Как хакеры выводят миллиарды долларов в криптовалюте из децентрализованных протоколов

​«Слишком передовая технология». Почему 2022 год стал рекордным по взлому DeFi-проектов

15.10.2022

1028

14 мин

Криптовалюты остаются целью для хакеров, несмотря на падение рынка. Украденные только за две первые недели октября криптоактивы оцениваются в 718 миллионов долларов, а 2022 год ставит антирекорды по общей сумме похищенного у блокчейн-проектов. По данным аналитической компании Chainalysis, если еще двумя годами ранее основной целью хакеров были биржи, то в текущем году подавляющее большинство взломов приходится на децентрализованные финансовые сервисы (DeFi).

Алгоритмы DeFi-протоколов позволяют использовать смарт-контракты для обмена, торговли и кредитования без необходимости в централизованном посреднике. По данным defillama, общая сумма заблокированных средств (total value locked, TVL) в DeFi-проектах превышает 54 миллиарда долларов. Невозможность отката транзакций и относительная анонимность в этой сфере, как и отсутствие стандартов кибербезопасности, делают ее максимально привлекательной для хакеров.

«Октябрь стал самым масштабным месяцем по хакерской активности», – написали в Twitter представители Chainalysis, комментируя опубликованную статистику по взломам. Всего за один день было взломано четыре DeFi-проекта. Платформа Mango, работающая на блокчейне Solana (SOL) лишилась принадлежащих инвесторам нативных токенов MNGO на 100 млн долларов. Хакер использовал эти же токены для искусственного завышения их цены и манипуляции голосованием в DAO сервиса.

В тот же день в результате эксплойта было выведено активов на $2,3 млн из проекта Temple DAO, а также меньшие суммы из протоколов ParaSwap и RabbySwap. На фоне многочисленных краж и взломов в криптосообществе возник мем «хактябрь» (“hacktober”).

Кого взламывали в 2022 году

Основной целью хакеров стали так называемые кроссчейн-мосты, позволяющие обменивать криптовалюты между разными блокчейнами. Аналитики Chainalysis оценивают общую сумму украденного в результате взлома мостов в более чем 600 млн долларов, что составляет 64% потерь DeFi-проектов за текущий год.

Источник: Twitter.com

Самой нашумевшей в 2022 году стала атака на блокчейн-игру Axie Infinity. В результате взлома ее сайдчейна Ronin Network было украдено 173 600 ETH и $25,5 млн в стейблкоинах USDC. На момент атаки в марте сумма активов оценивалась в $625 млн, что стало абсолютным антирекордом для всего криптомира.

Как предложение о работе привело к краже 625 миллионов долларов у игры Axie Infinity. Подробности взлома

В 2016 году взлом проекта TheDAO привел к откату блокчейна Ethereum путем создания ответвления (форка) основной сети для возврата средств пострадавшим инвесторам. Это вызвало большой резонанс в сообществе, привело к появлению криптовалюты Ethereum Classic (ETC), а противоречивое решение о форке до сих пор припоминают Виталику Бутерину и другим разработчикам. Для сравнения, сумма ущерба TheDAO от взлома ($60 млн) была в десять раз меньше, чем у Axie Infinity, и заметно ниже, чем у других пострадавших в 2022 году DeFi-сервисов.

В результате десяти крупнейших взломов текущего года хакерам удалось вывести криптоактивы более чем на 1,8 млрд долларов. Список включает упомянутый выше сайдчейн Ronin Network ($625 млн), протокол Wormhole ($325 млн), мост Nomad ($190 млн), маркетмейкера Wintermute ($160 млн), мост биржи Binance ($100 млн), мост проекта Harmony ($100 млн), платформу Mango ($100 млн), лендинговый протокол Qubit Finance ($80 млн), протокол Beanstalk ($80 млн) и совместные пулы платформ Fei и Rari ($80 млн).

Как проходят взломы

Существует несколько возможных сценариев атак на DeFi-протоколы. Во первых, хакер может обнаружить уязвимость во внутренней инфраструктуре проекта. Это может быть блокчейн, на котором он работает, элементы веб-интерфейса или инструменты для взаимодействия с закрытыми ключами. Злоумышленники часто получают доступ к ключам, распространяя вредоносное ПО методами социальной инженерии, используя фишинг или фейковые предложения работы, как в случае с Axie Infinity.

Другая категория взломов подразумевает эксплуатацию уязвимостей в коде смарт-контракта. Хакер, владея необходимым языком программирования (чаще всего Solidity), может найти в исходном коде уязвимые участки. Например, при отправке токенов с уязвимого контракта проекта на вредоносный, может активироваться функция, открывающая хакеру возможность вывести все токены, находящиеся в обеспечении протокола.

