Число атак на DeFi-платформы постоянно растет, что неудивительно, ведь в сфере децентрализованных финансов крутятся десятки миллиардов долларов. По мнению экспертов, главная причина атак — стремительное развитие сектора DeFi, недостаточное тестирование и отсутствие аудита безопасности на фоне желания многих проектов поскорее выйти на рынок. Крипту хакеры уводят разными способами, но чаще всего взломы происходят из-за уязвимостей в смарт-контрактах.
Смарт-контракты — центральный элемент экосистемы децентрализованных финансов. И поскольку они, как и любое другое ПО, разрабатываются людьми, риск появления ошибок в программном коде и конфигурациях всегда есть и будет. А если уязвим смарт-контракт, уязвимо и распределенное приложение, разработанное на нем, чем и пользуются злоумышленники.
ТОП-5 взломов DeFi-платформ в 2022 году
Прошлый год был очень богат на взломы криптовалютных проектов. Согласно отчету Chainalysis, за 2022 год в общей сложности хакерами было украдено монет и токенов на сумму, эквивалентную $3 млрд. Самые крупные кражи были связаны с кроссчейн-мостами и DeFi-протоколами.
Ronin ($625 млн)
Сеть Ronin, на которой размещается популярная блокчейн-игра “Axie Infinity” от компании “Sky Mavis”, в марте 2022 года обокрали на $625 млн в ETH и USDC. Взлом не могли обнаружить в течение недели, пока один из пользователей не пожаловался, что не может вывести свои ETH из “Axie Infinity”. На сегодняшний день это крупнейшая кража крипты, которую приписывают северокорейской команде хакеров Lazarus.
При помощи фишинговой атаки по электронной почте бывшего сотрудника Sky Mavis злоумышленники получили доступ к IT-инфраструктуре компании, где на внутренних серверах нашли приватные ключи от нод валидаторов сети, похитили их и взяли под контроль всю сеть Ronin.
Безопасность сети Ronin обеспечивало только девять валидаторов, четыре из которых находилось под управлением Sky Mavis, причем для ввода/вывода средств было достаточно одобрения транзакции только пятью из девяти. Благодаря этому, получив контроль над пятой нодой (которой управляло Axie DAO) при помощи бэкдора, злоумышленники смогли спокойно вывести из сети средства на сумму более 173,6 тыс. ETH и 25,5 млн USDC.
По данным экспертов, хакеры пропустили награбленные монеты через несколько криптомиксеров (Tornado Cash, Blender, UnKnown, ChipMixer), а сейчас они, предположительно, выведены в сеть Bitcoin.
По заявлению Sky Mavis, большинство потерпевших ущерб от кражи в полном объеме получили компенсацию за счет собственных средств компании, объединенных со $150 млн, привлеченных в рамках финансирования, возглавляемого Binance.
Wormhole ( $325 млн)
Wormhole — это протокол кроссчейн-моста, позволяющий пользователям переводить ETH в обернутые токены WETH (Wormhole ETH) в сети Solana. В феврале 2022 года кроссчейн-мост атаковал неизвестный хакер. Он подделал подписи безопасности, получил буквально «из воздуха» 120 тыс. WETH, обменял их на ETH в сети Ethereum и таким образом опустошил пул ликвидности Wormhole.
Взлом привел к остановке работы сетевого моста, но через несколько дней он снова был открыт, а все украденные токены были возвращены их владельцам за счет собственных средств Jump Crypto — компании-создателя Wormhole.
Nomad ( $190 млн)
Взлом еще одного моста произошел в августе 2022 года. Nomad — кроссчейн-мост, соединяющий сети Ethereum, Avalanche, Moonbeam, Evmos и Milkomeda, взломали на сумму $190 млн.
Возможность взлома появилась из-за неправильной конфигурации основного смарт-контракта проекта. Ошибку разработчики допустили во время обновления, что позволило любому, у кого есть хотя бы элементарные знания программного кода, разрешить самому себе вывод средств. Когда эта ошибка всплыла, более трех сотен пользователей ринулись незаконно выводить средства с моста. Некоторые из них, правда, оказались «белыми» хакерами и позже вернули платформе $22 млн. Эксперты называют этот взлом «первым децентрализованным массовым ограблением».
Beanstalk Farms ( $182 млн)
Этот стейблкойн-протокол на базе Ethereum был атакован в апреле 2022 года. Схема атаки выглядела следующим образом.
Злоумышленник использовал мгновенные беззалоговые займы для получения более $1 млрд на разных децентрализованных платформах (Uniswap, SushiSwap и Aave) в USDC, USDT, DAI и других стейблкойнах.
Внес полученные средства в пул BEAN и получил 67% токенов управления Stalk, которыми проводится голосование в сети.
Развернул и одобрил два вредоносных предложения по управлению (BIP-18 и BIP-19), которые запросили протокол для пожертвования денежных средств Украине. Однако к этим предложениям был прикреплен злонамеренный райдер, который, по словам аудитора смарт-контрактов BlockSec, в итоге привел к утечке активов из протокола.
По оценкам компании по кибербезопасности PeckShield, этот инцидент обошелся Beanstalk в $ 182 млн.
Mango Markets ($114 млн)
Эта платформа кредитования и трейдинга на базе Solana в октябре 2022 года лишилась $114 млн в результате манипулирования рынком.
Злоумышленник (позже выяснилось, это был трейдер Авраам Айзенберг, действовавший во главе команды хакеров) решил вывести с Mango Markets депозиты клиентов при помощи манипуляции ценой токена MNGO. Для этого он:
внес в качестве депозита 5 млн USDC на Mango Markets;
открыл огромную длинную позицию на покупку токена MNGO, что привело к скачку его стоимости более чем на 1000% всего за час; соответственно, выросла и залоговая стоимость аккаунта хакера;
использовал искусственно завышенную залоговую стоимость, взял под нее кредиты в нескольких монетах и токенах на сумму $114 млн, вывел средства и скрылся с деньгами.
Однако позже Айзенберг договорился о мировом соглашении с разработчиками проекта и вернул $69 млн. А потом и вовсе раскрыл свою личность. Очевидно, это было сделано зря. В декабре 2022 года Минюст США арестовал трейдера и обвинил в преступлениях, связанных с манипулированием рынком.
Как любители незаконно поживиться криптой начали 2023 год
По данным аналитиков компании PeckShield, за январь 2023 года хакерами было совершено 24 взлома криптовалютных проектов на сумму $8,8 млн, что в 14 раз меньше суммы, украденной хакерами за аналогичный период прошлого года. Самой крупной стала атака на LendHub — платформу кредитования. С нее злоумышленники за один раз вывели объем крипты, эквивалентный $6 млн. Кроме данного сервиса, в начале этого года от взломов пострадали и другие криптопроекты: Mycelium, Thoreum Capital, Midas Capital, OMNI.
По данным все той же PeckShield, за февраль 2023-го произошло 209 взломов на сумму $35 млн, что в 10 раз меньше, чем в прошлом году.
DeFi-протоколы продолжат взламывать и дальше, ведь ничего нового для их безопасности так и не придумано. И всегда актуальной остается древняя мудрость — просто не кладите все яйца в одну корзину, чтобы не лишиться всего сразу.
