В отличие от предыдущих лет, в 2020 году криптовалютные новости не были отмечены серьезными взломами бирж и кражами биткойнов на миллионы долларов. Тем не менее, их все еще было довольно много, и большинство из них возникли в зарождающемся децентрализованном финансовом секторе.
DeFi был одним из основных двигателей роста рынка криптовалют в 2020 году, и естественно, что развивающийся финансовый ландшафт стал магнитом для мошенников и хакеров. В основном неаудированные смарт-контракты в сочетании с клонированным кодом были рецептом для уязвимостей и эксплойтов, часто приводящих к краже цифровых активов на миллионы долларов.
А CipherTrace отчет с ноября 2020 года заявил, что в течение первой половины года DeFi взял на себя 45% всех краж и взломов, в результате чего было потеряно более 50 миллионов долларов. Согласно отчету, эта цифра выросла до 50% от всех краж и взломов во втором полугодии. В беседе с Cointelegraph генеральный директор CipherTrace Дэйв Джеванс предупредил о возможном преследовании регулирующих органов: «В настоящее время взломы DeFi составляют более половины всех взломов криптовалюты в 2020 году, и эта тенденция привлекает внимание регулирующих органов».
Он добавил, что большую озабоченность регулирующих органов вызывает несоблюдение требований по борьбе с отмыванием денег: «Средства, украденные в результате крупнейшего взлома 2020 года – взлома KuCoin на 280 миллионов долларов – были отмыты с использованием протоколов DeFi». Джеванс также считает, что 2021 год, вероятно, принесет со стороны регулирующих органов ясность в отношении того, какие действия протоколы DeFi должны предпринять, чтобы избежать последствий несоблюдения требований AML, Capture the Flag и возможных санкций.
Взломы биржи в 2020 году
Взлом KuCoin произошел в конце сентября, когда генеральный директор биржи Джонни Лю подтвердил, что вторжение затронуло горячие кошельки Bitcoin, Ethereum и ERC-20 фирмы после утечки закрытых ключей.
К началу октября KuCoin заявила, что установила подозреваемых и официально привлекла к расследованию правоохранительные органы. К середине ноября сингапурская биржа заявила, что вернула 84% украденной криптовалюты и возобновила полное обслуживание большинства своих торгуемых активов.
В этом году были и другие взломы биржи, но KuCoin был самым крупным. В феврале итальянская биржа Altsbit потеряла почти все свои средства в результате взлома на сумму 70 000 долларов, а также была пара других незначительных нарушений обмена криптовалют. В октябре 2020 года по разным причинам закрылось 75 централизованных криптобирж, причем взлом был один.
Хаки и эксплойты DeFi 2020
Миллиарды долларов вливаются в протоколы DeFi и фермы урожая, и возникающий ландшафт стал рассадником для хакеров. Первое серьезное вторжение в 2020 году произошло на кредитную платформу DeFi bZx в феврале, когда две операции по быстрому кредитованию привели к потере почти 1 миллиона долларов пользовательских средств. Флэш-кредит – это когда криптовалютный залог заимствуется и выплачивается в рамках одной транзакции.
bZx заморозил операции, чтобы предотвратить дальнейшие убытки, но это вызвало волну критики со стороны отраслевых обозревателей, утверждающих, что в конечном итоге это была централизованная платформа и может стать «смертью DeFi».
Рынки рухнули в марте, что привело к ликвидации большого количества залогов, особенно для токена MKR Maker, но это не были взломы. Следующий из них произошел в следующем месяце, когда обернутая версия Биткойна под названием imBTC была атакована с использованием так называемого стандартного метода повторного входа токена ERC-777. Злоумышленник смог выкачать из пула ликвидности Uniswap всю его стоимость, которая на тот момент оценивалась в 300 000 долларов.
В апреле китайская кредитная платформа dForce лишилась всей своей ликвидности с помощью того же эксплойта. Хакер неоднократно увеличивал свои возможности по заимствованию других активов и скрылся с деньгами примерно на 25 миллионов долларов.
В июне в смарт-контрактах Bancor был обнаружен эксплойт, в результате которого осушение токенов на сумму до 460 000 долларов. Автоматизированный маркет-мейкер DeFi заявил, что развернул новую версию смарт-контракта, в котором была исправлена уязвимость.
Balancer был следующим протоколом DeFi, который был использован на сумму 500000 долларов в обернутом эфире, украденном из его пулов ликвидности с помощью хорошо спланированной арбитражной атаки. В ходе атаки на уязвимость, о которой команда Balancer, по-видимому, уже знала серию флэш-кредитов и арбитражных обменов токенов.
