Децентрализованные финансы (DeFi) иногда критикуют как «дикий запад» криптоиндустрии. Если $2,32 млрд, украденные в этом году из нескольких протоколов, можно использовать как точное описание сегодняшнего состояния DeFi, то критики смеются до последнего. Получайте биткоин бесплатно на лучшем кране криптовалют.
Утверждается, что DeFi началась с запуском Биткойна в 2009 году, но настоящий взлет DeFi произошел в 2020 году с запуском инвестиционной стратегии Compound Finance, так называемой «доходной фермы».
Сейчас используются тысячи децентрализованных приложений, или dApps. DeFiLlama сообщает, что в DeFi заблокировано более 53,73 миллиарда долларов США общей стоимости — цифры настолько сочные, что привлекли внимание нежелательных субъектов — хакеров.
Взлом системы
DeFi — это часть криптовалюты, которая в целом осталась верна основополагающему принципу Биткойна — децентрализации и конфиденциальности, сохраняя циничную отстраненность от правительственного надзора. Однако без контроля такие свободы сопряжены с большим риском.
По данным компании PeckShield, специализирующейся на безопасности блокчейна, в этом году хакеры похитили из индустрии DeFi более 2,32 миллиарда долларов, используя более 135 эксплойтов. Эта цифра на 50% больше, чем было украдено из всего сектора за весь 2021 год.
На протяжении многих лет онлайн-воры использовали различные тактики для выполнения своей работы. Среди наиболее используемых методов атаки — honeypot, афера с выходом, эксплойт, контроль доступа и флэш-кредитование, говорится в базе данных REKT. Вот десять лучших DeFi эксплойтов 2022 года по версии PeckShield.
Ronin Network: Убыток — 620 миллионов долларов
Ronin Network, основанный на Ethereum сайдчейн для криптоигры Axie Infinity, в марте был обманут на сумму более $620 млн в ETH и USDC. Злоумышленник «использовал взломанные приватные ключи, чтобы подделать фальшивые выводы средств» из бридж-контракта Ronin в двух транзакциях.
Эксплойт, совершенный 23 марта, был обнаружен только неделю спустя, когда один из пользователей не смог вывести 5 000 эфиров. В общей сложности хакеру удалось завладеть 173 600 ETH и 25,5 миллионами USDC, которые на тот момент оценивались более чем в 620 миллионов долларов США.
Взлом Ronin Network считается крупнейшим взломом DeFi в истории. По данным PeckShield, он остается крупнейшим и в этом году.
Wormhole Bridge: Убыток — 320 миллионов долларов
2 февраля злоумышленник вывел из протокола Wormhole, популярного межцепочечного криптомоста между Solana, Ethereum, Avalanche и другими, более 320 миллионов долларов в обернутых ETH.
Пользователи Wormhole должны делать ставки в ethereum, чтобы майнить обернутые ETH — тип криптовалюты, привязанный к цене ethereum.
Аналитическая компания Elliptic обвинила в эксплойте неспособность Wormhole подтвердить учетные записи «хранителей». Это позволило злоумышленнику майнить 120 000 wETH без поддержки ethereum. Затем хакер обменял 93 750 wETH на ethereum, а оставшуюся сумму обменял на Solana. Общая стоимость убытков на тот момент составляла более 320 миллионов долларов.
Nomad Bridge: Убыток — $190 млн.
2 августа хакеры вывели около 190 миллионов долларов в криптовалюте из Nomad, инструмента, позволяющего пользователям обменивать токены с одного блокчейна на другой.
Атака началась с обновления кода Nomad. Раздел смарт-контракта помечался как действительный каждый раз, когда пользователи совершали транзакцию. Это позволило злоумышленникам вывести больше активов, чем было размещено на платформе. Хакеры повторяли этот процесс до тех пор, пока из моста не было выведено 190 миллионов долларов в криптовалюте. Nomad так и не узнал об этом, пока не стало слишком поздно.
Beanstalk Farms: Потеря $182 млн.
В апреле злоумышленники слили $182 млн криптовалюты из Beanstalk Farms, протокола DeFi, направленного на балансировку спроса и предложения различных криптоактивов.
