Случаи взлома DeFi в 2021 году

2022-01-13, 08:32

Коротко

Децентрализованные финансы (DeFi) в последние годы резко пошли вверх, что сделало молодой сектор очень привлекательным для инвесторов в блокчейн. По состоянию на 3 квартал 2021 года DeFi накопила более 100 миллиардов. С момента своего появления этот бум привлек массовые атаки хакеров, которые воспользовались лазейками проекта.

В связи с этим такие фирмы, как CipherTrace, выпустили инструменты и новые решения по обеспечению соответствия, которые помогут децентрализованным биржам (DEX) и DeFi-проектам соблюдать правила Управления по контролю за иностранными активами (OFAC). Это событие является большим шагом на пути к приданию законности быстро развивающемуся пространству DeFi. Компания CipherTrace DeFi сделает все соответствующие данные доступными легко и непосредственно на цепи для простой и быстрой интеграции с существующими системами DeFi.

Уже сейчас это в значительной степени помогает проектам DeFi справиться с этой проблемой. В целом, криптопреступления имеют тенденцию к снижению. В предыдущие годы было похищено: $4,5 млрд. в 2019 году, $1,9 млрд. в 2020 году, $681 млн. за первые семь месяцев 2021 года. Но преступления DeFi выросли в три раза.

В этой статье будут рассмотрены причины, 2021 значительный взлом DeFi, а также шаги отрасли по безопасности. Давайте продолжим!


Ключевые слова: Децентрализованные финансы (DeFi), атаки DeFi, взлом блокчейна, крупнейший взлом DeFi, взломы блокчейна, хакер.

Почему проекты DeFi?

Поэтому возникает много вопросов о том, почему многие все еще интересуются этим блокчейном, несмотря на массированные атаки. Возможно, Вам будет интересно узнать, что в отличие от обычных финансовых систем, где инсайдерские операции управляют работой и контролируют сектор, DeFi не полагается на такие полномочия.

Децентрализованные финансы, основанные на технологии блокчейн, произвели революцию в финансовой сфере, поскольку они полностью не требуют хранения на бирже и децентрализованы. Пользователи могут полностью контролировать и совершать сделки со своими цифровыми активами: нет центрального органа исполнения. Такая децентрализация становится возможной благодаря смарт-контрактам в сети блокчейн, которые разрешают действия в сети только при выполнении заданных условий. Таким образом, мы имеем одноранговые финансовые услуги, позволяющие осуществлять децентрализованное кредитование, децентрализованный обмен, деривативы, платежные системы, доходное фермерство, прогнозирование рынка, которые быстрее, дешевле, проверяемы и бесшовны.


Например, проекты Ethereum DeFi получили широкое распространение благодаря высокой процентной ставке прошлого года, принеся многим пользователям значительную прибыль. Доходы и проценты, полученные от кредитов, приносят "пассивный доход" для пользователей. Доходное фермерство позволяет пользователям использовать свои криптоактивы для получения значительных доходов.

Взломы через слабый дизайн смарт-контрактов

Несмотря на такое снижение широко распространенных атак на индустрию блокчейн, ситуация с DeFi ухудшилась в 2,7 раза по сравнению с прошлым годом. Эти потери произошли различными путями, такими как взломы, махинации, сбои в системе и кражи.


В большинстве случаев взлом DeFi происходит, когда смарт-контракты, реализованные на блокчейне, неисправны, неправильно используются сторонние протоколы, некомпетентность разработчиков и ошибки бизнес-логики, что потенциально делает проект уязвимым для хакеров. Ошибки в этих контрактах часто почти необратимы, как и ошибки, что увеличивает риск. К сожалению, эти недостатки все еще распространены среди DeFi.

Эксперты говорят, что хакеры используют слабые места в криптографии или кодировании этих проектов DeFi для авторизации движения средств.


P.S.: С общей суммой в 906 миллионов долларов, Poly Network, Compound и Cream Finance попали в список самых пострадавших DeFi проектов в 2021 году.

1. Самые крупные взломы DeFi в 2021 году: Взлом Poly Network

10 августа самый значительный в истории криптовалют убыток в размере $612 млн. был зафиксирован Poly Network, обогнав потери MtGox и Coincheck. Обычно хакеры DeFi нацелены на конкретные инструменты DeFi, но в данном случае в центре внимания оказалась инфраструктура Poly Network.

Целью хакера было получение полного контроля над смарт-контрактами децентрализованной биржи (DEX), что давало ему доступ к заблокированным токенам в рамках контракта.

Всего было украдено токенов сети Ethereum на общую сумму 273 млн. долларов; USD Coin (USDC) из сети Polygon на сумму 85 млн. долларов, а также из блокчейна Binance на сумму 253 доллара, некоторое количество renBTC, обернутого Bitcoin (wBTC) и обернутого Ether (wETH).

Poly Network работает на основе смарт-контракта, который соединяет независимые блокчейны для облегчения передачи токенов. Этот белый хакер, использовал смарт-контракт CrossChainManager и подменил ключ хранения контракта в сети Poly Network. Эта манипуляция давала ему полный контроль, позволяя разблокировать и перемещать токены по выбранным им адресам.

