Несмотря на взрывной рост DeFi в 2020 году, эта система также обнаружила большое количество ошибок.
Ключевые моменты:
- Рост DeFi в 2020 году привел к более чем десятку взломов за несколько месяцев.
- Из-за ошибок, эксплойтов и взломов было потеряно более 50 миллионов долларов.
- Хотя некоторые потери были компенсированы, пользователям DeFi необходимо сохранять бдительность при взаимодействии с приложениями.
DeFi — это не что иное, как революция. Автоматизированные финансовые рынки на основе блокчейн открывают мир возможностей подорвать традиционные финансы и сделать их более доступными.
Этот огромный потенциал привлек огромную волну пользователей и инвесторов. Всего за несколько месяцев общая заблокированная стоимость (TVL) в протоколах DeFi достигла более 13 миллиардов долларов.
Тем временем активность в главном DeFi блокчейне Ethereum, резко возросла.
Большинство проектов DeFi имеют открытый исходный код, а это означает, что код легко доступен через GitHub для проверки как благонамеренными, так и злонамеренными пользователями. Если злоумышленники первыми обнаружат ошибки, они могут украсть средства других пользователей.
Помимо ошибок в коде, приложения DeFi также уязвимы для внешних эксплойтов. Эффективность DeFi в основном зависит от возможности компоновки, а это означает, что чем больше проектов связаны между собой, тем большую ценность они могут принести. Следовательно, злоумышленники могут обыгрывать систему и заставлять протоколы вести себя не так, как предполагалось разработчиками.
Необратимость транзакций блокчейна усугубляет ситуацию. Если произойдет взлом, средства, вероятно, будут потеряны навсегда, хотя некоторые проекты возмещает пользователям украденные средства.
Ниже представлена коллекция из более чем десятка хаков и эксплойтов в DeFi в 2020 году.
1. bZx — 954 000 долларов США
Несмотря на то, что DeFi пережила взрывной рост после введения программы по добыче ликвидных средств компании Compound, с 2014 года в этой сфере ведется активная работа. Многие платформы существовали и страдали от взломов еще до лета DeFi 2020 года.
У bZx, проекта DeFi, ориентированного на маржинальную торговлю и кредитование, начало 2020 года было проблемным: два последовательных взлома привели к потере почти в миллион долларов. Атаки произошли 14 и 18 февраля.
Багов в смарт-контрактах bZx хакеры не обнаружили. Вместо этого они использовали взаимосвязанность протоколов DeFi. Эксплойт включал в себя получение флеш-кредитов (взятых и погашаемых в рамках одной транзакции) и манипулировании ценами на активы для отвода средств из кредитных пулов путем получения более крупных кредитов, чем это было возможно при обычных обстоятельствах.
Платформа покрывала убытки из своего страхового фонда, который получает 10% от всех процентов, зарабатываемых кредиторами.
2. dForce и Lendf.me — 25 миллионов долларов
19 апреля хакер взял 25 миллионов долларов США у децентрализованной кредитной платформы Lendf.me, которая функционировала под эгидой китайской DeFi-платформы dForce. Взлом использовал хорошо известную уязвимость Ethereum, которая была использована в печально известном взломе DAO в 2016 году.
Стандарт токенов Ethereum ERC-777 имеет уязвимость, позволяющую злоумышленнику вывести средства из некоторых смарт-контрактов, в которых они находятся. Токен imBTC, который представлял BTC на Ethereum, был стандартом ERC-777, который открыл вектор атаки.
Примечательно, что хакер вернул украденные средства администратору Lendf.Me, но это не спасло dForce от критики.
Такая же атака с использованием imToken произошла на Uniswap примерно в то же время, что и на dForce, но хакерам удалось украсть гораздо меньше — 300 000 долларов.
3. Hegic — 48 000 долларов
Опционная платформа Hegic не подвергалась атакам, однако ошибка в коде проекта привела к замораживанию активов пользователей.
Трейдеры и держатели могут использовать опционы на Hegic, чтобы застраховаться от волатильности цен. Предположим, ETH стоит 500 долларов, и пользователь покупает опционный контракт, который позволяет ему продать один ETH за 500 DAI в течение некоторого временного окна. Если цена ETH упадет до 400 долларов, пользователь может безопасно выполнить контракт, ликвидировав свою позицию за 500 DAI.