Компания PeckShield сообщила, что злоумышленник воспользовался системой управления Beanstalk, основанной на большинстве голосов, и проголосовал за отправку себе $182 млн. Злоумышленник использовал флэш-кредит для получения контрольного пакета акций протокола, но его фактическая прибыль составила всего 80 миллионов долларов, сообщили в компании.
Wintermute: Убыток $160 млн.
Wintermute — последний протокол DeFi, ставший жертвой хакеров, которые похитили 160 миллионов долларов из децентрализованной финансовой секции платформы. Генеральный директор компании Евгений Гаевой заявил, что взлом связан с критической ошибкой в инструменте Profanity, генерирующем адресаф тщеславия Ethereum.
Он сказал, что Wintermute использовал этот инструмент для генерации уникального адреса, чтобы сократить расходы на транзакции, а не для «тщеславия». Похоже, что за этой конкретной атакой стоит человеческая ошибка.
Элронд: Потери — $113 млн.
В июне хакеры воспользовались лазейкой на децентрализованной бирже Maiar, чтобы украсть около 1,65 миллиона эголдов Elrond (EGLD), родного токена блокчейна Elrond. Исследователи сообщили, что злоумышленник развернул смарт-контракт и использовал три кошелька, чтобы украсть с биржи EGLD на сумму около 113 миллионов долларов.
Хакеры немедленно продали 800 000 единиц этого токена за 54 миллиона долларов на той же DEX, а остальная часть была продана на централизованных биржах или обменена на ethereum.
Horizon Bridge: Потери — $100 млн.
Спустя всего несколько дней после эксплойта Elrond хакеры нанесли новый удар 23 июня, обрушив мост Horizon почти на 100 миллионов долларов. Horizon — это платформа межцепочечной совместимости между сетями Ethereum, Binance Smart Chain и Harmony blockchain.
Компания PeckShield обнаружила, что более 98 миллионов долларов в различных токенах было слито с платформы, управляемой Harmony, и обменено на эфир. Пострадало более 50 000 пользовательских кошельков. Позже хакеры перевели 35 миллионов долларов через Tornado Cash.
Qubit Finance: Потери — $80 млн.
Протокол DeFi сообщил 28 января, что он был использован злоумышленником, который украл 206 809 монет binance (BNB) из протокола QBridge. В общей сложности токены были оценены в 80 миллионов долларов.
По данным компании Certik, злоумышленник воспользовался опцией депозита в контракте QBridge, чтобы добыть 77 162 qXETH — криптовалюту, используемую для представления ethereum, соединенного мостом через Qubit. Злоумышленник обманул платформу, заставив ее поверить, что он внес депозит. Повторив процесс достаточное количество раз, они обменяли активы на BNB и исчезли.
Cashio: Потери — $48 млн.
Cashio, протокол стабильных монет на платформе Solana, в марте пострадал от того, что команда назвала «глюком бесконечного монетного двора». Хакеры выкачали из протокола 48 миллионов долларов, что привело к краху стабильной криптовалюты Cashio CASH.
Cashio позволяет пользователям майнить стейблкоин CASH, все депозиты которого обеспечены процентными токенами поставщика ликвидности. Злоумышленник намайнил миллиарды CASH и обменял их на USDC и UST, которые сами рухнули, после чего вывел средства через DEX Saber.
После взлома курс CASH, привязанный к доллару, упал до 0 долларов. Злоумышленник вернул деньги на счета, на которых хранилось менее $100 000, и пообещал пожертвовать остальное на благотворительность. Это последнее, что мы когда-либо слышали о нем, о награбленном Cashio. CASH мертв.
Крик: Потери — $38 млн.
Кредитная платформа Scream на базе Fantom пострадала, возможно, от одного из самых неосторожных эксплойтов в DeFi в этом году, с точки зрения безопасности протокола. Scream взяла на себя долг в 38 миллионов долларов после того, как стабильные монеты, Fantom USD (fUSD) и DEI, стоимость которых была зафиксирована на уровне 1 доллара, потеряли привязку.
