เหตุการณ์แฮ็ค DeFi ในปี 2021

[TL; DR]

Decentralized Finance (DeFi) ได้เติบโตขึ้นอย่างมากในช่วงหลายปีที่ผ่านมา ทำให้กลุ่มนักลงทุนรุ่นใหม่มีความน่าสนใจอย่างมากสำหรับนักลงทุนบล็อคเชน DeFi ได้สะสมมากกว่า 100 พันล้าน ณ ไตรมาสที่ 3 ของปี 2564 ตั้งแต่เริ่มก่อตั้ง ความเจริญนี้ได้ดึงดูดการโจมตีจำนวนมากจากแฮกเกอร์ที่ใช้ประโยชน์จากช่องโหว่ของโครงการ

ด้วยเหตุนี้ บริษัทต่างๆ เช่น CipherTrace ได้เปิดตัวเครื่องมือและโซลูชันการปฏิบัติตามข้อกำหนดใหม่ ที่จะช่วยให้การแลกเปลี่ยนแบบกระจายอำนาจ (DEX) และโครงการ DeFi ปฏิบัติตามกฎระเบียบของสำนักงานควบคุมทรัพย์สินต่างประเทศ (OFAC) การพัฒนานี้เป็นก้าวใหญ่สู่การนำความชอบธรรมมาสู่พื้นที่ DeFi ที่พัฒนาอย่างรวดเร็ว การปฏิบัติตามข้อกำหนด CipherTrace DeFi จะทำให้ข้อมูลที่เกี่ยวข้องทั้งหมดพร้อมใช้งานบนเชนโดยตรงและง่ายดาย เพื่อการผนวกรวมที่ง่ายและรวดเร็วกับเฟรมเวิร์ก DeFi ที่มีอยู่

สิ่งนี้ช่วยให้โครงการ DeFi ควบคุมการกระทำที่เป็นอันตรายนี้ได้ในระดับที่ดี โดยทั่วไป อาชญากรรม Crypto มีแนวโน้มลดลงในปีก่อนหน้า: 4.5 พันล้านดอลลาร์ในปี 2019, 1.9 พันล้านดอลลาร์ในปี 2020, 681 ล้านดอลลาร์ในช่วงเจ็ดเดือนแรกของปี 2021 แต่อาชญากรรม DeFi มีผลเพิ่มขึ้นสามเท่า

บทความนี้จะตรวจสอบสาเหตุ การแฮ็กที่สำคัญของ DeFi ปี 2021 และขั้นตอนของอุตสาหกรรมในการควบคุมการทำซ้ำ อ่านต่อ!

คำสำคัญ: การกระจายอำนาจทางการเงิน (DeFi), การโจมตี DeFi, การแฮ็กบล็อคเชน, การแฮ็ก DeFi ที่ใหญ่ที่สุด, การแฮ็กบล็อคเชน, แฮ็กเกอร์

ทำไมต้องเป็นโครงการ DeFi?

มีคำถามมากมายเกิดขึ้นว่าทำไมหลายคนยังคงสนใจแขนบล็อกเชนนี้ แม้ว่าจะมีการโจมตีครั้งใหญ่ก็ตาม คุณอาจสนใจที่จะรู้ว่า DeFi ไม่ได้พึ่งพาหน่วยงานดังกล่าว ซึ่งแตกต่างจากระบบการเงินทั่วไปที่การดำเนินการภายในควบคุมการดำเนินงานและควบคุมภาคส่วน

การเงินแบบกระจายอำนาจซึ่งขับเคลื่อนโดยเทคโนโลยีบล็อคเชนได้ปฏิวัติวงการการเงินเนื่องจากไม่มีการควบคุมและกระจายอำนาจอย่างสมบูรณ์ ผู้ใช้ได้รับอนุญาตให้ควบคุมและทำธุรกรรมสินทรัพย์ดิจิทัลได้อย่างสมบูรณ์: ไม่มีอำนาจจากส่วนกลาง การกระจายอำนาจนี้เกิดขึ้นได้ด้วยสัญญาอัจฉริยะบนเครือข่ายบล็อคเชน ซึ่งอนุญาตเฉพาะการดำเนินการบนเครือข่ายเมื่อตรงตามเงื่อนไขที่กำหนดไว้เท่านั้น ดังนั้นเราจึงมีบริการทางการเงินแบบ peer-to-peer ที่อนุญาตให้มีการปล่อยสินเชื่อแบบกระจายศูนย์ การแลกเปลี่ยนแบบกระจายอำนาจ สัญญาซื้อขายล่วงหน้า ระบบการชำระเงิน การทำฟาร์มผลตอบแทน การทำนายตลาดที่เร็วขึ้น ถูกกว่า ตรวจสอบได้ และราบรื่น

