" Децентрализованные финансы (DeFi) относятся к приложениям блокчейна, которые исключают посредников из финансовых продуктов и услуг, а именно кредитов, сбережения и свопы. Хотя DeFi приносит большие выгоды, он также несет в себе множество рисков.
Поскольку практически любой может создать протокол DeFi и написать несколько смарт-контрактов, недостатки в коде распространены. И в DeFi есть много недобросовестных игроков, готовых и способных использовать эти недостатки. Когда это происходит, на карту ставятся миллионы долларов, часто без возможности их возврата пользователям. Согласно ноябрьскому отчету Elliptic, пользователи DeFi потеряли 10,5 млрд долларов в результате взломов в 2021 году. Но, как показывает наш список крупнейших эксплойтов DeFi, с тех пор эта цифра выросла на миллионы. (Все приведенные ниже цифры относятся к стоимости средств на момент взлома.)
Итак, наша 13-ка в обратном порядке.
13. Grim Finance: 30 миллионов долларов
Часто dApps черпают вдохновение из блокчейнов, на которых они построены. В результате экосистема Avalanche переполнена названиями так или иначе связанными со снегом: Snowtrace, Blizz и Defrost. Между тем, экосистема Fantom похожа на вечеринку в честь Хэллоуина в сети. Это добавляет мрачности, когда что-то идет не так, как в случае с Grim Finance, протоколом оптимизатора доходности. В декабре 2021 года протокол подвергся реентерабельной атаке — типу эксплойта, когда злоумышленник фальсифицирует дополнительные депозиты в хранилище, в то время как предыдущая транзакция еще не завершена. В конце концов, атака заставила смарт-контракт выпустить 30 миллионов долларов в токенах Fantom. Протоколы DeFi обычно используют средства защиты от повторного входа — фрагменты кода, которые предотвращают такие атаки. В аудиторском отчете Grim Finance от Solidity Finance неверно указано, что протокол имеет защиту от повторного входа — напоминание о том, что аудиты не являются гарантией отсутствия взломов.
12. Meerkat Finance: 31 миллион долларов
Иногда протокол DeFi подвергается первой уязвимости. Кредитный протокол Meerkat Finance на основе Binance Smart Chain потерял 31 миллион долларов пользовательских средств всего через день после запуска в марте 2021 года.
Злоумышленник запустил в контракте функцию, из-за которой его адрес стал владельцем хранилища, украв из проекта 13,96 миллиона долларов в стейблкоине Binance BUSD и еще 73 000 BNB (собственный токен Binance). В то время взлом BNB обошелся примерно в 17,4 миллиона долларов. Многие пользователи утверждали, что это была инсайдерская работа: уловка разработчиков протокола. Meerkat Finance отверг обвинения.
11. Vee Finance: 35 миллионов долларов
Летом 2021 года наблюдался всплеск активности на Avalanche, что также привлекло тех, кто хочет использовать уязвимости новой экосистемы блокчейн сети в своих целях. В сентябре 2021 года, всего через неделю после того, как кредитная платформа Vee Finance отметила рубеж в 300 миллионов долларов общей стоимости заблокированных активов, она пострадала от того, что остается самой большой уязвимостью в сети Avalanche. Атака стала возможной во многом потому, что функция торговли с кредитным плечом Vee Finance полагалась на цены токенов, предоставленные основным протоколом ликвидности Avalanche, Pangolin. Чтобы воспользоваться этим, злоумышленник создал семь торговых пар на Pangolin, обеспечил ликвидность и, наконец, разместил сделки с кредитным плечом на Vee. Это позволило им вывести из протокола криптовалюты на 35 миллионов долларов. В твите, адресованном «уважаемому господину/госпоже 0x**95BA», протокол требовал, чтобы злоумышленник вернул средства в рамках программы вознаграждений, которая позволила бы злоумышленнику оставить себе часть. Но хакер Vee не проявил желания возвращать средства.
10. PancakeBunnу: 45 миллионов долларов
Криптовалюта часто сталкивается с короткими но достаточно болезненными периодами кризисов. А весной 2021 года Binance Smart Chain (BSC) (теперь просто BNB Chain) была самой популярной тенденцией DeFi, , из-за низких сетевых комиссий. особенно для розничных пользователей. Но BSC также была местом множества мошеннических действий и взломов, крупнейшим из которых был эксплойт в мае 2021 года, нацеленный на протокол PancakeBunny для фарминга.
Хакер манипулировал алгоритмом ценообразования PancakeBunny с помощью серии из восьми атак с использованием мгновенных кредитов, в результате чего цена нативного токена протокола, $BUNNY, поднялась. Хакер сбежал с 45 миллионами долларов, купив BUNNY по дешевке по рыночным ценам и продав их по искусственно завышенным максимумам.