Поскольку в протоколе была жестко закодирована стоимость этих двух стабильных монет, снижение стоимости активов не отобразилось на Scream. Киты воспользовались этой лазейкой, чтобы слить из протокола все другие ценные стабильные монеты, в то время как депонировали обесцененные fUSD и DEI.
В общей сложности из сети утекло 38 миллионов долларов в стабильных монетах FRAX, USDT, USDC и MIM. После инцидента Scream отказался от хардкорного ценообразования и перешел на оракулы Chainlink для получения данных о ценах в режиме реального времени. Киты сохранили свою добычу. Хороший день для дегенов!
Что случилось с украденными миллиардами?
Ну, они были потеряны. Большая часть навсегда.
PeckShield заявила, что около 50%, или $1,16 млрд, денег, украденных из вышеупомянутых протоколов, были отмыты через Tornado Cash, криптовалютный миксер на базе Ethereum, на который правительство США наложило санкции в августе, вызвав бурную реакцию криптосообщества.
Tornado Cash позволяет пользователям криптовалют затушевывать историю своих финансовых операций, что затрудняет их отслеживание. По данным американского агентства безопасности ФБР, микшер был использован связанной с Северной Кореей хакерской группой Lazarus для отмывания более $7 млрд в криптовалюте с 2019 года.
В то время как хакеры исчезли с миллиардами, пострадавшие протоколы DeFi предприняли ряд попыток вернуть свои деньги, но без особого успеха. Один из способов сделать это — просто умолять злоумышленника вернуть незаконно нажитое в обмен на какое-то поощрение. Или вообще никакого.
Компания Qubit Finance попыталась сделать это и предложила вознаграждение в размере 2 миллионов долларов — максимум, который она может предложить за любое так называемое «белое» хакерское признание. Это не сработало. Harmony также попробовала ту же идею. Она предложила вознаграждение в 1 миллион долларов за возвращение 100 миллионов долларов, украденных из Horizon bridge, и пообещала не выдвигать уголовных обвинений. Хакеры проигнорировали призыв. Ничего не было возвращено.
Однако аналогичная стратегия сработала в отношении Poly Network в августе 2021 года: злоумышленники вернули большую часть из 600 миллионов долларов, которые они украли.
Это везение распространяется и на Ronin. В начале этого месяца сеть вернула 30 миллионов долларов из потерянных денег с помощью фирмы Chainalysis, занимающейся криптозащитой, Казначейства США и ФБР. Но это всего лишь 5% от 620 миллионов долларов, похищенных во время взлома. По оценкам ФБР, около 455 миллионов долларов было выведено через Tornado Cash предполагаемым злоумышленником Lazarus Group.
Хакеры Nomad Bridge также вернули платформе 9 миллионов долларов через день после того, как в результате эксплуатации межцепочечного моста было похищено 190,4 миллиона долларов. Получив 10% вознаграждение за любые возвращенные средства, белые хакеры взломали еще 32 миллиона долларов из общей суммы награбленного и вернули их в кросс-чейн мост. Оставшаяся часть, большая часть, была перетасована хакерами между различными адресами, поскольку они отчаянно пытались сохранить украденное богатство. Им это удалось.
Wormhole так и не вернул свои 320 миллионов долларов. Ее пришлось спасать. Компания Jump Trading Group, владеющая долей в протоколе, вложила 120 000 украденных ETH после устранения уязвимости.
Как не стать жертвой взлома
Очевидно, что блокчейн-мосты являются самым слабым звеном в DeFi. Для отдельных лиц и протоколов есть способы оставаться в безопасности.
«Необходимо составлять четкое техническое задание при разработке проектов, максимально покрывать функциональность проектов тестами, чтобы избежать логических ошибок», — сказал Be[In]Crypto Алекс Белец, основатель фирмы по безопасности блокчейна Smart State.
«Используйте автоматические сканеры уязвимостей, не пытайтесь реализовать вещи, для которых существуют библиотеки Выполняйте аудиты и храните свои закрытые ключи в безопасности. Не используйте сторонние приложения, такие как Profanity, для генерации приватных ключей (причина взлома Wintermute)», — добавил он.