25 апреля Hegic опубликовал предупреждение об ошибке в смарт-контракте, которая привела к замораживанию средств в неисполненных контрактах. Если пользователь не использовал свою опцию, кто-то должен был разблокировать активы, но они не могли это сделать из-за ошибки.
Основатель Hegic возместил средства всем пострадавшим пользователям.
4. Maker — 8 миллионов долларов
Maker оказался в затруднительном положении после падения криптовалютного рынка 12 марта. Задолженность платформы превысила 8 млн. долл., так как некоторые из ее кредитов были ликвидированы бесплатно.
Поскольку Maker децентрализован, он не может использовать кредитные рейтинги для проверки кредитоспособности своих заемщиков. Следовательно, кредиты на платформе имеют избыточное обеспечение, это означает, что заемщик оставляет больше активов, чем берет взаймы.
Если стоимость залога опускается ниже определенного порога, кредит помечается как недостаточно обеспеченный, и ликвидаторы могут участвовать в аукционе по погашению кредита за вознаграждение в размере 13%.
Когда рынок упал, активность на Ethereum резко возросла, поскольку пользователи запаниковали.
Низкая пропускная способность сети привела к перегрузке, и многие ликвидаторы Maker перестали работать. Следовательно, группа ликвидаторов выиграла аукционы бесплатно, потому что не было конкуренции.
Судебно-медицинская компания Blocknative позже опубликовала отчет, в котором говорилось, что не только паника пользователей способствовала перегрузке, но и злонамеренная активность ботов.
Боты засыпали Ethereum нежелательными транзакциями, которые рекурсивно заменяли существующие транзакции, чтобы замедлить работу других ликвидаторов и воспользоваться снижением конкуренции.
5. Argent — 0 долларов
Белые хакеры обнаружили серьезную уязвимость в мобильном DeFi кошельке Argent, в OpenZeppelin 18 июня.
Аргент воспроизводит опыт использования криптовалютного кошелька в качестве карты CC с концепцией Guardians. Guardians — это доверенные устройства с ограниченными разрешениями для кошелька пользователя, помогающие восстановить доступ к кошельку, если первоначальный владелец потеряет доступ.
Обнаруженная уязвимость позволила бы хакерам заморозить средства в кошельках без Guardians. К моменту обнаружения уязвимости более 300 кошельков с более чем 160 ETH находились под угрозой.
К счастью, никто из них не пострадал, поскольку команда вовремя внесла исправления.
6. Bancor — 0 долларов
Bancor, приложение, ориентированное на обмен активами, провело одно из крупнейших ICO в 2017 году. Команда разработчиков сама себя взломала, чтобы исправить критическую уязвимость.
В результате одного из обновлений системы пользователи, взаимодействовавшие с обновленным смарт-контрактом, могли потерять свои средства. 545000 долларов были под угрозой, но команда Bancor сама инициировала взлом, чтобы защитить активы.
Однако, помимо команды, другим белым хакерам удалось потратить более 130000 долларов. Bancor повезло, так как это могли быть другие хакеры.
Bancor пострадал от масштабного взлома еще в 2018 году, а предупреждения о новом эксплойте ходят с марта 2020 года.
7. Balancer — 500 000 долларов
Децентрализованная биржа с настраиваемыми пулами ликвидности, Balancer столкнулась с той же атакой, от которой пострадал протокол bZx. Инцидент произошел 28 июня.
Хакер использовал дефляционную функцию токена Statera (STA), который сжигает 1% каждой транзакции. Злоумышленник использовал флэш-кредит, чтобы занять большую сумму ETH, и обменял ETH на STA, чтобы уменьшить количество токенов STA в пуле.
Когда количество STA стало очень маленьким, его цена, выраженная в других активах в пуле, резко выросла, так что злоумышленник мог дешево обменять STA на другие активы.
Команда предупредила сообщество об опасностях дефляционных токенов еще до взлома. Однако, поскольку протокол не имеет разрешений, он не может помешать пользователям добавлять небезопасные активы.