9. bZx: 55 миллионов долларов
Протокол мультичейнового кредитования bZx был взломан в ноябре 2021 года после взлома «закрытого ключа». Протокол потерял в общей сложности 55 миллионов долларов, которые хранились на Binance Smart Chain и Polygon. Хотя в наши дни атаки с использованием флэш-кредитов являются распространенной тактикой эксплойтов DeFi, bZx стал лидером в этом отношении. В феврале 2020 года он стал объектом атаки с использованием флеш-кредитов, нацеленной на его платформу маржинальной торговли Fulcrum. Хакер скрылся с 1300 обернутыми ETH, которые на тот момент стоили около 366 000 долларов. В ходе другой атаки в сентябре 2020 года bZx потеряла 30% средств, заблокированных в хранилищах, которые на тот момент стоили 8 миллионов долларов. Однако пользователи с открытыми маржинальными позициями не понесли убытков, поскольку, как позже было сказано в отчете протокола, эти средства были списаны со страхового фонда bZx.
8. Badger DAO: 120 миллионов долларов
Не всегда уязвимость смарт-контракта становится причиной и-за которой из проекта DeFi уходят миллионы.
В декабре 2021 года мост Bitcoin-to-DeFi Badger DAO понес убытки в размере 120 миллионов долларов после того, как мошенники обманом заставили членов Badger DAO одобрить вредоносные транзакции, что позволило им контролировать средства пользователей в хранилище и перемещать средства.
Фирма по безопасности блокчейна PeckShield сообщила, что контракты протокола защищены от эксплойта, и пострадал только пользовательский интерфейс.
7. Cream Finance: 130 миллионов долларов
Протокол кредитования Cream Finance потерял 130 миллионов долларов в результате атаки на систему флеш-кредитов в октябре 2021 года, что стало третьей атакой на протокол. Система флеш-кредитов позволяют брать мгновенные кредиты при условии их возврата той же транзакцией. Хотя они полезны для арбитража, они широко используются злоумышленниками для использования уязвимостей в протоколах DeFi. В случае с Cream Finance хакер, выдающий мгновенные кредиты, смог использовать уязвимость в ценообразовании, многократно беря мгновенные кредиты с разных адресов Ethereum. В Cream Finance это не первый случай. В августе 2021 года хакер украл около 25 миллионов долларов в ходе еще одной атаки с флэш-кредитами, в первую очередь нацеленной на собственный токен Flexa Network, AMP. А в феврале 2021 года в ходе атаки на срочные кредиты хакеры вывели 37,5 млн. долларов из пула протокола.
6. Vulcan Forged: 140 миллионов долларов
Play-to-earn — одна из новейших тенденций в криптографии, но и она не лишена олдскульных уловок и ловушек, особенно тех, которые используют централизованные функции. Vulcan Forged, платформа для заработка на Polygon, усвоила этот урок в декабре 2021 года, когда ее пользователи потеряли 140 миллионов долларов.
Согласно отчету о взломе, хакер получил учетные данные централизованных пользовательских кошельков платформы — Venly — для того чтобы завладеть закрытыми ключами к 96 криптокошелькам. Позже хакер использовал данные для получения закрытых ключей в функции портфеля активов платформы — MyForge — и в конечном итоге скрылся с 4,5 миллионами собственных токенов PYR Vulcan Forged. В своем обращении к сообществу генеральный директор Vulcan Forged Джейми Томсон сказал: «Конечно, в будущем мы будем использовать только децентрализованные кошельки, поэтому нам больше никогда не придется сталкиваться с этой проблемой».
5. Compound: 150 миллионов долларов
Как и большинство протоколов DeFi, протокол кредитования Compound имеет токен управления COMP. Протокол распределяет токены среди пользователей при определенных условиях.
В октябре 2021 года выяснилось, что в Compound была ошибка — «самый тщательно охраняемый секрет в DeFi», — которая позволяла заемщикам претендовать на большую долю COMP, чем предполагалось. Ошибка касалась двух его хранилищ или пулов средств на смарт-контракте. Пользователи вызывали специальную функцию — drip() — в хранилище Reservoir, которая пополняла другое хранилище, Comptroller. Это хранилище автоматически распределяло большие объемы COMP по неправильным адресам. Негерметичный кран был результатом ошибки, внесенной в предыдущем обновлении протокола.
После того, как 80 миллионов долларов COMP были отправлены не тем людям, команда поспешила исправить ошибку. Но прежде чем какое-либо исправление могло быть реализовано, протокол требовал принятия предложения по управлению. Предложение создали 2 октября и окончательно приняли 9 октября. Пока сообщество обсуждало, хранилища потеряли еще 68,8 миллиона долларов.
Как основатель Compound Роберт Лешнер пытался вернуть деньги? Написав в Твиттере: «Любой, кто возвращает COMP сообществу, является инопланетным гигачадом; и если отряд инопланетных гигачад когда-нибудь вызовет меня, я появлюсь». Почти половина средств была возвращена.
