Decentralizované finance (DeFi) jsou někdy kritizovány jako “divoký západ” krypto průmyslu. Pokud by se jako přesný popis stavu DeFi v současnosti dalo použít 2,32 miliardy dolarů, které byly letos zatím ukradeny z několika protokolů, pak se kritici nemýlí.
Hackování systému
DeFi je součástí kryptoprostoru, která obecně zůstala věrná základnímu étosu Bitcoinu, jímž je decentralizace a soukromí, a zachovává si cynický odstup od vládního dohledu. Taková nekontrolovaná svoboda však s sebou nese i velké riziko.
Podle bezpečnostní firmy PeckShield ukradli hackeři v letošním roce z odvětví DeFi více než 2,32 miliardy dolarů ve více než 135 exploitech. Toto číslo je o 50 % vyšší, než kolik bylo z celého sektoru ukradeno za celý rok 2021.
#PeckShieldAlert Wintermute has lost ~$160M, making it come to #5 on our 2022 DeFi exploit leaderboard
In this incident, exploiters immediately put the most stables into 3CRV pool to avoid blacklisting, while ~50% of Top 10 exploiters transferred to Mixer before Tornado sanction pic.twitter.com/RxMPOIypSz— PeckShieldAlert (@PeckShieldAlert) September 21, 2022
V průběhu let používali online zloději při své práci různé taktiky. Mezi nejpoužívanější metody útoku patří honeypot, exit scam, exploit, kontrola přístupu a flash loan, uvádí databáze REKT. Zde je deset dosud nejčastějších zneužití DeFi v roce 2022 podle kurátorů společnosti PeckShield.
Ronin – 620 milionů dolarů
Ronin Network, sidechain založený na Ethereu pro kryptohru Axie Infinity, v březnu přišel o více než 620 milionů dolarů v ETH a USDC. Útočník “použil hacknuté soukromé klíče k padělání falešných výběrů” z bridge kontraktu Ronin ve dvou transakcích.
Zneužití, ke kterému došlo 23. března, bylo odhaleno až o týden později, když se jednomu uživateli nepodařilo vybrat 5 000 ETH. Celkem si hacker přišel na 173 600 ETH a 25,5 milionu USDC, což mělo v té době hodnotu více než 620 milionů dolarů.
Wormhole Bridge – 320 milionů dolarů
Dne 2. února útočník odčerpal přes 320 milionů dolarů ve wrapped ETH (wETH) z protokolu Wormhole, populárního cross-chain krypto mostu mezi Solanou, Ethereem, Avalanche a dalšími. Uživatelé Wormhole musí stakovat ethereum, aby mohli těžit wETH.
Analytická společnost Elliptic viní z exploitu Wormhole, že neověřuje “strážní” účty. To útočníkovi umožnilo vytěžit 120 000 wETH bez zálohy etherea. Hacker poté vyměnil 93 750 wETH za ethereum a zbytek vyměnil za solanu. Celková hodnota ztráty v té době činila více než 320 milionů dolarů.
Nomad Bridge – 190 milionů dolarů
Dne 2. srpna odčerpali hackeři z Nomadu, nástroje, který umožňuje uživatelům vyměňovat tokeny z jednoho blockchainu do druhého, asi 190 milionů dolarů v kryptoměnách.
Útok začal aktualizací kódu Nomadu. Část inteligentního kontraktu byla při každé transakci, kterou uživatelé provedli, označena jako platná. To umožnilo zlým aktérům vybrat více aktiv, než bylo na platformě uloženo. Hackeři tento proces opakovali, dokud se z mostu nepřesunulo 190 milionů dolarů v kryptoměnách. Společnost Nomad na to nepřišla, dokud nebylo příliš pozdě.
Beanstalk Farms – 182 milionů dolarů
V dubnu útočník odčerpal 182 milionů dolarů v kryptoměnách z Beanstalk Farms, protokolu DeFi, jehož cílem je vyrovnávat nabídku a poptávku po různých kryptoaktivech.
PeckShield uvedl, že útočník využil systém řízení Beanstalk většinovým hlasováním a odhlasoval si zaslání 182 milionů dolarů. Útočník použil bleskovou půjčku k získání kontrolního podílu v protokolu, ale jeho skutečný zisk se pohyboval pouze kolem 80 milionů dolarů, uvedla firma.
Wintermute – 160 milionů dolarů
Wintermute je posledním protokolem DeFi, který se stal obětí hackerů, kteří z decentralizované finanční sekce platformy utekli s 160 miliony dolary. Generální ředitel Evgeny Gaevoy uvedl, že hackerský útok souvisel s kritickou chybou v nástroji Profanity pro generování marnivých adres Ethereum.
