Автор: token-news

Сегодня стало известно о технической уязвимости во фронтенде протокола Morpho. О проблеме сообщил Чаофан Шоу, сооснователь Fuzzland. Он призвал пользователей временно воздержаться от взаимодействия с приложением. Речь шла о компоненте Bundler3, где была обнаружена ошибка в формировании транзакций. Эта ситуация вызвала беспокойство среди участников сообщества, однако сотрудники Morpho Labs оперативно отреагировали на инцидент. По данным от представителей проекта, сбой произошел в результате обновления пользовательского интерфейса, направленного на улучшение логики отправки транзакций. Первое сообщение о неисправности поступило в 4:54 (МСК). Уже через 50 минут команда выявила источник проблемы, еще через 40 минут — полностью устранила его. В 6:23 разработчики Morpho уведомили…

В экосистеме Morpho произошел инцидент, в результате которого один из адресов утратил активы на сумму около $2,6 млн. Причиной стал баг во фронтенде Morpho, который позволил провести frontrun-атаку. По данным из блокчейна, средства были перехвачены юзером под псевдонимом c0ffeebabe.eth, который воспользовался ошибкой при оформлении транзакций и вывел значительную сумму в ETH. Судя по всему, за одну операцию перемещено более 1700 ETH с Wrapped Ether на сумму $2,65 млн, а также почти аналогичный объем ETH. Активы отправлены через промежуточного MEV-билдера. Отдельная транзакция ETH на сумму $1060 также была возвращена на адрес c0ffeebabe.eth. В дополнение к этому, в рамках перевода переместилось множество…

С ростом популярности цифровых монет и P2P-сервисов, таких как PayPal, Zelle и Revolut, мошенники начали использовать разрозненность финансовых систем в своих интересах. Перемещая средства между традиционными платформами и блокчейном, они создают сложности для следователей, которым все труднее наблюдать за операциями в режиме реального времени. Как отмечают эксперты Chainalysis, классические методы выявления мошенничества больше неэффективны. Даже банки и платежные системы, работающие в рамках одной юрисдикции, зачастую не обмениваются данными, а криптоплатформы имеют разную степень прозрачности. В результате этого возникает информационный разрыв, который дает возможность злоумышленникам ускользать от ответственности. Однако технологии анализа позволяют бороться с этими проблемами. Системы нового поколения, такие как…

По мере развития экосистемы больших языковых моделей (LLM) внимание привлекают инструменты, использующие протокол Model Context Protocol (MCP). Эти решения обеспечивают связку между ИИ-моделями и внешними системами — от API до криптовалютных кошельков. MCP уже широко используется в таких продуктах, как Claude Desktop и Cursor, однако вместе с функциональностью он приносит и новые риски атак. Команда безопасности блокчейнов SlowMist опубликовала MCP Security Checklist — руководство по защите MCP-экосистемы от потенциальных угроз. В документе подробно описаны уязвимости на 3 уровнях — Host (среды исполнения), Client (интерфейсов пользователя) и Server (инфраструктуры), — а также отдельные случаи при многопротокольной работе и в сценариях, связанных…

Аналитики из SlowMist установили, что причиной взлома проекта KiloEx стала критическая ошибка в контракте MinimalForwarder. Отсутствие базовой проверки доступа позволило злоумышленнику манипулировать ценами через цепочку вызовов смарт-контрактов. В частности, execute-функция дала возможность подменить адрес и подпись, пройти проверку и «вызвать нужные методы без ограничений». Это открыло путь к изменению ценового оракула и последующему извлечению прибыли. В результате хакеры похитили около $7 млн. Исследователи из SlowMist подробно описали цепочку вызовов, приведших к атаке. Сначала злоумышленник получил возможность активировать функцию setPrices в контракте KiloPriceFeed, которая используется для обновления данных о ценах. Это стало достижимым благодаря некорректной архитектуре вызовов между контрактами Keeper, PositionKeeper…

