💬 Десять лучших взломов DeFi 2022 года: хакеры становятся смелее

Десять лучших взломов DeFi 2022 года: хакеры становятся смелее

Децентрализованные финансы (DeFi) иногда критикуют как «дикий запад» криптоиндустрии. Если $2,32 млрд, украденных из нескольких протоколов в этом году, можно использовать как точное описание сегодняшнего состояния DeFi, то критики смеются последними.

Утверждается, что DeFi начался с запуска Биткойн в 2009 году, но по-настоящему взлетел в 2020 году, когда компания Compound Finance запустила так называемую инвестиционную стратегию "доходного фермерства".

Сейчас используются тысячи децентрализованных приложений или децентрализованных приложений. DeFiLlama сообщает, что в DeFi заблокировано более 53,73 млрд долларов общей стоимости — цифры настолько пикантны, что привлекли внимание нежелательных участников — хакеров.

Взлом системы

DeFi — это часть криптовалюты, которая в целом осталась верной основополагающему идеалу Биткойн — децентрализации и конфиденциальности, сохраняя циничную отстраненность от государственного надзора. Однако без контроля такие свободы сопряжены с большим риском.

По данным компании PeckShield, занимающейся безопасностью блокчейна, в этом году хакеры украли более 2,32 млрд долларов, используя более 135 эксплойтов в индустрии DeFi. Цифра на 50% превышает то, что было украдено со всего сектора за весь 2021 год.

На протяжении многих лет онлайн-воры использовали различные тактики для выполнения своей работы. Согласно базе данных REKT, наиболее часто используемые методы атаки включают приманку, мошенничество с выходом, эксплойт, контроль доступа и флэш-кредит. Вот десять самых популярных эксплойтов DeFi в 2022 году по версии PeckShield.

Ronin Network: убыток — 620 миллионов долларов

Ronin Network, основанная на Ethereum сайдчейн для криптоигры Axie Infinity, в марте была украдена более чем на 620 миллионов долларов США в ETH и USDC. Злоумышленник «использовал взломанные закрытые ключи для фальшивых выводов средств» из бридж-контракта Ronin в двух транзакциях.

Эксплойт, обнаруженный 23 марта, был обнаружен только через неделю, когда один пользователь не смог вывести 5000 эфиров. В общей сложности хакер скрылся с 173 600 ETH и 25,5 млн долларов США, что на тот момент оценивалось более чем в 620 млн долларов США.

Взлом Ronin Network считается крупнейшим взломом DeFi в истории. По словам PeckShield, в этом году он остается самым большим.

Мост через червоточину: убыток — 320 миллионов долларов

2 февраля злоумышленник вывел более 320 млн долларов ETH из протокола Wormhole, популярного межсетевого криптомоста между Solana, Ethereum, Avalanche и другими компаниями.

Пользователи червоточины должны стейкать эфириум, чтобы чеканить обернутый ETH, тип криптовалюты, который привязан к цене эфириума.

Аналитическая компания Elliptic обвинила в эксплойте неспособность Wormhole проверить учетные записи «хранителей». позволяя злоумышленнику отчеканить 120 000 wETH без поддержки эфириума. Затем хакер обменял 93 750 wETH на эфириум, а остаток обменял на Солану. Общая стоимость убытков на тот момент составляла более 320 млн долларов США.

Кочевой мост: убыток — 190 миллионов долларов

2 августа хакеры похитили криптовалюту на сумму около 190 млн долларов из Nomad, инструмента, который позволяет пользователям обменивать токены из одного блокчейна в другой.

Атака началась с обновления кода Nomad. Раздел смарт-контракта помечался как действительный каждый раз, когда пользователи совершали транзакцию. Это позволило злоумышленникам вывести больше активов, чем было размещено на платформе. Хакеры повторяли этот процесс до тех пор, пока 190 миллионов долларов в криптовалюте не были выведены из моста. Кочевник так и не узнал, пока не стало слишком поздно.

Beanstalk Farms: убыток 182 миллиона долларов

В апреле злоумышленник похитил 182 млн долларов криптовалюты из Beanstalk Farms, протокола DeFi, предназначенного для балансировки спроса и предложения различных криптоактивов.