ตัวอย่างเช่น โครงการ Ethereum DeFi ได้รับการนำไปใช้อย่างกว้างขวางเนื่องจากอัตราดอกเบี้ยที่สูงในปีที่แล้ว ทำให้ผู้ใช้จำนวนมากมีกำไรมหาศาล เงินให้กู้ยืมและดอกเบี้ยที่ได้รับจากเงินให้กู้ยืมสร้าง "รายได้แบบพาสซีฟ" สำหรับผู้ใช้ การทำฟาร์มให้ผลผลิตทำให้ผู้ใช้สามารถใช้ประโยชน์จากสินทรัพย์ดิจิทัลเพื่อสร้างผลตอบแทนที่ดี

แฮ็กผ่านการออกแบบสัญญาอัจฉริยะที่อ่อนแอ

แม้ว่าการโจมตีในวงกว้างในอุตสาหกรรมบล็อคเชนจะลดลง แต่ DeFi ก็แย่ลงไปอีก 2.7 เท่าเมื่อเทียบกับปีที่แล้ว ความสูญเสียเหล่านี้ได้มาโดยวิธีการต่างๆ เช่น การแฮ็ก การดึงพรม ความล้มเหลวของระบบ และการโจรกรรม

ในกรณีส่วนใหญ่ การแฮ็ก DeFi เกิดขึ้นเมื่อสัญญาอัจฉริยะที่ใช้งานบนบล็อกเชนมีข้อผิดพลาด การใช้โปรโตคอลของบุคคลที่สามในทางที่ผิด นักพัฒนาที่ไร้ความสามารถ และข้อผิดพลาดทางตรรกะทางธุรกิจ อาจทำให้โครงการเสี่ยงต่อแฮกเกอร์ ข้อผิดพลาดของสัญญาเหล่านี้มักจะไม่สามารถเพิกถอนได้ ข้อบกพร่องก็เช่นกัน ซึ่งเพิ่มความเสี่ยง น่าเสียดายที่ข้อบกพร่องเหล่านี้ยังคงแพร่หลายในหมู่ DeFi

ผู้เชี่ยวชาญกล่าวว่าแฮกเกอร์ใช้ประโยชน์จากจุดอ่อนในการเข้ารหัสหรือการเข้ารหัสโครงการ DeFi เหล่านี้เพื่ออนุญาตให้มีการเคลื่อนย้ายเงินทุน

PS: ด้วยยอดรวม 906 ล้านดอลลาร์ Poly Network, Compound และ Cream Finance ได้ทำให้มันเป็นโครงการ DeFi ที่ได้รับผลกระทบสูงสุดในปี 2564

1. DeFi hacks ที่ใหญ่ที่สุดในปี 2021: The Poly Network hack

เมื่อวันที่ 10 สิงหาคม การสูญเสีย Crypto ที่สำคัญที่สุดในประวัติศาสตร์จำนวน 612 ล้านดอลลาร์ ถูกบันทึกโดย Poly Network เพิ่มการสูญเสียของ MtGox และ Coincheck โดยปกติแฮกเกอร์ DeFi จะกำหนดเป้าหมายอุปกรณ์ DeFi ที่เฉพาะเจาะจง แต่ในกรณีนี้ โครงสร้างพื้นฐานของ Poly Network เป็นจุดสนใจ

เป้าหมายของแฮ็กเกอร์คือการได้รับการควบคุมอย่างสมบูรณ์ของสัญญาอัจฉริยะของการแลกเปลี่ยนแบบกระจายอำนาจ (DEX) ทำให้เขาสามารถเข้าถึงโทเค็นที่ถูกล็อคภายในสัญญาได้

โทเคนเครือข่าย Ethereum มูลค่า 273 ล้านดอลลาร์ถูกขโมย 85 ล้านเหรียญสหรัฐใน USD Coin (USDC) จากเครือข่าย Polygon และ Binance Smart Chain มูลค่า 253 เหรียญสหรัฐ renBTC ห่อ Bitcoin (wBTC) และห่อ Ether (wETH)

Poly Network ดำเนินการด้วยสัญญาอัจฉริยะที่เชื่อมต่อบล็อคเชนอิสระเพื่ออำนวยความสะดวกในการโอนโทเค็น แฮ็กเกอร์รายนี้ซึ่งรู้จักกันในชื่อ white Hat ได้ใช้ประโยชน์จากสัญญาอัจฉริยะของ CrossChainManager และเปลี่ยนคีย์การจัดเก็บข้อมูลของสัญญาบนเครือข่าย Poly การปรับเปลี่ยนนี้ทำให้เขาควบคุมได้อย่างสมบูรณ์ ทำให้เขาสามารถปลดล็อกและย้ายโทเค็นไปยังที่อยู่ที่ต้องการได้