4. Beanstalk: 182 миллиона долларов
Система предоставления флеш- кредитов одновременно полезна и опасна. Всего через два дня после празднования того, что 150 миллионов долларов активов были заблокированы в его протоколе, компания Beanstalk, базирующаяся на Ethereum, обнаружила, что 182 миллиона долларов пропали без вести в результате атаки с использованием мгновенного кредита. Хакеру удалось отмыть 80 миллионов долларов в Ethereum через Tornado Cash. Beanstalk известен своей алгоритмическим стейблкоином BEAN, который должен стоить 1 доллар. Хотя ему удалось сохранить свою привязку сразу после атаки, эксплойт продемонстрировал, что алгоритмические стейблкоины стабильны ровно настолько, насколько стабильны лежащие в их основе контракты.
3. Wormhole: 326 миллионов долларов
Поскольку появляется все больше блокчейнов уровня 1 с построенными на них DeFi, у пользователей появляется больше желания переводить средства между блокчейнами. Межсетевые мосты удовлетворяют эту потребность, но также создают новые уязвимости. Самый разрушительный кроссчейн-инцидент произошел в январе 2022 года, когда популярный мост Wormhole потерял 320 миллионов долларов в Wrapped Ethereum (wETH). WETH — это криптовалюта, привязанная к цене Ethereum в соотношении 1:1. Хакер нацелился на опору моста на Солане, где пользователи должны сначала заблокировать Ethereum в смарт-контракте, чтобы получить эквивалентную сумму в Wrapped Ethereum. Хакеру удалось найти способ обхода, выпустив WETH без блокировки ETH в Wormhole.
Jump Trading Group, заинтересованная сторона в разработке Wormhole, взяла на себя инициативу пополнить казну Ethereum Wormhole и снова сделать ее единой.
2. Ronin: 552 миллиона долларов
Сайдчейн Ronin был разработан для игры Axie Infinity, в которой нужно зарабатывать деньги. Игра Axie Infinity, основанная на NFT, — одна из самых больших историй успеха криптовалюты за последние пару лет. 23 марта 2022 года он стал жертвой одного из самых крупных взломов в истории криптовалют: из моста вывели примерно 552 миллиона долларов в криптовалюте в сайдчейн Ronin с использованием «взломанных закрытых ключей». К тому времени, как через неделю Sky Mavis, разработчик Axie Infinity, раскрыл эксплойт, стоимость украденных средств выросла до 622 миллионов долларов. Согласно отчету Sky Mavis, злоумышленник использовал «бэкдор через наш безгазовый RPC-узел, который взломали для получения подписи для валидатора Axie DAO».
Объясняя, что в ноябре 2021 года Sky Mavis обратилась к Axie DAO для распространения бесплатных транзакций из-за высокой пользовательской нагрузки, в отчете добавлено, что «Axie DAO внес Sky Mavis в белый список для подписания различных транзакций от ее имени. Это было прекращено в декабре 2021 года, но доступ к белому списку не был отозван».
Используя эксплойт, злоумышленник затем смог подписать транзакции с пяти из девяти узлов-валидаторов в сети Ronin, включая узел AxieDAO и четыре собственных узла Sky Mavis. Это, в свою очередь, позволило злоумышленнику подделать транзакции и потребовать 173 600 WETH (Wrapped Ethereum) и 25,5 млн долларов США на общую сумму около 622 млн долларов.
Назвав это «одним из самых крупных взломов в истории», соучредитель Axie Infinity Джефф Зирлин отметил, что «есть шанс, что [хакера] можно будет идентифицировать и привлечь к ответственности».
1. Poly Network: 611 миллионов долларов
Взлом Poly Network считается самым крупнейшим в истории всех криптовалют, не только в DeFi. К счастью, сага, начавшаяся 10 августа 2021 года, благополучно закончилась через три дня после серии подозрительных событий. Ограбление началось, когда хакер воспользовался уязвимостью в «контрактных вызовах» Poly Network — фрагментах кода, обеспечивающих работу протокола. Хакер быстро сбежал с 611 миллионами долларов в различных криптовалютах, в результате чего Poly опубликовал письмо отчаяния с приветствием «Дорогой хакер».
Эта попытка общения и последующие усилия по информированию в конечном итоге сработали. Протокол предлагал награду в полмиллиона долларов и возможность для хакера стать его главным советником по безопасности. Но на сеансе вопросов и ответов в сети хакер объяснил, что эксплойт был предназначен только для того, чтобы преподать урок Poly Network. По их словам, возвращение украденных средств было «всегда планом».
Фирма SlowMist, занимающаяся безопасностью криптовалют, заявила, что идентифицировала маркеры личности злоумышленника и что эксплойт, «вероятно, является давно спланированной, организованной и подготовленной атакой».
«Теперь все чувствуют запах заговора, — сказал хакер, отрицая, что они являются инсайдерами. — Но кто знает?»