PeckShield заявила, что злоумышленник воспользовался системой управления большинством голосов Beanstalk и проголосовал за то, чтобы отправить себе 182 миллиона долларов. Злоумышленник использовал быстрый кредит, чтобы получить контрольный пакет акций протокола, но их реальная прибыль составила всего около 80 млн долларов, говорится в сообщении фирмы.

Wintermute: убыток 160 миллионов долларов

Wintermut — это последний протокол DeFi, ставший жертвой хакеров, которые украли 160 миллионов долларов из раздела децентрализованных финансов платформы. Генеральный директор Евгений Гаевой сказал, что взлом был связан с критической ошибкой в ​​инструменте для генерации тщеславных адресов Ethereum Profanity.

Он сказал, что Wintermute использовал этот инструмент для создания уникального адреса, чтобы сократить транзакционные издержки, а не из "тщеславия". Похоже, что за этой конкретной атакой стоит человеческая ошибка.

Элронд: Убыток – 113 миллионов долларов

В июне хакеры воспользовались лазейкой на децентрализованной бирже Maiar, чтобы украсть около 1,65 млн elrond egold (EGLD), нативного токена блокчейна Elrond. Исследователи заявили, что злоумышленник развернул смарт-контракт и использовал три кошелька, чтобы украсть EGLD на сумму около 113 млн долларов с биржи.

Хакеры немедленно продали 800 000 токенов за 54 миллиона долларов на той же DEX, а остаток продали на централизованных биржах или обменяли на эфириум.

Horizon Bridge: убыток — 100 миллионов долларов

Всего через несколько дней после эксплойта Elrond 23 июня хакеры снова нанесли удар, взломав мост Horizon почти на 100 млн долларов. Horizon — это кроссчейн-платформа взаимодействия между сетями блокчейнов Ethereum, Binance Smart Chain и Harmony.

Компания PeckShield сообщила, что более 98 млн долларов в виде различных токенов было списано с платформы, управляемой Harmony, и обменяно на эфир. Пострадало более 50 000 пользовательских кошельков. Позже хакеры перевели через Tornado Cash 35 миллионов долларов.

Qubit Finance: убыток — 80 миллионов долларов

28 января протокол DeFi сообщил, что он был использован злоумышленником, который украл 206 809 монет Binance (BNB) из протокола QBridge. Общая стоимость токенов составила 80 млн долларов США.

По данным охранной компании Certik, злоумышленник использовал опцию депозита в контракте QBridge, чтобы отчеканить 77 162 qXETH — своего рода криптовалюту, используемую для представления эфириума, подключенного через Qubit. Злоумышленник обманул платформу, заставив ее поверить, что они внесли депозит. После повторения процесса достаточное количество раз они обменяли активы на BNB и исчезли.

Cashio: убыток — 48 миллионов долларов

Cashio, протокол стабильной монеты на Солане, в марте пострадал от того, что команда назвала «бесконечным сбоем монетного двора». Хакеры вывели из протокола 48 миллионов долларов, что привело к краху стабильной монеты Cashio CASH.

Cashio позволяет пользователям чеканить стабильную монету CASH, при этом все депозиты обеспечены процентными токенами поставщика ликвидности. Злоумышленник чеканил миллиарды CASH и обменивал их на USDC и UST, а сам рухнул, прежде чем вывести через DEX Sabre.

После взлома курс CASH, привязанный к доллару, упал до 0 долларов. Злоумышленник вернул деньги на счета, на которых было менее 100 000 долларов, а остальное пообещал пожертвовать на благотворительность. Это последнее, что мы когда-либо слышали о добыче Cashio. КЭШ мертв.

Крик: Убыток — 38 миллионов долларов.

С точки зрения безопасности протокола, кредитная платформа на основе фантома Scream пострадала, пожалуй, от одного из самых неосторожных эксплойтов в DeFi в этом году. Scream взял на себя долг в размере 38 миллионов долларов после того, как стейблкоины, Fantom USD (fUSD) и DEI, чья стоимость была зафиксирована на уровне 1 доллара, потеряли привязку.

