Крупнейшие взломы DeFi проектов 2020 года

Поделиться
СОДЕРЖАНИЕ
  • Флеш-атаки стали самым популярным методом взлома бирж и протоколов

  • Уязвимость смарт-контрактов является большой проблемой компаний

  • DeFi - протоколы являются главной целью хакеров

Международный консорциум новостных организаций, разрабатывающий стандарты прозрачности.

Децентрализованные финансы (DeFi) появились еще в 2015 году, когда приложение MakerDao позволило держателям криптоактивов брать кредиты в стейблкоинах DAI. Затем последовали годы устойчивого роста, которые вылились в бурное развитие и хайп.



По данным DeFi Pulse, в этом году стоимость, заблокированная в протоколах DeFi, выросла примерно с 700 млн до 14,7 млрд долларов. Большая часть роста произошла во второй половине года, теперь известной как «DeFi-лето». Но не все с экспериментальными технологиями прошло гладко. 

Бум привлек внимание хакеров и нечестных игроков, которые поспешили воспользоваться новым трендом. Хотя криптовалютная киберпреступность снизилась на 60% в этом году, более 21% объема всех крипто взломов пришлось на пространство DeFi. В первом полугодии на DeFi приходилось 45% всех краж (47,7 млн), а за второе полугодие статистика выросла до 50% (51,5 млн). 



Количество взломов DeFi в 2019 году было незначительным, однако в этом году сумма, украденная из этих протоколов, превысила 100 миллионов долларов. В приведенном ниже списке подробно описаны наиболее серьезные кибератаки на пространство DeFi в 2020 году.

1 – DaoMaker (8,32 млн. USD, 12 марта)

MakerDao пострадал больше всего во время события «Черный лебедь». Настолько, что в то время даже обсуждалось аварийное отключение. Обвал курса Ethereum привел к перегрузке в сети. Среди инвесторов началась паника, а у оракулов проекта начались проблемы с обновлениями котировок и ликвидациями позиций.

Некоторые пользователи смогли использовать протокол, ликвидировав часть из своих кредитов бесплатно, что привело к убыткам в размере 8,32 млн. USD. С тех пор инвесторы объединились и в настоящее время подают иск против MakerDao о возмещении ущерба на общую сумму 28 миллионов долларов.

2 – Eminence (15 млн. USD, 29 сентября)

Андре Кронье прославился в криптосфере созданием Yearn.Finance. Собственный токен платформы взлетел почти до 42 000 долларов в сентябре, став первой криптовалютой, превзошедшей по стоимости биткоин. Множество инвесторов собрались вокруг Андре, следуя за ним к новым проектам, таким как геймифицированная DeFi платформа Eminence.Finance.

Проект не имел веб-сайта и официально не был запущен, но это не помешало инвесторам влить более 15 миллионов долларов в финансирование Eminence. Деньги были помещены в необеспеченный и непроверенный бета-контракт, который был взломан всего через 3 часа после того, как сообщение о тестовом запуске появилось в твиттере. 

Хакеры в конечном итоге показали некоторую доброжелательность и вернули 8 млн долларов украденных средств Андре, которые он использовал для частичной компенсации убытков пользователей. Тем не менее, это не избавило его от угроз и судебного преследования. 

3 – BZx (954 000 USD, 18 февраля)

BZx стала самой взламываемой DeFi-платформой года. Ее атаковали трижды. Первые две атаки были последовательными – они прошли с разницей в четыре дня в конце февраля. Используя взаимосвязанность протоколов DeFi вместо уязвимостей в самом протоколе BZx, эти «флеш-атаки» позволили хакерам украсть 954 000 долларов. Получая большие флеш-кредиты, хакеры смогли влиять на цены активов и истощать кредитный пул.

4 – BzX (8 млн. USD, 14 сентября)

В сентябре платформа BZx пережила третью кибератаку. На этот раз из-за ошибки в протоколе. Примерно 8 миллионов долларов было украдено после того, как хакер смог бесплатно создать iTOKens – токен, который должен быть обеспечен активами и расти в цене по мере роста кредитного пула. К счастью, у этой истории счастливый конец, так как команда BZx смогла выследить хакера и вернуть украденные средства.