8. Uniswap — 530 000 долларов
Первоначальное децентрализованное биржевое предложение (IDO) токена BZRX протокола bZx на Uniswap показало недостатки IDO модели.
Во время IDO пользователи отправляют деньги непосредственно команде, и цена актива растет в зависимости от покупательной активности.
Менее чем через минуту с момента запуска BZRX IDO 13 июля цена подскочила в 12 раз из-за активности ботов. Боты размещали заказы на покупку в том же блоке, с которого началась IDO.
Помимо активных покупателей, боты рассылали спам в сети, чтобы пользователи не могли проводить свои транзакции.
Как только другие покупатели наконец попали на продажу, цена уже была высокой, и владельцы ботов получили существенную прибыль. Один первый покупатель заработал 500 000 долларов.
Хотя инцидент не был взломом, он вызвал озабоченность по поводу жизнеспособности и справедливости моделей IDO.
9. Opyn — 370 000 долларов
Ошибка смарт-контракта позволила провести атаку с двойным расходом, в результате чего 4 августа опционный протокол Opyn потерял 370 000 долларов.
Уязвимость связана с собственными токенами протокола, называемыми oTokens, которые пользователи сжигают при исполнении опционных контрактов. Контракт не мог правильно использовать пакет опционов, не сжигая токены при каждом закрытии.
Следовательно, злоумышленник мог повторно использовать баланс своих oTokens, и тратить средства, используя опционы бесплатно.
По словам PeckShield, компании, занимающейся безопасностью блокчейнов, человек с опытом программирования смарт-контрактов может легко обнаружить ошибку.
Хотя команда Opyn не смогла выключить или изменить смарт-контракт, ей удалось приостановить выполнение протокола и спасти часть средств пользователей. Вдобавок ко всему, она объявила о возмещении затрат наряду с аудитом смарт-контрактов.
10. YAM — 750 000 долларов
Управляемый сообществом стейблкоин DeFi YAM сумел привлечь сотни миллионов долларов за считанные часы после его запуска 11 августа, но через несколько дней умер из-за критической ошибки ребазирования.
YAM — это модифицированный клон Ampleforth, стейблкоина с динамическим предложением. В зависимости от спроса YAM и Ampleforth могут увеличивать или уменьшать общее предложение, чтобы поддерживать привязку в 1 доллар. Предложение изменяется путем вызова специальной функции «rebase».
Команда хотела использовать YAM для управления проектом, но функция rebase выдавала избыточные токены YAM в казначейство проекта, что ослабляло власть держателей YAM в управлении.
В конце концов, управление на YAM было бы непригодно.
Команда попыталась исправить ошибку, инициировав процесс голосования, чтобы остановить перебазирование до тех пор, пока не будет заменен контракт на управление проектом. Однако инициатива провалилась, несмотря на высокую явку избирателей.
Ключевое отличие YAM от Ampleforth заключается в том, что он автоматически покупает токены yCRV при увеличении предложения. К тому времени, когда команда поняла, что ничего нельзя сделать для спасения проекта, $ 750 000 yCRV уже были заблокированы в казне.
Команда не сдалась и сменила модуль управления проектом на рабочий. Владельцы YAM могут мигрировать через временный смарт-контракт.
11. Soft Yearn — 250 000 долларов
Еще одна ошибка перебазирования была использована держателем токена Soft Yearn (SYFI) 3 сентября. Ошибка позволила пользователю превратить вложеные 200 долларов в 250 000 долларов.
Подобно YAM и Ampleforth, Soft Yearn динамически меняет свои предложения. Однако изменение предложения не повлияло на пул Uniswap, в котором торговался токен.
Пользователь с 2 SYFI в кошельке заметил ошибку раньше других. После перебазирования у них было более 15000 токенов на сумму более 700 ETH в то время. Пользователь воспользовался появившейся перед ним возможностью и стер всю ликвидность пула SYFI, сбросив все свои токены за ETH.
После инцидента команда опубликовала план спасения, который включал перезапуск токенов SYFI и добавление 250 ETH в пул Uniswap.