Мошеннический проект под видом токена GROK распространяется в Сети под прикрытием поддельной рекламы от имени Илона Маска. Об этом заявили аналитики из SlowMist. Публикация, оформленная как сообщение с верифицированного аккаунта X, обещает участникам «богатство в космосе» при переводе средств в GROK. Однако домен, через который якобы проводится эксклюзивная распродажа, уже был помечен как фишинговый и не имеет отношения к настоящим криптопроектам и Илону Маску. Сайт активно продвигается с помощью рекламы в соцсетях и обещает «гарантированное распределение токенов до публичного запуска». Кроме того, используются поддельные логотипы SlowMist, CertiK, метки KYC Verified и Audited by Certik для формирования доверия у пользователей. На…

Согласно данным на 15 апреля, пресс-служба децентрализованной торговой платформы KiloEx выступила с официальным обращением к хакеру, похитившему $7 млн из perp-казначейства протокола. Команда проекта дала злоумышленнику 72 часа на возврат 90% украденных средств, пообещав не прибегать к судебному преследованию в случае сотрудничества и даже публично признать роль «хакера белой шляпы». По словам представителей KiloEx, на данном этапе расследование проводится совместно с правоохранительными органами, аналитиками кибербезопасности, биржами и мостами. Команда заявила, что активно отслеживает связанные адреса злоумышленника и готова инициировать блокировку цифровых средств на всех доступных платформах. Сотрудники KiloEx предоставили адреса для возврата активов в сетях opBNB, BNB, Base, ETH и…

На фоне стремительного развития технологий искусственный интеллект применяется в преступной деятельности, связанной с криптоактивами. Согласно данным от Elliptic, ИИ становится инструментом, способным радикально изменить методы осуществления мошенничества и киберугроз. Одной из самых быстро распространяющихся форм преступности стали ИИ-усиленные скам-коммуникации, включая дипфейк-видео и чат-ботов, применяемых для «романтических» инвестиционных мошенничеств. Эксперты оценивают вероятность массового внедрения таких методов на 5,8 из 7. Специалисты подчеркивают рост доступности дипфейк-софта. Большую озабоченность вызывает и государственный кибершпионаж, в рамках которого ИИ применяется для разведки и поиска уязвимостей. В докладе упомянуты попытки групп из КНДР, Ирана и России использовать ИИ-инструменты от Microsoft, OpenAI и Google в потенциально вредоносных…

В смарт-контракте проекта R0AR была обнаружена критическая уязвимость. Она привела к потере 493,7 ETH — около $790 тыс. по текущему курсу. Инцидент вызвал повышенное внимание крупных блокчейн-аналитических компаний: PeckShield, CertiK и SlowMist. Представители этих организаций заявили о начале собственного расследования и сообщили детали атаки. Эксплуататор вывел украденные средства через Tornado Cash, что затрудняет дальнейшее отслеживание. Специалисты из SlowMist установили: причиной атаки стал бэкдор, встроенный в контракт на этапе развертывания. Он позволял напрямую изменять данные в хранилище, включая пользовательский баланс. В частности, сумма для одного адреса была искусственно увеличена, после чего активировалась функция экстренного вывода. Это позволило злоумышленнику получить все средства…

Ряд правоохранительных органов США отмечают, что они сталкиваются с системными проблемами при борьбе с деятельностью криптовалютных преступников. За последние несколько месяцев число мошенничеств выросло, причем жертвами хакеров в основном становятся пожилые люди. Согласно ряду отчетов, сейчас мошенники часто выдают себя за известных лиц, например, звезд и политиков. Также они подделывают ордера на арест, которые выдаются правоохранительными органами. Жертвы, опасаясь уголовного преследования, переводят цифровые активы на кошельки хакеров. По данным полицейского управления Линкольна и офиса шерифа округа Ланкастер, с 2020 года жители региона потеряли миллионы из-за мошенников в результате подобных мошенничеств. Также отмечалось, что с большой долей вероятности жертвы уже не…