Incidentes de hacking de DeFi em 2021

[TL; DR]

Finanças Descentralizadas (DeFi) tem tido uma tendência de crescimento dramático nos últimos anos, tornando o sector jovem muito atractivo para os investidores em cadeia. A DeFi acumulou mais de 100 mil milhões a partir do terceiro trimestre de 2021. Desde o seu início, este boom tem atraído ataques massivos de hackers que tiram partido das lacunas do projecto.

Para este efeito, empresas como a CipherTrace lançaram ferramentas e novas soluções de conformidade que ajudarão as trocas descentralizadas (DEXs) e os projectos DeFi a cumprirem os regulamentos do Office of Foreign Assets Control (OFAC). Este desenvolvimento é um grande passo para trazer legitimidade ao espaço de DeFi em rápida evolução. A CipherTrace DeFi Compliance disponibilizará todos os dados relevantes pronta e directamente na cadeia para uma integração fácil e rápida com as estruturas DeFi existentes.

Isto já está a ajudar os projectos DeFi a refrear este acto malicioso em grande medida. Geralmente, os crimes criptográficos estão a tomar uma tendência descendente nos anos anteriores: 4,5 mil milhões de dólares em 2019, 1,9 mil milhões em 2020, 681 milhões de dólares nos primeiros sete meses de 2021. Mas os crimes DeFi triplicaram de facto.

Este artigo irá examinar as causas, 2021 DeFi hacks significativos, e os passos da indústria para conter a repetição. Continue a ler!

Palavras-chave: Finanças Descentralizadas (DeFi), ataques DeFi, hacking em cadeia de bloqueio, maior hacking DeFi, hacking em cadeia de bloqueio, hacker.

Porquê projectos DeFi?

Muitas questões, portanto, surgem quanto à razão pela qual muitos ainda estão interessados neste braço da cadeia de bloqueio, apesar dos ataques massivos. Talvez lhe interesse saber que, ao contrário dos sistemas financeiros convencionais onde as operações internas governam a operação e controlam o sector, a DeFi não confia em tais autoridades.

As finanças descentralizadas, alimentadas por tecnologia de cadeia de bloqueio, revolucionaram as finanças, uma vez que são totalmente não-custódio e descentralizadas. Os utilizadores estão autorizados a ter um controlo completo e a transaccionar os seus bens Digitais: nenhuma autoridade central. Esta descentralização é possível através de contratos inteligentes na rede da cadeia de bloqueio, que só permitem acções na rede quando as condições estabelecidas são cumpridas. Assim, temos serviços financeiros peer-to-peer que permitem empréstimos descentralizados, câmbio descentralizado, derivados, sistemas de pagamento, Yield farming, previsão de mercado que são mais rápidos, mais baratos, auditáveis e sem descontinuidades.

Por exemplo, os projectos Ethereum DeFi ganharam ampla adopção devido à elevada taxa de juros do ano anterior, fazendo com que muitos utilizadores tenham lucros significativos. Empréstimos e juros obtidos a partir de empréstimos gerados "rendimento passivo" para os utilizadores. Yield farming permite aos utilizadores alavancar os seus activos criptográficos para gerar retornos bonitos.

Hacks via weak Smart Contract Design

Apesar deste declínio nos ataques generalizados à indústria da cadeia de bloqueio, a DeFi agravou-se por um factor de 2,7 em comparação com o ano passado. Estas perdas têm vindo através de vários meios, tais como hacks, puxões de tapete, & falhas no sistema e roubos.

Na maioria dos casos, os hacking DeFi acontecem quando os contratos Smart implementados na cadeia de bloqueio são defeituosos, uso indevido de protocolos de terceiros, incompetência dos desenvolvedores, e erros de lógica empresarial, tornando o projecto potencialmente susceptível a hackers. Estes erros contratuais são muitas vezes quase irrevogáveis, o mesmo acontecendo com os bugs, aumentando assim o risco. Infelizmente, estas falhas ainda são predominantes entre os DeFi.

Especialistas dizem que os hackers exploram a fraqueza na criptografia ou codificação destes projectos DeFi para autorizar o movimento de fundos.

P.S: Com um total de $906 milhões, a Poly Network, Compound, e Cream Finance conseguiram chegar ao topo dos projectos DeFi mais afectados em 2021.

1. Os maiores hacks de DeFi em 2021: O hack da Poly Network

Em 10 de Agosto, a perda Crypto mais significativa da história, no valor de $612 milhões, foi registada pela Poly Network, superando as perdas de MtGox e Coincheck. Normalmente, os hackers DeFi têm como alvo instrumentos DeFi específicos, mas neste caso, a infra-estrutura da Poly Network é o foco.

O objectivo do hacker era obter o controlo completo dos contratos inteligentes da bolsa descentralizada (DEX), dando-lhe acesso a fichas bloqueadas dentro do contrato.

Um total de $273 milhões de fichas da rede Ethereum foi roubado; $85 milhões em Moeda (USDC) da rede Polygon, e $253 de Binance Smart Chain uma quantidade considerável de renBTC, embrulhado Bitcoin (wBTC), e embrulhado Ether (wETH).

A Poly Network opera com um contrato inteligente que liga cadeias de bloqueio independentes para facilitar a transferência de fichas. Este hacker, alegadamente conhecido como White Hat, explorou o contrato inteligente CrossChainManager e trocou a chave de armazenamento do contrato na Poly Network. Esta manipulação deu-lhe total controlo, permitindo-lhe desbloquear e mover as fichas para os endereços de sua escolha.

