«Слишком передовая технология». Почему 2022 год стал рекордным по взлому DeFi-проектов
Криптовалюты остаются целью для хакеров, несмотря на падение рынка. Украденные только за две первые недели октября криптоактивы оцениваются в 718 миллионов долларов, а 2022 год ставит антирекорды по общей сумме похищенного у блокчейн-проектов. По данным аналитической компании Chainalysis, если еще двумя годами ранее основной целью хакеров были биржи, то в текущем году подавляющее большинство взломов приходится на децентрализованные финансовые сервисы (DeFi).
Алгоритмы DeFi-протоколов позволяют использовать смарт-контракты для обмена, торговли и кредитования без необходимости в централизованном посреднике. По данным defillama, общая сумма заблокированных средств (total value locked, TVL) в DeFi-проектах превышает 54 миллиарда долларов. Невозможность отката транзакций и относительная анонимность в этой сфере, как и отсутствие стандартов кибербезопасности, делают ее максимально привлекательной для хакеров.
«Октябрь стал самым масштабным месяцем по хакерской активности», – написали в Twitter представители Chainalysis, комментируя опубликованную статистику по взломам. Всего за один день было взломано четыре DeFi-проекта. Платформа Mango, работающая на блокчейне Solana (SOL) лишилась принадлежащих инвесторам нативных токенов MNGO на 100 млн долларов. Хакер использовал эти же токены для искусственного завышения их цены и манипуляции голосованием в DAO сервиса.
В тот же день в результате эксплойта было выведено активов на $2,3 млн из проекта Temple DAO, а также меньшие суммы из протоколов ParaSwap и RabbySwap. На фоне многочисленных краж и взломов в криптосообществе возник мем «хактябрь» (“hacktober”).
Кого взламывали в 2022 году
Основной целью хакеров стали так называемые кроссчейн-мосты, позволяющие обменивать криптовалюты между разными блокчейнами. Аналитики Chainalysis оценивают общую сумму украденного в результате взлома мостов в более чем 600 млн долларов, что составляет 64% потерь DeFi-проектов за текущий год.
Источник: Twitter.com
Самой нашумевшей в 2022 году стала атака на блокчейн-игру Axie Infinity. В результате взлома ее сайдчейна Ronin Network было украдено 173 600 ETH и $25,5 млн в стейблкоинах USDC. На момент атаки в марте сумма активов оценивалась в $625 млн, что стало абсолютным антирекордом для всего криптомира.
Как предложение о работе привело к краже 625 миллионов долларов у игры Axie Infinity. Подробности взлома
В 2016 году взлом проекта TheDAO привел к откату блокчейна Ethereum путем создания ответвления (форка) основной сети для возврата средств пострадавшим пользователям. Это вызвало большой резонанс в сообществе, привело к появлению криптовалюты Ethereum Classic (ETC), а противоречивое решение о форке до сих пор припоминают Виталику Бутерину и другим разработчикам. Для сравнения, сумма ущерба TheDAO от взлома ($60 млн) была в десять раз меньше, чем у Axie Infinity, и заметно ниже, чем у других пострадавших в 2022 году DeFi-сервисов.
В результате десяти крупнейших взломов текущего года хакерам удалось вывести криптоактивы более чем на 1,8 млрд долларов. Список включает упомянутый выше сайдчейн Ronin Network ($625 млн), протокол Wormhole ($325 млн), мост Nomad ($190 млн), маркетмейкера Wintermute ($160 млн), мост биржи Binance ($100 млн), мост проекта Harmony ($100 млн), платформу Mango ($100 млн), лендинговый протокол Qubit Finance ($80 млн), протокол Beanstalk ($80 млн) и совместные пулы платформ Fei и Rari ($80 млн).
Как проходят взломы
Существует несколько возможных сценариев атак на DeFi-протоколы. Во первых, хакер может обнаружить уязвимость во внутренней инфраструктуре проекта. Это может быть блокчейн, на котором он работает, элементы веб-интерфейса или инструменты для взаимодействия с закрытыми ключами. Злоумышленники часто получают доступ к ключам, распространяя вредоносное ПО методами социальной инженерии, используя фишинг или фейковые предложения работы, как в случае с Axie Infinity.