Часть атакующих находят ошибки в бизнес-логике децентрализованных приложений, позволяющих использовать их не так, как задумывали разработчики. Например, на децентрализованной бирже (DEX) может некорректно рассчитываться сумма получаемых токенов при обмене. Примером ошибки в логике контракта служит случай вывода средств из моста Nomad. Зачастую новые DeFi-проекты используют чужой исходный код путем создания форка, копируя в том числе и ошибки в коде, которые повторно могут эксплуатировать злоумышленники.

Многие атаки осуществляются с помощью механизмов взаимодействия между несколькими приложениями, например, когда хакер использует ошибку в логике одного протокола, присваивая при этом активы, которыми кредитуется в другом. При так называемых мгновенных займах (flashloan) он может занимать любое количество токенов из пулов ликвидности таких протоколов как Aave без необходимого обеспечения. Подобное произошло с платформой Nereus Finance и рядом других проектов.

Общаясь с журналистами издания Fortune, вице-президент по расследованиям в Chainalysis Эрин Планте говорит, что первым шагом к решению проблем безопасности является то, что чрезвычайно строгий аудит кода «должен стать золотым стандартом» как для разработчиков, создающих протоколы, так и для инвесторов, оценивающих их.

Аналитики оценили ущерб от хакерских атак на криптопроекты за 2022 год в 3 млрд долларов

Аналитики оценили ущерб от хакерских атак на криптопроекты за 2022 год в 3 млрд долларов

Всего в Chainalysis насчитали 125 инцидентов, связанных с атакой на криптокомпании в 2022 году

Читать дальше

Где безопаснее для инвестора

По данным совместного отчета Chainalysis и биржи Bitfinex, опубликованного 13 октября, большинство инвесторов по-прежнему предпочитают централизованные биржи (CEX) для хранения активов. Аналитики связывают это в том числе с тем, что децентрализованные платформы более уязвимы к хакерским атакам.

Источик: Twitter.com

Исследователи отмечают, что объем похищенных с централизованных криптобирж средств снизился на 58% с 2018 года, когда сумма ущерба оценивалась в $972 млн, до $413 млн, зафиксированных в 2021 году. В текущем году Chainalysis оценивают сумму украденного в $80 млн.

В комментарии для издания Cointelegraph главный технический директор биржи Bitfinex Паоло Ардоино также указал на растущую устойчивость централизованных бирж к хакерским атакам. При этом для хранения криптоактивов Ардоино советует использовать некастодиальные и по возможности аппаратные кошельки для наилучшей сохранности средств, а при работе с биржами включать двухфакторную аутентификацию и другие меры безопасности, доступные для аккаунта.

Несмотря на многочисленные взломы, Ардоино считает DeFi интересной тенденцией, которая может внести значительный вклад в общий рост криптовалют.

Как преследуют хакеров

В августе Федеральное бюро расследований США (ФБР) выпустило предупреждение для инвесторов о риске киберпреступлений в сфере DeFi. Представители бюро назвали три наиболее популярных вектора а атак и призвали граждан тщательно изучать платформы, протоколы и смарт-контракты перед инвестированием.

В том же месяце американские регуляторы наложили санкции на код криптовалютного микшера Tornado Cash, которым пользовались многие из взломщиков DeFi-протоколов, чтобы усложнить возможность отслеживания перемещения украденных активов.

В сентябре Властям США удалось конфисковать 30 млн долларов в криптовалюте, которая была украдена из сайдчейна Ronin Network хакерами в марте 2022 года. Сумма возврата средств стала рекордной для правоохранительных органов Соединенных Штатов. Часть украденных активов удалось отследить и заморозить на аккаунтах в Binance и других криптобиржах.

Несмотря на расследования, ни один из взломщиков DeFi-проектов не был арестован. Правоохранительным органам необходимо время и ресурсы на создание технологических решений, позволяющих справляться с уязвимостями экосистемы. В интервью Fortune соучредитель работающей в сфере кибербезопасности компании NAXO Крис Тарбелл говорит, что правоохранители, безусловно, реагируют на то, что происходит в сфере DeFi. Тарбелл был агентом ФБР и участвовал в разработке инструментов для закрытия торговой площадки Silk Road, ставшей прообразом всех незаконных маркетплейсов в даркнете. «Нужно время, это слишком передовая технология», – резюмирует бывший агент.

Подписывайтесь на Getblock Magazine и будьте всегда в курсе последних новостей из мира криптовалют и цифровой экономики