Децентрализованные финансы (DeFi) иногда критикуют как "дикий запад" криптоиндустрии. Если $2,32 млрд, украденные в этом году из нескольких протоколов, можно использовать как точное описание сегодняшнего состояния DeFi, то критики смеются до последнего.
Утверждается, что DeFi началась с запуском Биткойна в 2009 году, но настоящий взлет DeFi произошел в 2020 году с запуском инвестиционной стратегии Compound Finance, так называемой "доходной фермы".
Сейчас используются тысячи децентрализованных приложений, или dApps. DeFiLlama сообщает, что в DeFi заблокировано более 53,73 миллиарда долларов США общей стоимости - цифры настолько сочные, что привлекли внимание нежелательных субъектов - хакеров.
Взлом системы DeFi - это часть криптовалюты, которая в целом осталась верна основополагающему принципу Биткойна - децентрализации и конфиденциальности, сохраняя циничную отстраненность от правительственного надзора. Однако без контроля такие свободы сопряжены с большим риском.
По данным компании PeckShield, специализирующейся на безопасности блокчейна, в этом году хакеры похитили из индустрии DeFi более 2,32 миллиарда долларов, используя более 135 эксплойтов. Эта цифра на 50% больше, чем было украдено из всего сектора за весь 2021 год.
На протяжении многих лет онлайн-воры использовали различные тактики для выполнения своей работы. Среди наиболее используемых методов атаки - honeypot, афера с выходом, эксплойт, контроль доступа и флэш-кредитование, говорится в базе данных REKT. Вот десять лучших DeFi эксплойтов 2022 года, подготовленных PeckShield.
Ronin Network, основанный на Ethereum сайдчейн для криптоигры Axie Infinity, в марте был обманут на сумму более $620 млн в ETH и USDC. Злоумышленник "использовал взломанные приватные ключи, чтобы подделать фальшивые выводы средств" из бридж-контракта Ronin в двух транзакциях.
Эксплойт, который произошел 23 марта, был обнаружен только неделю спустя, когда один из пользователей не смог вывести 5 000 эфиров. В общей сложности хакеру удалось завладеть 173 600 ETH и 25,5 миллионами USDC, которые на тот момент оценивались более чем в 620 миллионов долларов США.
Взлом Ronin Network считается крупнейшим взломом DeFi в истории. По данным PeckShield, он остается самым крупным и в этом году.
2 февраля злоумышленник вывел из протокола Wormhole, популярного межцепочечного криптомоста между Solana, Ethereum, Avalanche и другими, более 320 миллионов долларов в криптовалюте ETH.
Пользователи Wormhole должны делать ставки в ethereum, чтобы майнить обернутые ETH - тип криптовалюты, привязанный к цене ethereum.
Аналитическая компания Elliptic обвинила в эксплойте неспособность Wormhole подтвердить учетные записи "хранителей". Это позволило злоумышленнику майнить 120 000 wETH без поддержки ethereum. Затем хакер обменял 93 750 wETH на ethereum, а оставшуюся сумму обменял на Solana. Общая стоимость убытков на тот момент составляла более 320 миллионов долларов.
2 августа хакеры вывели около 190 миллионов долларов в криптовалюте из Nomad, инструмента, позволяющего пользователям обменивать токены с одного блокчейна на другой.
Атака началась с обновления кода Nomad. Раздел смарт-контракта помечался как действительный каждый раз, когда пользователи совершали транзакцию. Это позволило злоумышленникам вывести больше активов, чем было размещено на платформе. Хакеры повторяли этот процесс до тех пор, пока из моста не было выведено 190 миллионов долларов в криптовалюте. Nomad так и не узнал об этом, пока не стало слишком поздно.
В апреле злоумышленники слили $182 млн криптовалюты из Beanstalk Farms, протокола DeFi, направленного на балансировку спроса и предложения различных криптоактивов.