5 – UniSWAP (300 000 USD, 18 апреля)

Эксплойт UniSWAP произошел примерно за день до инцидента DForce, и вытекает из той же уязвимости в стандарте токенов Ethereum ERC777. Подсчитано, что хакер украл $300,000,используя iMBTC – версию Bitcoin на Ethereum. Убытки понесли те, кто предоставил ликвидность инструменту UniSwap, так как биткоины, обеспечивающие iMBTC, не были затронуты.

6 – dForce (25 млн. USD, 19 апреля)

Протокол кредитования Lendf.Me, принадлежащий китайской платформе DForce, был взломан 19 апреля. Злоумышленник смог украсть 25 миллионов долларов, используя ту же уязвимость Ethereum, которая сделала возможным печально известный взлом DAO в 2016 году. После полного истощения денежного пула у хакера возникли трудности с обналичиванием, что, возможно, привело к возврату 21 млн долларов украденных средств.

7 – Harvest (34 млн USD, 26 октября)

Во время «флеш-атаки» 26 октября хакеры смогли провести самое большое DeFi-ограбление года, так как из протокола Harvest.Finance было украдено 34 миллиона долларов . Флэш-кредиты использовались для манипулирования ценой нескольких стейблкоинов на децентрализованных биржах (DEX), создавая арбитражные возможности и позволяя хакерам покупать больше стейблкоинов, чем они могли бы при нормальных обстоятельствах.

Многие в криптосообществе уже высказывали свою обеспокоенность по поводу централизации проекта до инцидента. Анонимные основатели Harvest решили не отказываться от контроля над заблокированными активами, которые превысили более 1 миллиарда долларов до взлома.

С тех пор злоумышленники вернули около 2,5 миллиона долларов украденных средств. Не успокоившись, команда Harvest расследует атаку и даже предложила награду в размере 100 000 долларов для тех, кто найдет хакеров. 

8 – Akropolis (2 млн USD, 12 ноября)

Akropolis стал жертвой «флеш-атаки» 12 ноября. Хакер обнаружил уязвимость в смарт-контрактах Akropolis, позволяющую ему брать флеш-кредиты с помощью поддельного токена ERC-20.

Akropolis пришлось заморозить свой пул стейблкоинов и теперь команда стремится возместить убытки инвесторам и поймать преступника. Команда Akropolis уже определила кошелек Ethereum, который использовал злоумышленник, и уведомила все основные криптовалютные биржи.

9 – ValueDeFi (6 млн USD, 14 ноября)

14 ноября, всего через два дня после инцидента c Akropolis, ValueDeFi стал  мишенью следующей «флеш-атаки». Команда анонсировала свою новую функцию в Твиттере – хранилище MultiStables. Однако менее чем через 24 часа Value DeFi был взломан. Обновление, которое, среди прочего, должно было повысить защиту от флеш-кредитов, в конечном итоге потерпело неудачу. 

Злоумышленник смог манипулировать ценами в одном из хранилищ через флеш-кредит, который он затем использовал для покупки тех же манипулируемых активов по сниженной цене. Атака также стала возможной за счет централизованного оракула Value DeFi.

10 – Pickle Finance (19,7 млн USD, 21 ноября)

Вдохновленный Pickle Rick, эпизодом популярного телешоу Рика и Морти, Pickle.Finance является самым последним взломом в списке. 22 ноября злоумышленник смог создать так называемую злую банку, содержащую смарт-контракты, которые имеют тот же интерфейс, что и исходные банки протокола. Это позволило ему проводить обмен между 2 банками и украсть около 19,7 миллиона долларов.

Самые популярные методы атак

В последнее время флеш-атаки, безусловно, были самым популярным методом. Он предполагает обход кредитного механизма, что, в свою очередь, открывает многочисленные возможности для атаки, такие как манипулирование ценами на активы.  

