За последние пару месяцев индустрия децентрализованных финансов (DeFi) потеряла более миллиарда долларов из-за хакеров, и ситуация, похоже, выходит из-под контроля. Freebitco.in на русском.
Согласно последним статистическим данным, в первом квартале 2022 года с платформ DeFi было похищено около 1,6 миллиарда долларов в криптовалютах. Более того, более 90% всех похищенных криптовалют — это взломанные протоколы DeFi.
Эти цифры свидетельствуют о тяжелой ситуации, которая, скорее всего, сохранится в долгосрочной перспективе, если ее игнорировать.
Почему хакеры предпочитают платформы DeFi
В последние годы хакеры активизировали операции, направленные на системы DeFi. Одной из основных причин, почему эти группы привлекает этот сектор, является огромный объем средств, которые хранят децентрализованные финансовые платформы. Лучшие платформы DeFi ежемесячно обрабатывают транзакции на миллиарды долларов. Поэтому хакеры, способные провести успешные атаки, получают большое вознаграждение.
Тот факт, что большинство кодов протоколов DeFi являются открытыми, также делает их еще более подверженными угрозам кибербезопасности.
Это связано с тем, что программы с открытым исходным кодом доступны для публичного изучения и могут быть проверены любым человеком, имеющим подключение к Интернету. Таким образом, они легко проверяются на наличие уязвимостей. Это свойство позволяет хакерам анализировать приложения DeFi на предмет нарушения целостности и заранее планировать ограбления.
Некоторые разработчики DeFi также внесли свой вклад в ситуацию, намеренно игнорируя отчеты об аудите безопасности платформы, опубликованные сертифицированными фирмами по кибербезопасности. Некоторые команды разработчиков также запускают проекты DeFi, не подвергая их тщательному анализу безопасности. Это увеличивает вероятность дефектов кодирования.
Еще одна брешь в броне, когда речь идет о безопасности DeFi, — это взаимосвязанность экосистем. Платформы DeFi обычно соединяются между собой с помощью перекрестных мостов, что повышает удобство и универсальность.
Хотя перекрестные мосты обеспечивают повышенное удобство для пользователей, эти важнейшие фрагменты кода соединяют огромные сети распределенных бухгалтерских книг с разным уровнем безопасности. Такая мультиплексная конфигурация позволяет хакерам DeFi использовать возможности нескольких платформ для усиления атак на определенные платформы. Она также позволяет им быстро переводить незаконно нажитые средства через множество децентрализованных сетей.
Помимо вышеупомянутых рисков, платформы DeFi также подвержены внутреннему саботажу.
Нарушения безопасности
Хакеры используют широкий спектр методов для проникновения в уязвимые системы периметра DeFi.
Нарушения безопасности — обычное явление в секторе DeFi. Согласно отчету Chainalysis за 2022 год, около 35% всех украденных криптовалют за последние два года связано с нарушениями безопасности.
Многие из них происходят из-за неправильного кода. Хакеры обычно выделяют значительные ресурсы на поиск системных ошибок в коде, которые позволяют им осуществлять подобные атаки, и, как правило, используют передовые инструменты отслеживания ошибок, чтобы помочь им в этом.
Другая распространенная тактика, используемая субъектами угроз для поиска уязвимых платформ, заключается в поиске сетей с незакрытыми проблемами безопасности, которые уже были выявлены, но еще не реализованы.
Хакеры, стоящие за недавней хакерской атакой Wormhole DeFi, которая привела к потере около 325 миллионов долларов в цифровых токенах, по сообщениям, использовали эту стратегию. Анализ коммитов кода показал, что патч уязвимости, загруженный в репозиторий GitHub платформы, был использован до того, как патч был развернут.
Эта ошибка позволила злоумышленникам подделать системную подпись, что позволило добыть 120 000 монет Wrapped Ether (wETH) стоимостью $325 млн. Затем хакеры продали wETH примерно за 250 миллионов долларов в Эфире (ETH). Обмененные монеты Ethereum были получены из расчетных резервов платформы, что привело к убыткам.
