Quantstamp запустила инструмент поиска уязвимостей в DeFi-протоколах

Что произошло? Аудиторская блокчейн-компания Quantstamp выпустила инструмент для анализа программного кода протоколов децентрализованных финансов (DeFi) под названием Economic Exploit Analysis. Он способен выявить уязвимости, позволяющие осуществить атаки флэш-кредитования. Специалисты Quantstamp отметили, что таким способом только в первой половине 2023 года были украдены криптовалюты на сумму 207 млн долларов.

Пресс-релиз

Что еще известно? В Quantstamp пояснили, что в ходе подобных атак хакеры используют флэш-кредиты для необеспеченного заимствования значительных сумм и последующего манипулирования DeFi-протоколами таким образом, какой, вероятно, не был предусмотрен разработчиками. Такие эксплойты способны полностью истощить общую заблокированную стоимость (TVL) протокола, при этом возможность их совершения трудно обнаружить при проверках.

Инструмент, разработанный в сотрудничестве с Университетом Торонто, доступен во всех сетях, совместимых с виртуальной машиной Ethereum (EVM), и в будущем может быть адаптирован для других блокчейнов. В Quantstamp однако подчеркнули, что он не гарантирует обнаружение всех уязвимостей.

13 марта в результате атаки флэш-кредитования протокол Euler Finance потерял около 200 млн долларов, при этом 4 апреля взломщик вернул проекту все средства. Позже в компании CertiK сообщили, что в апреле ущерб от подобных атак снизился на 90,4% по сравнению с мартом, составив 19,9 млн долларов.

В июле платформа Immunefi представила свой стандарт безопасности для проектов в сфере Web 3.0. Rekt Test представляет собой опросник из семи пунктов, который может использоваться как разработчиками и инвесторами, так и конечными пользователями при оценке надежности проектов.

Также в июле Quantstamp согласилась выплатить штраф в размере 3,4 млн долларов для урегулирования претензий Комиссии по ценным бумагам и биржам США (SEC). Регулятор заявил, что в 2017 году компания привлекла 28 млн долларов в ходе первоначального предложения монет (ICO) под тикером QSP, что являлось незарегистрированным предложением ценных бумаг. Quantstamp при этом не признала и не опровергла обвинения SEC.