12. bZx (снова) — 8 миллионов долларов
2020 год прошел не очень хорошо для bZx, на протокол было совершено три нападения. В то время как первые два эксплойта связаны с манипулированием внешними протоколами, третий взлом использовал внутреннюю ошибку протокола.
Когда пользователи одалживают активы на bZx, они получают iTokens, стоимость которых растет по мере роста соответствующего кредитного пула. Уязвимость платформы позволила хакеру получать iToken без предоставления активов.
Следовательно, 13 сентября злоумышленник мог обменять невозвращенные iTokens на активы в bZx-пулах.
Хакеру удалось вывести из bZx более 8 миллионов долларов различных активов. Однако команда выследила их и вернула украденные средства. После инцидента команда объединила усилия с PeckShield для повышения безопасности bZx.
14. Lien — 0 долларов
Lien Finance, протокол, ориентированный на опционы и стейблкоины, был на грани взлома и потери 10 миллионов долларов в ETH. Однако группа белых хакеров первой обнаружила уязвимость.
Как говорится в отчете Lien, платформа имела некорректную функцию, которая позволяла создавать большое количество бесполезных токенов, которые затем можно было обменять на ETH, хранящиеся в ее смарт-контракте.
После того, как белые хакеры обнаружили уязвимость, они не выполнили взлом, чтобы боты не заметили их транзакции.
Хакеры связались с Sparkpool, крупнейшим майнинговым пулом Ethereum. Затем команда Sparkpool позволила выполнять необходимые транзакции, не раскрывая их ботам, что спасло 25000 ETH от кражи.
15. Eminence — 15 миллионов долларов
Андре Кронье стал суперзвездой DeFi после запуска оптимизатора урожайности yEarn. Соответствующий токен YFI за несколько недель вырос с 0 до десятков тысяч долларов. Как следствие, многие пользователи, начали внимательно следить за деятельностью Андре, чтобы раньше других зайти в его новые проекты.
Одним из таких проектов стала игровая платформа Eminence. После того, как Андре упомянул свой неаудированный бета-смарт-контракт в твите, пользователи вложили в него 15 миллионов долларов. Поскольку контракт находился на стадии бета-тестирования, в нем была обнаружена уязвимость, и хакеры украли средства пользователей, добывая токены EMN и продавая их за более ценные активы 28 сентября.
Впоследствии хакеры вернули 8 миллионов долларов DAI на смарт-контракт, контролируемый Андре. Возвращенные средства были использованы для покрытия некоторых убытков пользователей.
16. UniCats — 140 000 долларов
Приложение UniCats с функцией выращивания урожая имело бэкдор, который позволял его разработчику контролировать средства пользователей, даже когда они снимали деньги с платформы.
Пользователи DeFi часто подключают свои кошельки к различным приложениям DeFi, предоставляя им доступ на разных уровнях. UniCats попросил пользователей разрешить тратить неограниченное количество токенов. Анонимный пользователь Jhon Doe предоставил UniCats запрошенное разрешение и 4 октября потерял 140 000 долларов.
Согласно отчету о криптовалютном кошельке ZenGo, Джон был не единственным, кто пострадал от эксплойта. Другие пользователи принесли злонамеренному разработчику UniCats еще минимум 50 000 долларов.
Хакер позаботился об их безопасности и применил несколько мер, в том числе поменял адреса местами и использовал криптомиксер Tornado Cash, чтобы замести следы.
17. Harvest — 24 миллиона долларов
Агрегатор доходности Harvest получил критику по поводу своей централизации еще до того, как его взломали на 24 миллиона долларов. Некоторые пользователи были обеспокоены безопасностью заблокированных на платформе активов на сумму 1 миллиард долларов, но разработчики ничего не изменили.
Вскоре после дебатов о централизации протокола из-за эксплойта 26 октября из Harvest было выведено 24 миллиона долларов. Теоретически хакер мог украсть больше.
Злоумышленник использовал флэш-кредиты для манипулирования ценами на стейблкоины на децентрализованной бирже Curve и использовал арбитраж, чтобы купить больше стейблкоинов, чем можно было бы купить.