น่าแปลกที่แฮ็กเกอร์ปฏิเสธข้อเสนอของเครือข่าย Poly แต่เมื่อวันที่ 11 สิงหาคม ผู้โจมตีเริ่มคืนเงินที่ขโมยมาบางส่วนให้กับ Poly Network

จากความพยายามของแฮ็กเกอร์ ดูเหมือนว่าเขาใช้กระเป๋าเงินที่มีการแลกเปลี่ยนที่โดดเด่นซึ่งมีข้อมูลบางอย่างเกี่ยวกับเขาผ่านการรู้จักโปรโตคอลลูกค้าของคุณ
จากข้อมูลของ CipherTrace เงินที่ถูกขโมยส่วนใหญ่ได้ถูกส่งคืนไปยังที่อยู่ที่เลือกของ Poly Network
ที่อยู่เหล่านี้คือ:

· 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
· 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
· 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

2. การแฮ็กการเงินแบบทบต้น

19 เมษายน 2564 EasyFI สูญเสียโทเค็น EASY ไปประมาณ 75 ล้านดอลลาร์และสภาพคล่องของผู้ใช้ 6 ล้านดอลลาร์ EasyFi เป็นส้อมการเงินแบบผสมที่ทำงานบนเครือข่าย Polygon Layer 2 แฮ็กเกอร์เข้าถึงคีย์ผู้ดูแลระบบของโปรเจ็กต์ ซึ่งอนุญาตให้นักพัฒนาอัปเดตโปรโตคอลของตน ดังนั้น ทีมงานจึงได้เปลี่ยนแปลงโปรโตคอลเครือข่ายบล็อคเชนเพื่อชดเชยความสูญเสียและหลีกเลี่ยงการโจมตีในอนาคต

3. วายร้ายไฟแนนซ์แฟลชจู่โจม

Yearn Finance (YFI) ถูกโจมตีโดยแฮ็กเกอร์ในเดือนกุมภาพันธ์ พ.ศ. 2564 โดยสามารถหลบหนีได้ด้วยเงิน 2.8 ล้านเหรียญสหรัฐ แฮ็กเกอร์โอนเงิน 11 ล้านดอลลาร์จากห้องนิรภัย DIA ผ่านสินเชื่อแฟลชเพื่อทำเงินกู้ที่มีหลักประกัน แฮ็กเกอร์ลึกลับรายนี้ใช้ประโยชน์จากข้อบกพร่องในการออกแบบเพื่อเริ่ม "การโจมตีแบบยืมแฟลช" โดยการใช้โปรโตคอล DeFi ที่แตกต่างกันห้าแบบ Compound Finance (COMP), Aave Protocol (AAVE), Curve Protocol (CRV), dYdX และ Yearn การเงิน (YFI)

4. เครือข่าย PAID 2021 แฮ็ค

แฮ็กเกอร์จัดการฟังก์ชันอัปเกรดสัญญาอัจฉริยะโดยใช้คีย์ที่ถูกบุกรุกไปยังผู้ปรับใช้สัญญาเครือข่ายแบบชำระเงิน การเข้าถึงนี้ทำให้เขาสามารถขุดและทิ้งได้มากกว่า 100 ล้าน ส่งผลให้เกิดการดึงเงินเฟ้อซึ่งทำให้โทเค็นสูญเสียมูลค่าตลาดประมาณ 85%

5. ครีมการเงิน $ 130 ล้านแฮ็ค

ในปี 2021 เพียงปีเดียว Cream Finance ประสบกับการโจมตีที่แตกต่างกันสามครั้ง ซึ่งมีมูลค่ารวม 186.6 ล้านดอลลาร์ - ในเดือนกุมภาพันธ์ แฮ็กเกอร์เจาะระบบด้วยการพากย์สัญญาอัจฉริยะของโปรโตคอล Alpha Homora ประมาณ 37.5 ล้านดอลลาร์ใน ETH และพบว่าไม่มีความเสถียร

- ณ สิ้นเดือนสิงหาคม Cream Finance ประสบกับการโจมตีที่คล้ายกันเมื่อแฮกเกอร์ขโมย 18.8 ล้านดอลลาร์ในโทเค็น Ether (ETH) และ AMP

-Cream Finance ประสบกับการโจมตีครั้งใหม่เมื่อวันที่ 27 ตุลาคม พ.ศ. 2564 การสูญเสียครั้งนี้คาดว่าจะมีมูลค่าประมาณ 130 ล้านเหรียญสหรัฐ ทำให้เป็นอันดับ 3 การโจมตีสูงสุดในปี 2021
ผู้โจมตีใช้ช่องโหว่ในสัญญาอัจฉริยะของสินเชื่อแฟลช (สินเชื่อทันที) จาก Cream Finance บนเครือข่าย Ethereum