Поскольку протокол жестко запрограммировал стоимость двух стейблкоинов, снижение стоимости активов не отображалось на Scream. Киты воспользовались этой лазейкой, чтобы вывести из протокола любые другие ценные стейблкоины, внося депривязанные fUSD и DEI.

В общей сложности из сети было выведено стейблкоинов FRAX, USDT, USDC и MIM на сумму 38 млн долларов. После инцидента Scream отказалась от жесткого ценообразования и переключилась на оракулы Chainlink для получения данных о ценах в реальном времени. Киты сохранили свою добычу. Хорошая зарплата для дегенов!.

Что случилось с украденными миллиардами?

Ну, он был потерян. Большая часть из них навсегда.

PeckShield заявила, что около 50 %, или 1,16 млрд долларов США, денег, украденных по вышеуказанным протоколам, были отмыты через Tornado Cash, миксер криптовалют на основе Ethereum, который был санкционирован правительством США в августе, что вызвало резкую реакцию криптосообщества.

Tornado Cash позволяет пользователям криптовалют скрывать историю своих финансовых транзакций, что затрудняет их отслеживание. По данным агентства безопасности США ФБР, с 2019 года микшер использовался хакерской группой Lazarus, связанной с Северной Кореей, для отмывания криптовалют на сумму более 7 миллиардов долларов.

Хотя хакеры исчезли с миллиардами, затронутые протоколы DeFi предприняли серию попыток вернуть свои деньги, но без особого успеха. Один из способов сделать это — просто умолять злоумышленника вернуть добытую нечестным путем добычу в обмен на какой-то стимул. Или вообще ничего.

Qubit Finance попробовала это и предложила вознаграждение в размере 2 миллионов долларов — максимум, который она могла предложить за любое такое так называемое заявление о хакерстве. Это не сработало. Гармония также играла с той же идеей. Он предложил награду в размере 1 миллиона долларов за возвращение 100 миллионов долларов, украденных с моста Горизонт, и пообещал не выдвигать уголовных обвинений. Хакеры проигнорировали звонок. Ничего не было восстановлено.

Однако аналогичная стратегия сработала для Poly Network в августе 2021 года: злоумышленник вернул большую часть украденных 600 млн долларов.

Эта удача распространяется и на Ронина. Ранее в этом месяце сеть вернула 30 миллионов долларов потерянных денег с помощью компании по обеспечению безопасности криптовалюты Chainalysis, Министерства финансов США и ФБР. Но это всего лишь 5% от 620 миллионов долларов, украденных во время взлома. По оценкам ФБР, около 455 млн долларов было отмыто через Tornado Cash группой Lazarus, предполагаемым злоумышленником.

Хакеры Nomad Bridge также вернули платформе 9 млн долларов на следующий день после того, как кроссчейн-мост был взломан за 190,4 млн долларов. После 10-процентного вознаграждения за любые возвращенные средства белые хакеры взломали еще 32 миллиона долларов от общей суммы награбленного и вернули их на кроссчейн-мост. Остальное, большая часть, была перетасована хакером между разными адресами, поскольку они отчаянно пытались сохранить свое украденное богатство. Так и было.

Wormhole так и не вернула свои 320 млн долларов. Его нужно было спасать. Jump Trading Group, которая имеет долю в протоколе, вмешалась, чтобы заменить украденные 120 000 ETH после устранения уязвимости.

Как не быть взломанным

Очевидно, что блокчейн-мосты являются самым слабым звеном в DeFi. Существуют способы обеспечения безопасности отдельных лиц и протоколов.

«При разработке проектов необходимо составлять четкое техническое задание, максимально покрывать функционал проектов тестами, чтобы избежать логических ошибок», — сказал Be[In] Алексей Белец, основатель компании по безопасности блокчейнов Smart State. Криптовалюта.

«Используйте автоматические сканеры уязвимостей, не пытайтесь внедрять вещи, для которых есть библиотеки. Проводите аудит и храните свои закрытые ключи в безопасности. Не используйте сторонние приложения, такие как Profanity, для создания закрытых ключей (причина взлома Wintermut)», — добавил он.