Інциденти злому DeFi у 2021 році

[Основні тези]

За останні роки децентралізовані фінанси (DeFi) набули різкого зростання, що зробило молодий сектор дуже привабливим для інвесторів у блокчейн. Станом на 3 квартал 2021 року DeFi накопичив понад 100 мільярдів. З самого початку цей бум викликав масові атаки з боку хакерів, які користуються прогалинами проекту.

З цією метою такі фірми, як CipherTrace, випустили інструменти та нові рішення відповідності, які допоможуть децентралізованим біржам (DEX) і проектам DeFi дотримуватися правил Управління контролю за іноземними активами (OFAC). Ця розробка є великим кроком до легітимності простору DeFi, що швидко розвивається. Відповідність CipherTrace DeFi забезпечить доступ до всіх відповідних даних безпосередньо в мережі для легкої та швидкої інтеграції з існуючими фреймворками DeFi.

Це вже допомагає проектам DeFi значною мірою стримувати цей зловмисний акт. Загалом крипто-злочини мають тенденцію до зниження в попередні роки: 4,5 мільярда доларів у 2019 році, 1,9 мільярда доларів у 2020 році, 681 мільйон доларів США за перші сім місяців 2021 року. Але фактично злочини DeFi зросли втричі.

У цій статті розглядатимуться причини, значні зломи DeFi у 2021 році та кроки галузі для запобігання повторенню. Продовжуйте читати!


Ключові слова: децентралізовані фінанси (DeFi), атаки DeFi, злом блокчейну, найбільший злом DeFi, злом блокчейну, хакер.

Чому проекти DeFi?

Тому виникає багато запитань щодо того, чому багато хто все ще зацікавлений в цьому секторі блокчейну, незважаючи на масові атаки. Можливо, вам буде цікаво знати, що, на відміну від звичайних фінансових систем, де інсайдерські операції керують діяльністю та контролюють сектор, DeFi не покладається на такі повноваження.

Децентралізовані фінанси, що базуються на технології блокчейн, зробили революцію у фінансах, оскільки вони повністю не зберігаються та децентралізовані. Користувачам дозволено повністю контролювати свої цифрові активи та здійснювати транзакції: немає центральної влади. Ця децентралізація стала можливою завдяки смарт-контрактам у мережі блокчейн, які дозволяють дії в мережі лише тоді, коли виконуються встановлені умови. Таким чином, у нас є однорангові фінансові послуги, які дозволяють децентралізоване кредитування, децентралізований обмін, похідні інструменти, платіжні системи, продуктивне землеробство, прогнозування ринку, які є швидшими, дешевшими, доступними для аудиту та бездоганними.


Наприклад, проекти Ethereum DeFi отримали широке поширення завдяки високій процентній ставці минулого року, що принесло багатьом користувачам значні прибутки. Позики та відсотки, отримані від позик, створювали «пасивний дохід» для користувачів. Yield farming дозволяє користувачам використовувати свої криптоактиви, щоб отримати високу віддачу.

Зломи через слабкий дизайн розумних контрактів

Незважаючи на це зниження масових атак на індустрію блокчейнів, DeFi погіршився в 2,7 рази порівняно з минулим роком. Ці втрати сталися через різні способи, як-от хакерські атаки, “ругпулли”, системні збої та крадіжки.


У більшості випадків злом DeFi відбувається, коли смарт-контракти, реалізовані в блокчейні, несправні, неправильне використання сторонніх протоколів, некомпетентність розробника та помилки бізнес-логіки, що потенційно робить проект вразливим для хакерів. Ці помилки в контрактах часто майже незворотні, як і помилки, що збільшує ризик. На жаль, ці недоліки все ще поширені серед DeFi.

Експерти кажуть, що хакери використовують слабкі місця в криптографії або кодуванні цих проектів DeFi, щоб дозволити переміщення коштів.


PS: із загальним обсягом 906 мільйонів доларів Poly Network, Compound і Cream Finance потрапили до найбільш постраждалих проектів DeFi у 2021 році.

1. Найбільші зломи DeFi у 2021 році: злом Poly Network

10 серпня Poly Network зафіксувала найзначніші втрати Crypto в історії на суму 612 мільйонів доларів США, перевищивши збитки MtGox і Coincheck. Зазвичай хакери DeFi атакують конкретні інструменти DeFi, але в цьому випадку в центрі уваги знаходиться інфраструктура Poly Network.

Метою хакера було отримати повний контроль над смарт-контрактами децентралізованої біржі (DEX), надаючи йому доступ до заблокованих токенів у контракті.

Було викрадено мережевих токенів Ethereum на загальну суму 273 мільйони доларів; 85 мільйонів доларів США в USD Coin (USDC) із мережі Polygon і Binance Smart Chain на суму 253 долари значної суми renBTC, загорнутого Біткойна (wBTC) і загорнутого ефіру (wETH).

Poly Network працює за допомогою смарт-контракту, який з’єднує незалежні блокчейни для полегшення передачі токенів. Цей хакер, як повідомляється, відомий як White Hat, використав смарт-контракт CrossChainManager і замінив ключ зберігання контракту в мережі Poly. Ця маніпуляція дала йому повний контроль, дозволяючи розблокувати та перемістити жетони за обраними адресами.

На диво, хакер відхилив пропозиції мережі Poly, але 11 серпня зловмисник почав повертати частину вкрадених коштів Poly Network.