Řekl, že Wintermute používal tento nástroj ke generování unikátní adresy za účelem snížení transakčních nákladů, nikdy ne pro “marnivost”. Zdá se, že za tímto konkrétním útokem stojí lidská chyba.
Elrond – 113 milionů dolarů
V červnu hackeři využili mezery na decentralizované burze Maiar a ukradli přibližně 1,65 milionu elrond egold (EGLD), nativního tokenu blockchainu Elrond. Výzkumníci uvedli, že útočník nasadil inteligentní kontrakt a použil tři peněženky, aby z burzy ukradl EGLD v odhadované hodnotě 113 milionů dolarů.
Hackeři okamžitě prodali 800 000 tokenů za 54 milionů dolarů na stejné burze a zbytek byl prodán na centralizovaných burzách nebo vyměněn za ethereum.
Horizon Bridge – 100 milionů dolarů
Jen několik dní po exploitu Elrond udeřili hackeři 23. června znovu a zasáhli Horizon Bridge za téměř 100 milionů dolarů. Horizon je platforma pro crosschainovou interoperabilitu mezi blockchainovými sítěmi Ethereum, Binance Smart Chain a Harmony.
PeckShield odhalil, že z platformy spravované Harmony bylo odčerpáno více než 98 milionů dolarů v různých tokenech, které byly vyměněny za ETH. Postiženo bylo více než 50 000 uživatelských peněženek. Hackeři později přesunuli 35 milionů dolarů prostřednictvím Tornado Cash.
Qubit Finance – 80 milionů dolarů
Protokol DeFi 28. ledna oznámil, že byl zneužit útočníkem, který z jeho protokolu QBridge ukradl 206 809 binance coin (BNB). Celkem byly tokeny oceněny na 80 milionů dolarů.
Podle bezpečnostní společnosti Certik útočník využil možnost vkladu ve smlouvě QBridge a vylákal 77 162 qXETH – jakési krypto, které reprezentuje ethereum přemostěné přes Qubit. Útočník oklamal platformu, aby se domnívala, že provedl vklad. Po dostatečném opakování procesu vyměnil aktiva za BNB a zmizel.
Cashio – 48 milionů dolarů
Cashio, stablecoinový protokol na Solaně, utrpěl v březnu exploit, který tým nazval “nekonečný těžební glitch”. Hackeři z protokolu odčerpali 48 milionů dolarů, což vedlo ke kolapsu stablecoinu Cashio CASH.
Cashio umožňuje uživatelům razit stablecoin CASH, přičemž všechny vklady jsou kryty úročenými tokeny poskytovatele likvidity. Útočník vytěžil miliardy CASH a vyměnil je za USDC a UST, které se samy zhroutily, a poté je vybral prostřednictvím DEX Saber.
Dolarově vázaný CASH se po hacknutí zhroutil na 0 USD. Útočník vrátil peníze na účty, na kterých bylo méně než 100 000 USD, a slíbil, že zbytek věnuje na charitu. To bylo naposledy, co jsme o něm slyšeli. CASH je mrtvé.
Scream – 38 milionů dolarů
Půjčovací platforma Scream založená na Fantomu utrpěla z hlediska zabezpečení protokolu možná jeden z nejneopatrnějších exploitů v DeFi v tomto roce. Scream se zadlužil 38 miliony dolarů poté, co stablecoiny Fantom USD (fUSD) a DEI, jejichž hodnotu zafixoval na 1 dolar, ztratily peg.
Protože protokol měl hodnotu těchto dvou stablecoinů pevně zakódovanou, pokles hodnoty aktiv se na Screamu neprojevil. Velryby tuto mezeru využily k tomu, aby z protokolu vyčerpaly všechny ostatní cenné stablecoiny a zároveň do něj vložily de-pegované fUSD a DEI.
Celkem ze sítě odteklo 38 milionů dolarů ve stablecoinech FRAX, USDT, USDC a MIM. Po tomto incidentu se společnost Scream zbavila hardcore cenotvorby a přešla na Chainlink oracles pro cenová data v reálném čase. Velryby si svou kořist ponechaly.
Závěr
Je zřejmé, že blockchainové mosty se zdají být nejslabším článkem DeFi. Existují ale způsoby, jak mohou jednotlivci i protokoly zůstat v bezpečí. Vždy si vše ověřujte, dělejte si svůj výzkum a dávejte na sebe pozor.
Máte-li jakýkoli dotaz týkající se kryptoměn, neváhejte se přidat do naší diskuzní skupiny na Facebooku. Nezapomeňte se také připojit na náš oficiální discord server KRYPTOMAGAZIN CZ.