К удивлению, хакер отклонил предложения, сделанные Poly network, но 11 августа злоумышленник начал возвращать Poly network часть украденных средств.

При попытке взлома оказалось, что он повторно использовал кошелек с известными биржами, которые располагали некоторой информацией о нем через свой протокол "знай своего клиента".
По данным CipherTrace, большая часть украденных средств была возвращена на выбранные адреса Poly Network.
Вот эти адреса:

- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

2. Взлом Compound Finance

19 апреля 2021 года EasyFI потерял около $75 млн. токенов EASY и $6 млн. ликвидности пользователей. EasyFi — это форк Compound Finance, работающий в сети Polygon уровня 2. Хакер получил доступ к ключу администратора проекта, который позволяет разработчикам обновлять свой протокол. Поэтому команда изменила протокол сети блокчейн, чтобы компенсировать свои потери и избежать будущих атак.

3. Атака на флэш-кредит Yearn Finance

Yearn Finance (YFI) подверглась хакерской атаке в феврале 2021 года, в результате которой ей удалось скрыться с $2,8 млн. Хакеры перенаправили 11 миллионов долларов из хранилища DIA через быстрые кредиты, чтобы взять кредит под залог. Этот таинственный хакер воспользовался недостатком конструкции, чтобы инициировать атаку "на флэш-кредиты", задействовав пять различных протоколов DeFi: Compound Finance (COMP), Aave Protocol (Aave), Curve Protocol (CRV), dYdX и Yearn. Финансы (YFI).

4. Взлом PAID Network 2021

Хакер манипулировал функцией обновления смарт-контракта, используя скомпрометированный ключ к развертывателю контрактов Paid Network. Этот доступ позволил ему создать и сбросить более 100 миллионов токенов, что привело к инфляции, в результате которой токен потерял около 85%.рыночной стоимости.

5. Взлом Cream Finance на 130 миллионов долларов

Только в 2021 году компания Cream Finance подверглась трем различным атакам на общую сумму 186,6 миллионов долларов. - в феврале хакеры проникли в смарт-контракт протокола Alpha Homora. Около $ 37,5 млн. в ETH и стейблкоинах были обнаружены пропавшими.

- В конце августа компания Cream Finance подверглась аналогичной атаке, когда хакеры украли $ 18,8 млн. в Ether (ETH) и токенах Amp.

-Cream Finance подверглась новой атаке 27 октября 2021 года. На этот раз потери оценивались примерно в 130 миллионов долларов. Эта атака стала 3-й по величине атакой 2021 года
Злоумышленник использовал уязвимость в смарт-контракте флэш-кредитов (мгновенных займов) от Cream Finance в сети Ethereum.

6.BadgerDAO Кража токенов на $120 млн.

Согласно его протоколу, держатели Bitcoin могут "перевести" свою криптовалюту на платформу Ethereum через его токен, что позволит им воспользоваться возможностями DeFi, к которым они, возможно, не имели бы доступа.

Согласно источнику из службы безопасности, компания pecksheild, работающая с Badger DAO над расследованием кражи токенов, подтвердила, что 1 декабря 2020 года злоумышленник прикарманил около $120 млн. токенов. Они утверждали, что злодей вставил скрипты на их сайт, чтобы прервать транзакции Web3, требуя перевести токены жертвы на выбранный злоумышленником адрес. Команда Badger утверждает, что они заметили некий след уже 10 ноября, но он был едва заметен, поскольку хакер запускал его с разными интервалами.

Хотя в самой технологии блокчейн не было никакой вины, хакер использовал пользователей сайта Badger's web2.0 при проведении транзакций. Это привело к тому, что Badger заморозил свою платформу из-за несанкционированных переводов, обнаруженных его командой. Она приостановила работу всех смарт-контрактов и попросила пользователей отказаться от всех транзакций на адреса злоумышленников.
С тех пор компания наняла экспертов по криминалистике данных Chainalysis для проведения полномасштабного расследования, при этом полностью сотрудничая с внешними органами для проведения расследования.


Заключение

-По данным coin Telegraph, среди взлома криптовалют в 2021 году только 37% были проверены.
-Около 60 % пришлось на неаудированные проекты.
-Этот результат также утверждает, что до 1,3 миллиарда долларов США были получены от неаудированных.

Из этого можно сделать вывод, что аудит необходим для обеспечения безопасного протокола DeFi для тех, кто принимает блокчейн. В последнее время растет спрос на аудиты безопасности смарт-контрактов и процедуры аудита третьей стороной для обеспечения жизнеспособности этих проектов до их выхода на биржу. В заключение, инвесторам необходимо провести тщательное исследование, прежде чем выделять средства на проекты DeFi. Тем не менее, эти взломы и кражи подчеркнули осторожность сообщества блокчейн, подтолкнув сектор к развитию и повышению доверия.

Автор: Gate.io Аналитик: M. Олатунджи
Отказ от ответственности:
* Данная статья представляет только мнение обозревателей и не является инвестиционным предложением.
*Gate.io оставляет за собой все права на эту статью. Перепечатка статьи будет разрешена при условии ссылки на Gate.io. Во всех остальных случаях будут предприняты юридические действия в связи с нарушением авторских прав.
Поделиться
gate logo
Credit Ranking
Complete Gate Post tasks to upgrade your rank