачность управления становятся важными факторами для долгосрочной стабильности протоколов. Для платформ кредитования любой уязвимый сайт может стать важным входом для злоумышленников, осуществляющих фишинговые атаки.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
RAVE стремительно разгоняет волну интереса к монетам-клонам, FF и INX раскрывают схему «накачать — и распродать»
В последнее время клоны-монеты, представленные RAVE, вызвали бурный инвестиционный ажиотаж, но некоторые прежние звёздные проекты, такие как FF и INX, воспользовались этим всплеском для операций по принципу «накачать и разгрузить»: быстро разгоняли цену монеты, чтобы привлечь розничных инвесторов, а затем резко продавали, что привело к стремительному падению цен. Такое поведение не только раскрыло финансовые трудности со стороны команды проекта, но и подорвало доверие инвесторов. Инвесторам нужно быть бдительными к таким сигналам, как краткосрочный аномальный разгон, чтобы избежать рисков, связанных с манипулированием рынком.
MarketWhisper3ч назад
ФБР и Индонезия объединились, чтобы ликвидировать фишинговую сеть W3LL; в деле фигурирует более 20 миллионов долларов США
ФБР США и полиция Индонезии совместно успешно ликвидировали W3LL-фишинговую сеть, изъяли связанное оборудование и задержали подозреваемых. Набор инструментов W3LL-фишинга предлагается по низкой цене и использует атаки «человек посередине», чтобы обойти многофакторную аутентификацию и предоставить фальшивые страницы входа, формируя организованную экосистему сетевых преступлений. Эта операция знаменует сотрудничество США и Индонезии в сфере правоохранительного пресечения киберпреступлений, однако угрозы безопасности для пользователей криптовалют по-прежнему остаются серьёзными.
MarketWhisper6ч назад
Squads Срочное предупреждение: отравление адресов, поддельные многосторонние учетные записи с подписями — механизм белого списка будет запущен
Многосторонние (multisig) соглашения в экосистеме Solana Squads выдали предупреждение, указав, что злоумышленники проводят атаку с отравлением адресов пользователей, инициируя вредоносные действия через адреса. Подделывая учетные записи, атакующие вводят пользователей в заблуждение, чтобы они совершали неправомерные переводы. Squads подтвердили, что потерь средств не было, и подчеркнули, что это является атакой социальной инженерии, а не уязвимостью протокола. Для противодействия Squads уже внедрили меры защиты, включая систему предупреждений, подсказки для непересекающихся (неинтерактивных) учетных записей и механизмы белого списка. Этот инцидент отражает рост угроз социальной инженерии в экосистеме Solana и вызвал продолжительные проверки безопасности.
MarketWhisper7ч назад
Корейская организация по «мстительным посредникам» принимает оплату в USDT за исполнение насильственных преступлений; после задержания главного подозреваемого она продолжает работать
В Южной Корее в последнее время появилось несколько организаций «мстительных посредников», которые используют криптовалюты в качестве средства платежа; они предоставляют услуги по запугиванию и организации убийств через Telegram. Хотя главный виновник уже арестован, соответствующие объявления продолжают публиковаться. Полиция расследует более 50 дел и задержала около 30 человек.
GateNews9ч назад
Фейковое приложение Ledger в App Store Apple опустошает пенсионный фонд музыканта на 5,9 BTC
Фальшивое приложение Ledger в App Store от Apple обмануло музыканта Гарретта Даттона, заставив его лишиться 5.9 BTC, введя его seed phrase (seed-фразу). Этот случай подчеркивает продолжающиеся мошенничества с кошельками и использование доверия, поскольку украденный биткоин был отмыт через KuCoin.
CryptoNewsFlash13ч назад
Некрупный CEX подвергся вымогательству без уступок: затронуто примерно 2000 учетных записей, безопасность средств клиентов не находится под угрозой
Некрипто-биржа подверглась вымогательству со стороны преступной организации, которая заявила, что опубликует видеозаписи доступа к внутренним системам. Биржа подтвердила, что не было системного взлома; средства клиентов в безопасности. Из‑за неправомерных действий сотрудников службы поддержки были получены доступы примерно к 2000 учетным записям данных; соответствующие полномочия прекращены и усилены меры безопасности. Компания сотрудничает с правоохранительными органами в рамках расследования.
GateNews16ч назад