Сервис Wormhole действует как мост между цепочками. Он позволяет пользователям тратить депонированные криптовалюты в обернутых токенах между цепочками. Это достигается путем майнинга обернутых токенов Wormhole, которые избавляют от необходимости обменивать или конвертировать депонированные монеты напрямую.
Последние новости: Как архивы blockchain могут изменить способ записи истории в военное время
Атаки на флэш-кредиты
Флеш-кредиты — это необеспеченные DeFi кредиты, которые не требуют проверки кредитоспособности. Они позволяют инвесторам и трейдерам мгновенно занимать средства.
Благодаря своему удобству флэш-кредиты обычно используются для использования арбитражных возможностей в связанных экосистемах DeFi.
В ходе атак на флэш-кредиты протоколы кредитования становятся мишенью и взламываются с использованием методов манипулирования ценами, которые создают искусственные расхождения в ценах. Это позволяет злоумышленникам покупать активы с огромной скидкой. Большинство атак на флэш-кредитование занимают минуты, а иногда и секунды, и в них участвуют несколько взаимосвязанных протоколов DeFi.
Один из способов, с помощью которого злоумышленники манипулируют ценами на активы, заключается в использовании доступных ценовых оракулов. Ценовые оракулы DeFi, например, черпают свои ставки из внешних источников, таких как авторитетные биржи и торговые сайты. Хакеры могут, например, манипулировать сайтами-источниками, чтобы обмануть оракулы и заставить их на мгновение снизить стоимость целевых активов, чтобы они торговались по более низким ценам по сравнению с широким рынком.
Затем злоумышленники покупают активы по сдутым курсам и быстро продают их по плавающему курсу. Использование токенов с кредитным плечом, полученных через флэш-кредиты, позволяет им увеличить прибыль.
Помимо манипулирования ценами, некоторые злоумышленники смогли осуществить атаки на флэш-кредиты, перехватив процессы голосования DeFi. Совсем недавно компания Beanstalk DeFi понесла убытки в размере 182 миллионов долларов после того, как злоумышленник воспользовался недостатком в системе управления.
Команда разработчиков Beanstalk включила механизм управления, который позволял участникам голосовать за изменения платформы в качестве основной функции. Эта система популярна в индустрии DeFi, поскольку она поддерживает демократию. Право голоса на платформе было установлено пропорционально стоимости собственных токенов.
Анализ взлома показал, что злоумышленники получили флэш-кредит по протоколу Aave DeFi, чтобы получить активы на сумму почти 1 млрд долларов. Это позволило им получить большинство в 67% в системе управления голосованием и дало возможность в одностороннем порядке одобрить перевод активов в свой адрес. После погашения флэш-кредита и соответствующих доплат преступники получили около 80 миллионов долларов в цифровых валютах.
По данным Chainalysis, в 2021 году с помощью флэш-кредитов с платформ DeFi было похищено криптомонет на сумму около 360 миллионов долларов.
Куда девается украденная криптовалюта?
Уже долгое время хакеры используют централизованные биржи для отмывания украденных средств, но киберпреступники начинают отказываться от них в пользу платформ DeFi. В 2021 году киберпреступники отправят около 17% всех незаконных криптовалют в сети DeFi, что значительно больше, чем 2% в 2020 году.
Эксперты рынка предполагают, что переход на протоколы DeFi связан с более широким внедрением более строгих процессов «Знай своего клиента» (KYC) и борьбы с отмыванием денег (AML). Эти процедуры ставят под угрозу анонимность, к которой стремятся киберпреступники. Большинство платформ DeFi обходят стороной эти важнейшие процессы.
Сотрудничество с властями
Централизованные биржи сейчас, как никогда ранее, сотрудничают с властями в борьбе с киберпреступностью. В апреле биржа Binance сыграла важную роль в возвращении 5,8 млн долларов в украденных криптовалютах, которые были частью тайника на 625 млн долларов, украденного у Axie Infinity. Изначально деньги были отправлены на Tornado Cash.
