" Compound Finance (COMP) - лишь одна из последних жертв хакерских инцидентов DeFi в 2021 году. 30 сентября инцидент с ошибочным распределением токенов в Предложении 062 выявил недостаток, в результате которого пользователям были неправильно распределены лишние токены COMP на сумму 70–85 миллионов долларов.
Тем не менее, через несколько дней в уязвимое хранилище были помещены дополнительные 65 миллионов долларов, в результате чего под угрозой оказались как минимум 150 миллионов долларов в токенах COMP. Но, хотя Compound смог исправить всю ситуацию, он показывает, насколько иногда может быть уязвимым сектор децентрализованных финансов (DeFi) на этапе его зарождения.
В прошлом году общая заблокированная стоимость (TVL) в DeFi составляла всего 5% от текущей стоимости - 255 миллиардов долларов. Это изменение означает взрывной рост на 1686%. Даже после провала Compound и совсем недавно, когда децентрализованная торговая платформа BXH потеряла 139 миллионов долларов в результате атаки из-за утечки ключа администратора, TVL фактически увеличился за последний месяц, поднявшись на 14,27%.
Одна из причин, по которой инвесторы устремились к протоколам DeFi, - это поиск более высоких доходов. Минимальные процентные ставки 2020 года не имели четкой основы для повышения, и это заставляло инвесторов искать другие возможности для размещения своих денег. Привязка криптоактивов к протоколам DeFi и предоставление ликвидности для таких услуг стало привлекательным вариантом, поскольку он предлагает более ощутимую прибыль. За этим последовал доходного фарминга в 2020 году, который преобладал до этого года.
Подсчет инцидентов
Растущая популярность DeFi - это палка о двух концах для молодого сектора и всего криптовалютного пространства в целом. По данным китайской компании по кибербезопасности Slow Mist, с 2012 года произошло 534 инцидента взлома блокчейнов, при этом только в 2021 году произошло 169 событий. Взломы стали более изощренными и нацелены на различные области сектора.
Тем не менее, самый крупный взлом произошел в 2021 году и был осуществлен неизвестным хакером, который разорил кросс-чейновый протокол Poly Network. В результате были украдены токены на сумму, эквивалентную 610 миллионам долларов, что превышает потери MtGox и Coincheck. В результате атаки было получено около 273 миллионов долларов из сети Ethereum, 85 миллионов USD Coin (USDC) из сети Polygon (MATIC) и 253 миллиона долларов из Binance Smart Chain. Он также забрал значительное количество обернутых активов: renBTC, Wrapped Bitcoin (wBTC) и Wrapped Ethereum (wETH).
Инцидент с Poly Network - один из многих случаев взлома DeFi в 2021 году. Причем разработчикам повезло - хакер согласился вернуть Poly Network все средства. С другой стороны, Cream Finance (CREAM) повезло меньше. Децентрализованный протокол кредитования вступает в силу очень скоро, и в результате проведенных на него атак - а в этом году их было две - было украдено почти 150 миллионов долларов, которые компания все еще пытается восстановить. В целом общая сумма денег, потерянных из-за взлома блокчейна в этом году, составляет почти 7 миллиардов долларов, что на 2,5 миллиарда долларов больше, чем в прошлом году.
Нужны аудиты
Poly Network, Compound и Cream Finance вошли в тройку лидеров по количеству затронутых фондов (на общую сумму 906 миллионов долларов). Как и Cream Finance, существуют и другие известные протоколы, в которых эксплойты применялись более одного раза в течение года, например THORChain и Value DeFi.
Кроме того, Merlin Labs, оптимизатор доходности, созданный на основе BSC, претерпел хотя и незначительный урон - он потерял всего 1,5 миллиона долларов, в отличие от остальных жертв, - подвергся атаке трижды - сначала дважды на той же неделе и еще раз через месяц. Более того, что удивительно, об уязвимости было известно Hacken еще за 11 дней до атаки.
Эксперты по безопасности рекомендуют проходить аудит смарт-контрактов, обычно у независимых аудиторов. Аудит может обнаружить и, возможно, исправить интеллектуальные уязвимости в коде и проверить надежность взаимодействия смарт-контракта.
Генеральный директор Kava Labs Брайан Керр сказал в мае 2020 года, что для всех, кто хочет использовать протокол DeFi, критически важно сначала проверять аудиты и коллегиальные обзоры. Но даже в этом случае он предупреждает о связанных технических и рыночных рисках, поскольку сектор, опять же, все еще новый.
Среди проектов, которые стали жертвами атак в этом году, лишь около 15 из 40 затронутых протоколов DeFi были проверены. И стоит отметить, что затронутые фонды для проверенных протоколов были значительно меньше, чем те, которые не были проверены. Для каждой аудируемой компании сумма убытка была почти на 60% меньше, чем у неаудированной. В целом, 20,3% затронутых средств во всех протоколах, взломанных в этом году, были получены от протоколов, которые были проверены, а 79,67% или около 1,3 миллиарда долларов были украдены у тех, которые не были проверены.
Четыре основных причины взлома протоколов DeFi включают ошибки кодирования, некомпетентность разработчиков, неправильное использование сторонних протоколов и ошибки бизнес-логики. Самая распространенная из них и, возможно, самая опасная - это некомпетентность разработчика, которая также является прямым следствием ошибок кодирования. Недостаточно квалифицированные разработчики, спешащие запустить проект без тщательной сторонней проверки, могут привести к появлению протоколов, более уязвимых для эксплойтов.
Вот почему в отрасли постоянно предпринимаются дополнительные меры по улучшению протоколов безопасности. Аудиты, особенно в части безопасности смарт-контрактов и вторичный аудит, - это всего лишь два способа добиться этого. Как сказал Керр, техническая осмотрительность инвестора также требует тщательного изучения протокола DeFi перед инвестированием (DYOR).
Тем не менее, свет в конце туннеля говорит о том, что эти взломы могут иметь важное значение для продвижения сектора DeFi. Главный финансовый аналитик CipherTrace Джон Джеффрис еще в августе сказал, что такие преступления приведут к ускорению принятия процедуры «знай своего клиента», или KYC, особенно децентрализованными биржами, или DEX, поскольку это может иметь решающее значение для получения разрешения регулирующих органов.
По мере развития DeFi, особенно с появлением блокчейнов первого уровня, конкурирующих с Ethereum, недавние взломы и эксплоиты, возможно, являются лишь верхушкой айсберга, а плохо спроектированные и не прошедшие аудит протоколы могут создать массу проблем.