PeckShield сообщил, что злоумышленник воспользовался мажоритарной системой управления Beanstalk и проголосовал за отправку себе $182 млн. Злоумышленник использовал флэш-кредит, чтобы получить контрольный пакет акций протокола, но его фактическая прибыль составила лишь около 80 миллионов долларов, заявили в компании.
Wintermute - последний протокол DeFi, ставший жертвой хакеров, которые похитили 160 миллионов долларов из децентрализованной финансовой секции платформы. Генеральный директор Евгений Гаевой заявил, что взлом был связан с критической ошибкой в инструменте Profanity, генерирующем адреса тщеславия Ethereum.
Он сказал, что Wintermute использовал этот инструмент для генерации уникального адреса, чтобы сократить расходы на транзакции, а не для "тщеславия". Похоже, что за этой конкретной атакой стоит человеческая ошибка.
В июне хакеры воспользовались лазейкой на децентрализованной бирже Maiar, чтобы украсть около 1,65 миллиона эголдов Elrond (EGLD), родного токена блокчейна Elrond. Исследователи сообщили, что злоумышленник развернул смарт-контракт и использовал три кошелька, чтобы украсть с биржи EGLD на сумму около 113 миллионов долларов.
Хакеры немедленно продали 800 000 единиц этого токена за 54 миллиона долларов на той же DEX, а остальная часть была продана на централизованных биржах или обменена на ethereum.
Спустя всего несколько дней после эксплойта Elrond хакеры нанесли новый удар 23 июня, обрушив мост Horizon почти на 100 миллионов долларов. Horizon - это платформа межцепочечной совместимости между сетями Ethereum, Binance Smart Chain и Harmony blockchain.
Компания PeckShield обнаружила, что более 98 миллионов долларов в различных токенах было слито с платформы, управляемой Harmony, и обменено на эфир. Пострадало более 50 000 пользовательских кошельков. Позже хакеры перевели 35 миллионов долларов через Tornado Cash.
Протокол DeFi сообщил 28 января, что он был использован злоумышленником, который украл 206 809 монет binance (BNB) из протокола QBridge. В общей сложности токены были оценены в 80 миллионов долларов.
По данным компании Certik, злоумышленник воспользовался опцией депозита в контракте QBridge для майнинга 77 162 qXETH - криптовалюты, используемой для представления ethereum, соединенного мостом через Qubit. Злоумышленник обманул платформу, заставив ее поверить, что он внес депозит. Повторив процесс достаточное количество раз, они обменяли активы на BNB и исчезли.
Cashio, протокол стабильных монет на платформе Solana, в марте пострадал от того, что команда назвала "глюком бесконечного монетного двора". Хакеры выкачали из протокола 48 миллионов долларов, что привело к краху стабильной криптовалюты Cashio CASH.
Cashio позволяет пользователям майнить стейблкоин CASH, все депозиты которого обеспечены процентными токенами поставщика ликвидности. Злоумышленник намайнил миллиарды CASH и обменял их на USDC и UST, которые сами рухнули, после чего вывел средства через DEX Saber.
После взлома курс CASH, привязанный к доллару, упал до 0 долларов. Злоумышленник вернул деньги на счета, на которых хранилось менее $100 000, и пообещал пожертвовать остальное на благотворительность. Это последнее, что мы когда-либо слышали о нем, о награбленном Cashio. CASH мертв.
Кредитная платформа Scream на базе Fantom пострадала, возможно, от одного из самых неосторожных эксплойтов в DeFi в этом году, с точки зрения безопасности протокола. Scream взяла на себя долг в 38 миллионов долларов после того, как стабильные монеты, Fantom USD (fUSD) и DEI, стоимость которых была зафиксирована на уровне 1 доллара, потеряли привязку.
Поскольку в протоколе была жестко закодирована стоимость этих двух стабильных монет, снижение стоимости активов не отобразилось на Scream. Киты воспользовались этой лазейкой, чтобы слить из протокола все другие ценные стабильные монеты, в то время как депонировали обесцененные fUSD и DEI.