Tornado Cash — это сервис анонимизации токенов, который скрывает происхождение средств путем фрагментации внутрицепочечных связей, используемых для отслеживания адресов транзакций.
Однако часть похищенных средств была отслежена аналитическими фирмами блокчейна до Binance. Награбленное хранилось на 86 адресах биржи.
После инцидента представитель Министерства финансов США подчеркнул, что криптовалютные биржи, которые обрабатывают деньги с криптоадресов, внесенных в черный список, рискуют подвергнуться санкциям.
Tornado Cash, похоже, также сотрудничает с властями, чтобы остановить перевод украденных средств в свою сеть. Компания заявила, что будет внедрять инструмент мониторинга, который поможет выявлять и блокировать кошельки, попавшие под эмбарго.
Похоже, власти добились определенного прогресса в изъятии похищенных активов. Ранее в этом году Министерство юстиции США объявило об аресте 3,6 млрд долларов в криптовалюте и арестовало двух человек, которые были причастны к отмыванию этих средств. Эти деньги были частью $4,5 млрд, похищенных с криптовалютной биржи Bitfinex в 2016 году.
Изъятие криптовалюты стало одним из крупнейших в истории.
Руководители DeFi говорят о текущей ситуации
В эксклюзивном разговоре с Cointelegraph в начале этой недели Эрик Чен, генеральный директор и соучредитель Injective Labs — совместимой платформы смарт-контрактов, оптимизированной для децентрализованных финансовых приложений — сказал, что есть надежда, что проблемы утихнут.
«Мы видим, что прилив сил продолжает спадать, поскольку вводятся более надежные стандарты безопасности. Благодаря надлежащему тестированию и созданию дополнительных инфраструктур безопасности, проекты DeFi смогут предотвратить распространенные риски эксплуатации в будущем», — сказал он.
О мерах, которые принимает его сеть для предотвращения хакерских атак, Чен рассказал в общих чертах:
«Injective обеспечивает более жестко определенную модель безопасности, ориентированную на приложение, по сравнению с традиционными приложениями DeFi на базе виртуальной машины Ethereum. Дизайн блокчейна и логика основных модулей защищают Injective от таких распространенных эксплойтов, как реентерабельность, максимальная извлекаемая стоимость и флэш-кредиты. Приложения, построенные на базе Injective, могут воспользоваться преимуществами мер безопасности, реализованных в блокчейне на уровне консенсуса».
Последние новости: Растущее глобальное принятие криптовалют идеально подходит для использования в розничной торговле
Cointelegraph также имел возможность поговорить с Константином Бойко-Романовским, генеральным директором и основателем Allnodes — платформы для нестадиального хостинга и стейкинга — о росте числа случаев взлома. Что касается основных катализаторов этой тенденции, он сказал:
«Несомненно, потребуется некоторое время, чтобы снизить риск взломов DeFi. Однако маловероятно, что это произойдет в одночасье. В DeFi сохраняется ощущение гонки. Кажется, что все торопятся, включая основателей проекта. Рынок развивается быстрее, чем скорость, с которой программисты пишут код. Хорошие игроки, которые принимают все меры предосторожности, находятся в меньшинстве».
Он также высказал некоторые соображения относительно процедур, которые помогут противостоять этой проблеме:
«Код должен становиться лучше, а смарт-контракты должны подвергаться тщательному аудиту, это точно. Кроме того, пользователям следует постоянно напоминать об осторожном этикете в Интернете. Выявление любых недостатков можно привлекательно стимулировать. Это, в свою очередь, может способствовать более здоровому поведению в рамках конкретного протокола».
Индустрия DeFi с трудом противостоит хакерским атакам. Однако есть надежда, что усиление контроля со стороны властей и более тесное сотрудничество между биржами помогут обуздать это бедствие.