Другая категория взломов подразумевает эксплуатацию уязвимостей в коде смарт-контракта. Хакер, владея необходимым языком программирования (чаще всего, Solidity), может найти в исходном коде уязвимые участки. Например, при отправке токенов с уязвимого контракта проекта на вредоносный, может активироваться функция, открывающая хакеру возможность вывести все токены, находящиеся в обеспечении протокола.
Часть атакующих находят ошибки в бизнес-логике децентрализованных приложений, позволяющих использовать их не так, как задумывали разработчики. Например, на децентрализованной бирже (DEX) может некорректно рассчитываться сумма получаемых токенов при обмене. Примером ошибки в логике контракта служит случай вывода средств из моста Nomad. Зачастую новые DeFi-проекты используют чужой исходный код путем создания форка, копируя в том числе и ошибки в коде, которые повторно могут эксплуатировать злоумышленники.
Многие атаки осуществляются с помощью механизмов взаимодействия между несколькими приложениями, например когда хакер использует ошибку в логике одного протокола, присваивая при этом активы, которыми кредитуется в другом. Например, при так называемых мгновенных займах (flashloan) он может занимать любое количество токенов из пулов ликвидности таких протоколов как Aave без необходимого обеспечения. Подобное произошло с платформой Nereus Finance и рядом других проектов.
Общаясь с журналистами издания Fortune, вице-президент по расследованиям в Chainalysis Эрин Планте говорит, что первым шагом к решению проблем безопасности является то, что чрезвычайно строгий аудит кода «должен стать золотым стандартом» как для разработчиков, создающих протоколы, так и для инвесторов, оценивающих их.
Где безопаснее для инвестора
По данным совместного отчета Chainalysis и биржи Bitfinex, опубликованного 13 октября, большинство инвесторов по-прежнему предпочитают централизованные биржи (CEX) для хранения активов. Аналитики связывают это в том числе с тем, что децентрализованные платформы более уязвимы к хакерским атакам.
Источик: Twitter.com
Исследователи отмечают, что объем похищенных с централизованных криптобирж средств снизился на 58% с 2018 года, когда сумма ущерба оценивалась в $972 млн, до $413 млн, зафиксированных в 2021 году. В текущем году Chainalysis оценивают сумму украденного в $80 млн.
В комментарии для издания Cointelegraph главный технический директор биржи Bitfinex Паоло Ардоино также указал на растущую устойчивость централизованных бирж к хакерским атакам. При этом для хранения криптоактивов Ардоино советует использовать некастодиальные и по возможности аппаратные кошельки для наилучшей сохранности средств, а при работе с биржами включать двухфакторную аутентификацию и другие меры безопасности, доступные для аккаунта.
Несмотря на многочисленные взломы, Ардоино считает DeFi интересной тенденцией, которая может внести значительный вклад в общий рост криптовалют.
Как преследуют хакеров
В августе Федеральное бюро расследований США (ФБР) выпустило предупреждение для инвесторов о риске киберпреступлений в сфере DeFi. Представители бюро назвали три наиболее популярных вектора а атак и призвали граждан тщательно изучать платформы, протоколы и смарт-контракты перед инвестированием.
В том же месяце американские регуляторы наложили санкции на код криптовалютного микшера Tornado Cash, которым пользовались многие из взломщиков DeFi-протоколов, чтобы усложнить возможность отслеживания перемещения украденных активов.
В сентябре Властям США удалось конфисковать 30 млн долларов в криптовалюте, которая была украдена из сайдчейна Ronin Network хакерами в марте 2022 года. Сумма возврата средств стала рекордной для правоохранительных органов Соединенных Штатов. Часть украденных активов удалось отследить и заморозить на аккаунтах в Binance и других криптобиржах.
Несмотря на расследования, ни один из взломщиков DeFi-проектов не был арестован. Правоохранительным органам необходимо время и ресурсы на создание технологических решений, позволяющих справляться с уязвимостями экосистемы. В интервью Fortune соучредитель работающей в сфере кибербезопасности компании NAXO Крис Тарбелл говорит, что правоохранители, безусловно, реагируют на то, что происходит в сфере DeFi. Тарбелл был агентом ФБР и участвовал в разработке инструментов для закрытия торговой площадки Silk Road, ставшей прообразом всех незаконных маркетплейсов в даркнете. «Нужно время, это слишком передовая технология», – резюмирует бывший агент.