Как и в случае с Eminence $ 2,5 млн похищенных средств были возвращены обратно разработчикам. Остальное хакер поменял на renBTC и отправил BTC на другие адреса. Команда RenBTC помогла Harvest определить целевые адреса, которые затем были переданы основным биржам для мониторинга.
Команда предложила награду в $ 100,000 за поиск хакера.
18. PercentFinance — 1 миллион долларов
PercentFinance, кредитная платформа, созданная на базе ведущего в отрасли Compound, заморозила активы на 1 миллион долларов 4 ноября. Согласно сообщению команды, половина средств принадлежит модам проекта.
Уязвимость проекта была унаследована от старого смарт-контракта Compound, который разработчики нарушили. Один из разработчиков решил обновить смарт-контракты, но после этого они поняли, что транзакции с новыми контрактами не могут быть подписаны.
Следовательно, старые контракты были разорваны.
Теперь команда надеется, что эмитенты заблокированных средств, которые включают централизованные USDC и WBTC, смогут занести в черный список адреса с заблокированными активами и выпустить новые токены для пользователей, пострадавших от ошибки.
Команда также предложила запустить новые кредитные контракты, что позволит привлечь 73% средств кредиторов USDC после заимствования их кредитов. Потерянные WBTC замораживаются навсегда, если эмитент WBTC, BitGo, не поможет команде PercentFinance. ETH теряется без возможности восстановления.
18. SharkTron — 260 миллионов долларов
Согласно заявлению Tron Foundation, опубликованному 9 ноября, в SharkTron, платформе DeFi, использующей майнинг ликвидности на Tron, произошел инцидент.
Некоторые источники сообщают о потере 260 миллионов долларов активов пользователей на нескольких платформах, связанных с SharkTron, включая Shark Invest и Shark Dice. Некоторые пользователи прикрепляют скриншоты кошельков, понесших убытки.
Tron Foundation заявила, что объединила усилия с Binance и заморозила часть украденных средств на бирже. Кроме того, они пообещали отследить и заморозить оставшиеся средства.
Тем временем пользователям было рекомендовано подавать заявления в полицию.
19. Akropolis — 2 миллиона долларов
До его взлома 12 ноября «Akropolis» предоставлял своим пользователям удобные пулы автоматических депозитов, которые автоматически инвестировали средства пользователей и генерировали доходность. Когда пользователь вносил свои средства в пул, он получал взамен токены владения.
Хакер заметил, что у смарт-контрактов Akropolis нет белого списка для токенов ERC-20, которые можно депонировать в пулы сбережений. Чтобы воспользоваться этой уязвимостью, хакер создал поддельный токен ERC-20 и взял флэш-кредит в размере 800000 DAI на платформе кредитования и торговли dYdX.
Внося поддельные токены и настоящий DAI, хакеру удалось получить вдвое больше токенов владения, чем обычно. Таким образом, он снял средства, к которым не имел доступа.
Akropolis не сразу признал взлом. Более того, смарт-контракты платформы были отдельно проверены двумя компаниями по безопасности блокчейнов.
На момент написания пулы стейблкоинов Akropolis заморожены. Команда ищет способы возместить ущерб.
Заключительные мысли
Децентрализованные протоколы открывают новые возможности, но при этом возлагают на пользователей огромную ответственность. Хотя некоторые команды стремятся обезопасить средства пользователей или возместить убытки, гарантий безопасности нет.
Любой, кто взаимодействует с протоколами DeFi и криптовалютой в целом, должен быть бдительным и внимательно относиться к своим действиям. Это дикий запад, ни один код не является безупречным, а кошелек любого человека потенциально может стать приманкой, поэтому всегда следует принимать меры предосторожности.
За свою короткую, но яркую историю в DeFi случилось множество взломов, уязвимостей и эксплойтов на начинающих и больших платформах, которые иногда приводили к необратимому ущербу.
По мере развития пространства, в DeFi будет больше инцидентов, несмотря на достижения в области технологий и безопасности. Следовательно, пользователи DeFi должны выработать соответствующие модели поведения, чтобы оставаться в безопасности.
Добавить комментарий