Не столько взлом, сколько еще один эксплойт, но bZx снова был в новостях в июле с сомнительной продажей токенов, которой манипулировали боты, размещающие заказы на покупку в том же блоке, который ознаменовал начало события генерации токенов. Злоумышленники захватили почти полмиллиона долларов прибыли от насоса.
Протокол опционов DeFi Opyn стал следующей жертвой в августе, когда хакеры воспользовались его контрактами ETH Put на сумму более 370000 долларов. Эксплойт позволил злоумышленникам «дважды задействовать» Ethereum Put oTokens и украсть залог. Opyn вернул около 440 000 долларов США из незаполненных хранилищ с помощью «белой шляпы», фактически вернув их продавцам Put.
Опять же, не прямой взлом, а ошибка кода в неаудированном смарт-контракте Yam Finance повлияла на перебазирование токена управления, что привело к обвалу цен в середине августа. Протокол был вынужден обратиться к китам DeFi с просьбой сохранить его, проголосовав за перезапуск версии 2.
Когда суши разворачиваются
Сага о SushiSwap началась в конце августа, когда были придуманы термины «добыча вампиров» и «тянуть ковер». Клонер и администратор анонимного протокола, известный как Chef Nomi, продал токенов SUSHI на сумму 8 миллионов долларов, что привело к падению цены токена. Несколько дней спустя протокол был спасен генеральным директором биржи FTX Сэмом Бэнкман-Фридом, которому консорциум китов DeFi передал контроль через смарт-контракт с несколькими подписями. В итоге все средства вернули в девелоперский фонд.
Ковер тянет, или «накачивает и сбрасывает», как их называли во время предыдущего бума альткойнов в 2017 году, продолжился с рядом клонов DeFi, таких как Pizza и Hotdog. Знаковые цены на эти продовольственные фермы росли и падали в течение нескольких часов, а иногда и минут.
В середине октября орды «выродившихся фермеров», или дегенератов, как их называли, вложили деньги в неаудированный и невыпущенный смарт-контракт от основателя протокола DeFi Yearn Finance Андре Кронье. Контракт Eminence Finance потерял 15 миллионов долларов, когда его взломали в течение нескольких часов после того, как Cronje опубликовал тизеры о новой «игровой мультивселенной» в твиттере. Хакер вернул около 8 миллионов долларов, но оставил остальное, что побудило недовольных трейдеров возбудить судебный иск против команды Yearn из-за потерянных средств.
В конце октября изощренная арбитражная атака флэш-кредитов на протокол Harvest Finance привела к потере 24 миллионов долларов в стейблкоинах примерно за семь минут. Атака вызвала споры о том, можно ли рассматривать эти попытки взлома системы.
Ноябрь был особенно болезненным месяцем для Akropolis, которому пришлось «приостановить протокол», поскольку хакеры скрылись с 2 миллионами долларов в стейблкоине DAI. Протокол Value DeFi потерял 6 миллионов долларов из-за слишком распространенного использования флэш-кредитов, доходный проект стейблкоина Origin Dollar был использован на 7 миллионов долларов, а Pickle Finance понес залог в размере 20 миллионов долларов из-за изощренной атаки «злой банки».
Одной из тех, что сломали стереотип использования системы, стало личное нападение на человека в середине декабря. Основатель протокола Nexus Mutual DeFi Хью Карп потерял 8 миллионов долларов из своего кошелька MetaMask, когда хакеру удалось проникнуть на его компьютер, подделав транзакцию. Эти типы атак, как правило, менее распространены, поскольку они требуют некоторой степени социальной инженерии.
Последней атакой, о которой сообщалось, в этом году была атака на Warp Finance на 8 миллионов долларов 18 декабря.
Многие розничные трейдеры и инвесторы также стали жертвами попыток фишинга, а владельцы аппаратных кошельков Ledger также стали жертвами в 2020 году после взлома личной информации около 272000 покупателей Ledger.
Закалка в битвах DeFi
Большинство эксплойтов смарт-контрактов и флэш-кредитов в 2020 году послужат укреплению в битвах формирующейся финансовой экосистемы по мере ее развития. Новые и более умные протоколы DeFi, вероятно, появятся в следующем году, но, как всегда, мошенники, хакеры и киберпреступники также улучшат свою игру, пытаясь оставаться впереди.
Чтобы вникнуть в нынешний мир DeFi, требуется огромная доза бдительности и внимания, но за такой короткий период времени он прошел очень долгий путь, и децентрализованный финансовый ландшафт будущего постоянно развивается.