В общей сложности из сети утекло 38 миллионов долларов в стабильных монетах FRAX, USDT, USDC и MIM. После инцидента Scream отказался от хардкорного ценообразования и перешел на оракулы Chainlink для получения данных о ценах в режиме реального времени. Киты сохранили свою добычу. Хороший день для дегенов!
Ну, они были потеряны. Большая часть навсегда.
PeckShield заявила, что около 50%, или 1,16 миллиарда долларов, денег, украденных из вышеупомянутых протоколов, были отмыты через Tornado Cash, криптовалютный миксер на базе Ethereum, на который правительство США наложило санкции в августе, вызвав бурную реакцию криптосообщества.
Tornado Cash позволяет пользователям криптовалют затушевывать историю своих финансовых операций, что затрудняет их отслеживание. По данным американского агентства безопасности ФБР, микшер был использован связанной с Северной Кореей хакерской группой Lazarus для отмывания более $7 млрд в криптовалюте с 2019 года.
В то время как хакеры исчезли с миллиардами, пострадавшие протоколы DeFi предприняли ряд попыток вернуть свои деньги, но без особого успеха. Один из способов сделать это - просто умолять злоумышленника вернуть незаконно нажитое в обмен на какое-то поощрение. Или вообще ничего.
Qubit Finance попыталась сделать это и предложила вознаграждение в размере 2 миллионов долларов - максимум, который она могла предложить за любую так называемую "белую" хакерскую просьбу. Это не сработало. Компания Harmony также попробовала ту же идею. Она предложила вознаграждение в 1 миллион долларов за возвращение 100 миллионов долларов, украденных из Horizon bridge, и пообещала не выдвигать уголовных обвинений. Хакеры проигнорировали призыв. Ничего не было возвращено.
Однако аналогичная стратегия сработала в отношении Poly Network в августе 2021 года: злоумышленники вернули большую часть из 600 миллионов долларов, которые они украли.
Это везение распространяется и на Ronin. В начале этого месяца сеть вернула 30 миллионов долларов из потерянных денег с помощью фирмы Chainalysis, занимающейся криптозащитой, Казначейства США и ФБР. Но это всего лишь 5% от 620 миллионов долларов, похищенных во время взлома. По оценкам ФБР, около 455 миллионов долларов было выведено через Tornado Cash предполагаемым злоумышленником Lazarus Group.
Хакеры Nomad Bridge также вернули платформе 9 миллионов долларов через день после того, как в результате эксплуатации межцепочечного моста было похищено 190,4 миллиона долларов. Получив 10% вознаграждение за любые возвращенные средства, белые хакеры взломали еще 32 миллиона долларов из общей суммы награбленного и вернули их в кросс-чейн мост. Оставшаяся часть, большая часть, была перетасована хакерами между различными адресами, поскольку они отчаянно пытались сохранить украденное богатство. Им это удалось.
Wormhole так и не вернул свои 320 миллионов долларов. Ее пришлось спасать. Компания Jump Trading Group, владеющая долей в протоколе, вложила 120 000 украденных ETH, после того как уязвимость была устранена.
Очевидно, что блокчейн-мосты являются самым слабым звеном в DeFi. Для отдельных людей и протоколов есть способы оставаться в безопасности.
"Необходимо составлять четкое техническое задание при разработке проектов, максимально покрывать функциональность проектов тестами, чтобы избежать логических ошибок", - сказал Be[In]Crypto Алекс Белец, основатель фирмы по безопасности блокчейна Smart State.
"Используйте автоматические сканеры уязвимостей, не пытайтесь реализовать вещи, для которых существуют библиотеки Выполняйте аудиты и храните свои закрытые ключи в безопасности. Не используйте сторонние приложения, такие как Profanity, для генерации приватных ключей (причина взлома Wintermute)", - добавил он.
🐒** CryptoMonkeys**
Flex with us or die trying