Surpreendentemente, o hacker rejeitou as ofertas feitas pela Poly Network, mas a 11 de Agosto, o atacante começou a devolver alguns dos fundos roubados à Poly Network.

Na tentativa do hacker, parecia que ele reutilizou uma carteira com trocas proeminentes que tinham alguma informação sobre ele através do protocolo de conhecimento do seu cliente.
De acordo com a CipherTrace, a maioria dos fundos roubados foram devolvidos a endereços seleccionados da Poly Network.
Estes endereços são:

- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xA4b291Ed1220310d3120f515B5B5B7AccaecD66F17
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

2. Compound Finance hack

19 de Abril de 2021, EasyFI perdeu cerca de $75 milhões de fichas FACILITADAS e $6M de liquidez do utilizador. EasyFi é um garfo financeiro composto que opera na Rede Polygon Layer 2. O hacker acedeu à chave de administração do projecto, que permite aos programadores actualizar o seu protocolo. Por conseguinte, a equipa alterou o protocolo de rede da cadeia de bloqueio para compensar as suas perdas e evitar futuros ataques.

3. Yearn finance flash loan attack

Yearn Finance (YFI) foi atacada e um hacker em Fevereiro de 2021, escapando com 2,8 milhões de dólares. Os hackers desviaram 11 milhões de dólares do cofre do DIA através de empréstimos flash para fazer um empréstimo colateralizado. Este misterioso hacker aproveitou a falha de design para iniciar um ataque de empréstimo em flash "" , envolvendo cinco diferentes protocolos DeFi; Compound Finance (COMP), Aave Protocol (AAVE), Curve Protocol (CRV), dYdX, e Yearn. Finanças (YFI).

4. Rede Paga 2021 hack

O hacker manipulou a função de actualização do contrato Smart usando uma chave comprometida para o implantador do contrato da Rede Paga. Este acesso permitiu-lhe cunhar e despejar mais de 100 milhões, resultando numa atracção inflacionista que fez com que a ficha perdesse cerca de 85%.em valor de mercado.

5. Cream Finance $130 milhões de hack

Só em 2021, a Cream Finance sofreu três ataques diferentes totalizando até $186,6 milhões. - em Fevereiro, os hackers penetraram ao dublar o contrato inteligente do protocolo Alpha Homora. Cerca de 37,5 milhões de dólares em ETH e moedas de ETH foram encontrados em falta.

- No final de Agosto, a Cream Finance sofreu um ataque semelhante quando os hackers roubaram 18,8 milhões de dólares em ETH e em fichas AMP.

-Cream Finance sofreu um novo ataque em 27 de Outubro de 2021. O prejuízo foi estimado em cerca de 130 milhões de dólares desta vez. Tornando-o no 3º maior ataque de 2021
O atacante explorou uma vulnerabilidade no contrato inteligente de empréstimos flash (empréstimos instantâneos) da Cream Finance na rede Ethereum.

6.BadgerDAO $120 milhões de fichas roubadas.

No seu protocolo, Bitcoin os titulares são capazes de "fazer a ponte" a sua moeda criptográfica para a plataforma do Ethereum através da sua ficha, permitindo-lhes beneficiar de oportunidades DeFi às quais podem não ter acesso.

De acordo com uma fonte de segurança, o bicksheild, trabalhando com o Badger DAO para investigar as fichas roubadas, confirmou que um actor malicioso embolsou cerca de 120 milhões de fichas no dia 1 de Dezembro de 2020. Eles alegaram que o mau actor inseriu _script_s no seu website para interromper as transacções Web3, solicitando a transferência dos tokens da vítima para o endereço escolhido pelo agressor. A equipa do texugo afirmou que notou alguns vestígios já a 10 de Novembro, mas que quase não era rastreável porque o hacker o fazia em intervalos diferentes.

Embora não houvesse nenhuma falha dentro da própria tecnologia Blockchain, o hacker explorou os utilizadores no site Badger's web2.0 enquanto realizavam as suas transacções. Isto levou o texugo a congelar a sua plataforma por causa de transferências não autorizadas detectadas pela sua equipa. Fez uma pausa em todos os contratos Smart e pediu aos utilizadores para rejeitarem todas as transacções para os endereços do atacante.
Desde então, a empresa tem retido peritos forenses de dados Chainalysis para investigar a escala completa, ao mesmo tempo que coopera plenamente com organismos externos para a investigação.


Conclusão

- De acordo com a coin Telegraph, entre os piratas criptográficos de 2021, apenas 37% foram auditados.
-Menos 60% de impacto de ataque em comparação com projectos não auditados.
-Este resultado também alega que até $1,3 mil milhões de dólares foram de não auditados.

Podemos então inferir que a auditoria é essencial para fornecer um protocolo DeFi seguro para os adoptantes da cadeia de bloqueio. Recentemente, tem havido mais procura de auditorias de segurança de contratos inteligentes e procedimentos de auditoria de terceiros para assegurar a viabilidade destes projectos antes de estes se tornarem públicos. Em conclusão, os investidores precisam de realizar uma pesquisa completa antes de alocarem fundos para projectos DeFi. No entanto, estes hacks e roubos têm enfatizado o cuidado com a comunidade da cadeia de bloqueio, levando o sector ao avanço e à credibilidade.

Autor: Gate.io Observer: M. Olatunji
Disclaimer:
* Este artigo representa apenas a opinião dos observadores e não constitui qualquer sugestão de investimento.
*Gate.io reserva-se todos os direitos sobre este artigo. A reedição do artigo será permitida desde que o Gate.io seja referenciado. Em todos os outros casos, serão tomadas medidas legais devido à violação dos direitos de autor.