6.BadgerDAO ขโมยโทเค็น 120 ล้านดอลลาร์

ในโปรโตคอล ผู้ถือ Bitcoin สามารถ "เชื่อมต่อ" สกุลเงินดิจิทัลของตนไปยังแพลตฟอร์มของ Ethereum ผ่านทางโทเค็น ทำให้พวกเขาได้รับประโยชน์จากโอกาส DeFi ที่พวกเขาอาจไม่สามารถเข้าถึงได้

ตามแหล่งข่าวด้านความปลอดภัย pecksheild ซึ่งทำงานร่วมกับ Badger DAO เพื่อตรวจสอบโทเค็นที่ถูกขโมย ยืนยันว่าผู้ประสงค์ร้ายได้ลักลอบเก็บโทเค็นไว้ประมาณ 120 ล้านดอลลาร์ในวันที่ 1 ธันวาคม 2020 พวกเขาอ้างว่าผู้ไม่หวังดีได้แทรกสคริปต์บนเว็บไซต์เพื่อขัดจังหวะการทำธุรกรรมของ Web3 โดยขอให้โอนโทเค็นของเหยื่อไปยังที่อยู่ที่เลือกของผู้โจมตี ทีมของแบดเจอร์อ้างว่าพวกเขาสังเกตเห็นร่องรอยบางอย่างตั้งแต่วันที่ 10 พฤศจิกายน แต่แทบจะไม่สามารถติดตามได้เนื่องจากแฮ็กเกอร์ดำเนินการอย่างหนักในช่วงเวลาต่างๆ

แม้ว่าเทคโนโลยี Blockchain จะไม่มีข้อผิดพลาด แต่แฮ็กเกอร์ได้ใช้ประโยชน์จากผู้ใช้ในเว็บไซต์ web2.0 ของ Badger ขณะทำธุรกรรม สิ่งนี้ทำให้แบดเจอร์หยุดแพลตฟอร์มเนื่องจากตรวจพบการถ่ายโอนโดยไม่ได้รับอนุญาตโดยทีม มันหยุดสัญญาอัจฉริยะทั้งหมดและขอให้ผู้ใช้ปฏิเสธการทำธุรกรรมทั้งหมดไปยังที่อยู่ของผู้โจมตี
ตั้งแต่นั้นมา บริษัทได้เก็บข้อมูลผู้เชี่ยวชาญด้านนิติเวช Chainalysis เพื่อทำการตรวจสอบอย่างเต็มรูปแบบในขณะที่ให้ความร่วมมืออย่างเต็มที่กับหน่วยงานภายนอกเพื่อทำการตรวจสอบ


บทสรุป

- ตาม Coin Telegraph ในบรรดาการแฮ็ก crypto ปี 2021 มีเพียง 37% เท่านั้นที่ได้รับการตรวจสอบ
- ผลกระทบจากการโจมตีลดลงประมาณ 60% เมื่อเทียบกับโครงการที่ยังไม่ได้ตรวจสอบ
- ผลลัพธ์นี้ยังอ้างว่าสูงถึง 1.3 พันล้านดอลลาร์มาจากคนที่ยังไม่ได้ตรวจสอบ

จากนั้นเราสามารถอนุมานได้ว่าการตรวจสอบเป็นสิ่งสำคัญในการจัดหาโปรโตคอล DeFi ที่ปลอดภัยสำหรับผู้ใช้บล็อกเชน เมื่อเร็วๆ นี้ มีความต้องการการตรวจสอบความปลอดภัยของสัญญาอัจฉริยะและขั้นตอนการตรวจสอบของบุคคลที่สามมากขึ้น เพื่อให้แน่ใจว่าโครงการเหล่านี้จะใช้งานได้จริงก่อนที่จะเผยแพร่สู่สาธารณะ โดยสรุปแล้ว นักลงทุนจำเป็นต้องทำการวิจัยอย่างละเอียดก่อนที่จะจัดสรรเงินทุนให้กับโครงการ DeFi อย่างไรก็ตาม การแฮ็กและการโจรกรรมเหล่านี้ได้เน้นย้ำเตือนชุมชนบล็อคเชน ขับเคลื่อนภาคส่วนให้ก้าวหน้าและน่าเชื่อถือ

ผู้แต่ง: Gate.io ผู้สังเกตการณ์: M. Olatunji
ข้อจำกัดความรับผิดชอบ:
* บทความนี้เป็นเพียงความคิดเห็นของผู้สังเกตการณ์เท่านั้น และไม่ถือเป็นข้อเสนอแนะในการลงทุนใดๆ
*Gate.io ขอสงวนสิทธิ์ทั้งหมดในบทความนี้ อนุญาตให้โพสต์บทความใหม่ได้หากมีการอ้างอิง Gate.io ในกรณีอื่นๆ ทั้งหมด จะดำเนินการทางกฎหมายเนื่องจากการละเมิดลิขสิทธิ์