Під час спроби хакера виявилося, що він повторно використав гаманець з відомими біржами, які мали певну інформацію про нього через свій протокол «знай свого клієнта».
За даними CipherTrace, більшу частину вкрадених коштів було повернуто на вибрані адреси Poly Network.
Ці адреси:

· 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
· 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
· 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

2. Хак Compound Finance

19 квітня 2021 року EasyFI втратив близько 75 мільйонів доларів токена EASY і 6 мільйонів доларів ліквідності користувача. EasyFi — це форк Compound Finance, що працює в мережі Polygon Layer 2. Хакер отримав доступ до адміністративного ключа проекту, який дозволяє розробникам оновлювати свій протокол. Тому команда змінила мережевий протокол блокчейну, щоб компенсувати свої втрати та уникнути майбутніх атак.

3. Атака на Yearn finance

Yearn Finance (YFI) піддався хакерській атаці в лютому 2021 року, викравши з 2,8 мільйона доларів. Хакери вивели 11 мільйонів доларів зі сховища DIA за допомогою термінових позик, щоб отримати позику під заставу. Цей таємничий хакер скористався недоліком конструкції, щоб ініціювати «атаку флеш-позики», задіявши п’ять різних протоколів DeFi; Compound Finance (COMP), Aave Protocol (AAVE), Curve Protocol (CRV), dYdX і Yearn. Фінанси (YFI).

4. Платний злом мережі 2021

Хакер маніпулював функцією оновлення смарт-контракту, використовуючи скомпрометований ключ до контракту Paid Network. Цей доступ дозволив йому викарбувати та продати понад 100 мільйонів, що призвело до інфляції, яка спричинила втрату вартості токена приблизно на 85% у ринковій вартості.

5. Злом Cream Finance на 130 мільйонів доларів

Лише у 2021 році компанія Cream Finance зазнала трьох різних атак на загальну суму 186,6 мільйонів доларів. - у лютому хакери проникли шляхом дубляжу смарт-контракту протоколу Alpha Homora. Знайдено зникнення близько 37,5 мільйонів доларів ETH і стейблкоїнів.

Наприкінці серпня Cream Finance зазнала подібної атаки, коли хакери вкрали 18,8 мільйонів доларів у токенах Ether (ETH) і AMP.

-Cream Finance зазнав нової атаки 27 жовтня 2021 року. Цього разу збитки оцінили приблизно в 130 мільйонів доларів. Завдяки цьому вона стала 3-ю за кількістю атак у 2021 році
Зловмисник скористався уразливістю в смарт-контракті флеш-кредитів (миттєвих позик) від Cream Finance в мережі Ethereum.

6. Крадіжка токенів BadgerDAO на 120 мільйонів доларів.

У його протоколі власники Біткойнів можуть «перекидати» свою криптовалюту на платформу Ethereum через його токен, дозволяючи їм скористатися можливостями DeFi, до яких вони можуть не мати доступу.

Згідно з джерелом безпеки, Pecksheild, який співпрацює з Badger DAO для розслідування вкрадених токенів, підтвердив, що зловмисник поклав у кишеню близько 120 мільйонів доларів токенів 1 грудня 2020 року. Вони стверджували, що зловмисник вставив на їхній веб-сайт скрипти для переривання транзакцій Web3, вимагаючи передачі токенів жертви на обрану адресу зловмисника. Команда Badger стверджувала, що вони помітили певний слід ще 10 листопада, але його було важко відстежити, оскільки хакер ретельно перевіряв його через різні проміжки часу.

Хоча в самій технології Blockchain не було помилок, хакер використовував користувачів на сайті Badger web2.0 під час виконання їхніх транзакцій. Це змусило Badger заморозити свою платформу через несанкціоновані передачі, виявлені його командою. Він призупинив усі смарт-контракти та попросив користувачів відхилити всі транзакції на адреси зловмисників.
З тих пір компанія залучила експертів із криміналістики даних Chainalysis для повномасштабного дослідження, повністю співпрацюючи з зовнішніми органами для розслідування.


Висновок

- За даними coin Telegraph, серед 2021 криптозломів лише 37% були перевірені.
-Приблизно на 60% менше впливу атак порівняно з неаудованими проектами.
- Цей результат також стверджує, що до 1,3 мільярда доларів були отримані від неаудованих.

Тоді ми можемо зробити висновок, що аудит має важливе значення для забезпечення захищеного протоколу DeFi для користувачів блокчейну. Останнім часом зріс попит на аудит безпеки смарт-контрактів і сторонні процедури аудиту, щоб переконатися в життєздатності цих проектів, перш ніж вони стануть публічними. Підсумовуючи, інвесторам необхідно провести ретельне дослідження, перш ніж виділяти кошти на проекти DeFi. Тим не менш, ці хаки та крадіжки підкреслили обережність спільноти блокчейнів, сприяючи просуванню сектора та довірі.



Автор: Gate.io Спостерігач: М. Олатунджі
Відмова від відповідальності:
* Ця стаття представляє лише погляди спостерігачів і не містить інвестиційних пропозицій.
*Gate.io залишає за собою всі права на цю статтю. Повторне розміщення статті буде дозволено за умови посилання на Gate.io. У всіх інших випадках через порушення авторських прав буде подано судовий позов.