Несколько раз успешно использовались атаки двойного расходования. В случае протоколов UniSWAP и Lendf.me злоумышленники использовали уязвимости в коде Ethereum, а именно стандарте токена ERC-777. Некоторые предполагают, что проблема заключается не в самом Ethereum, а скорее в сочетании кода Ethereum с кодом протоколов DeFi, который случайно открывает возможности для эксплойтов.

Трудно сказать, является ли успешный эксплойт заслугой хакера или ошибкой разработчика. Тем не менее, то же самое нельзя сказать о плохом управлении проектами. Сохранение централизованных функций в децентрализованных протоколах создает уязвимости. Так дело обстояло с Harvest.Finance, где разработчики контролировали стоимость, заблокированную в контрактах, и Value DeFi.

Наконец, следует ожидать рост числа случаев мошенничества аналогично  ICO-буму 2017 года. Из-за обилия схем обмана: от Pump&Dump схем до мошеннических токенов UniSwap, возникло мнение что 99% токенов DeFi на самом деле скам.

Как криптотрейдеры могут защитить свои персональные данные от хакеров? 

Пространство DeFi все еще похоже на минное поле. Благодаря своей децентрализованной и анонимной природе рынок DeFi является легкой добычей для мошенников, хакеров и отмывателей денег. Не существует нормативной базы для защиты инвесторов, а отсутствие аудитов безопасности значительно облегчает работу хакера. Несмотря на то, что не все нарушения привели к потерям для инвесторов, безопасность по-прежнему остается серьезной проблемой.

Эксперты ведущей компании по кибербезопасности Hacken поделились полезными советами, как защитить свои персональные данные. Первый и самый важный шаг – никогда не делитесь своими закрытыми ключами, лучше всего – храните их в автономном режиме в так называемых холодных хранилищах. Использование схемы мультиподписи также настоятельно рекомендуется, так как это поможет предотвратить потери в случае потери ключа или нежелательного доступа третьей стороны. Также важно защитить свой кошелек Ethereum, регулярно проверяя и иногда отзывая разрешения смарт-контрактов из приложений DeFi, которые вы использовали.   

Важно отметить, что вы должны проводить тщательную проверку, прежде чем рассматривать какие-либо инвестиции в это (или любое другое) пространство. Исследуйте команду, стоящую за проектом, а также узнайте, прошли ли  протоколы стресс-тесты и аудиты смарт-контрактов перед запуском.

Прогнозы на 2021 год 

Отраслевые эксперты прогнозируют, что число взломов DeFi продолжит расти в следующем году. Это, равно как и отмывание денег, становится огромной проблемой. Децентрализованные биржи (DEX) являются идеальными машинами для отмывания денег, поскольку они сохраняют анонимность своих пользователей, не используют KYC и не могут заморозить какие-либо средства, в отличие от централизованных бирж. Это было прекрасно проиллюстрировано в самом большом взломе года, где KuCoin потерял $218 миллионов, а хакер затем смог отмыть деньги через биржи DЕX. 

Уязвимости в смарт-контрактах также создают много проблем. Хакеры будут пользоваться недостатком опыта в области разработки и аудита смарт-контрактов. Стоит отметить, что DeFi находится на ранних стадиях развития. Вышеизложенные проблемы и другие аспекты, такие как низкая ликвидность, регуляторная неопределенность и высокая волатильность, вполне ожидаемы. Тем не менее, DeFi может совершить столь нужную революцию в финансовой системе.

Дисклеймер

Вся информация, содержащаяся на нашем вебсайте, публикуется на принципах добросовестности и объективности, а также исключительно с ознакомительной целью. Читатель самостоятельно несет полную ответственность за любые действия, совершаемые им на основании информации, полученной на нашем вебсайте.
Share Article

Карина Крупенченкова, криптожурналист, PR-менеджер, член Национального союза журналистов Украины, член Международной Федерации журналистов.

ПОДПИШИСЬ

Присоединяйтесь к сообществу крипто-трейдеров в нашем Telegram-канале

Join

Присоединяйтесь к сообществу крипто-трейдеров в нашем Telegram-канале

Join