DeFi все еще находится в зачаточном состоянии, и с этим младенчеством, как с малыми детьми приходят совершенно взрослые проблемы. То, что когда-то было небольшой идеей по ETH, превратилось в индустрию стоимостью более 150 миллиардов долларов. Этот новый приток денег привлек в DeFi огромное количество разработчиков с большими амбициями и навыками программирования.
За последние несколько месяцев мы только и слышали о взломах DeFi. Похоже, каждые несколько дней выполнялся очередной протокол. Чтобы лучше понять, почему это происходит, давайте просмотрим 5 самых крупных взломов, которые произошли с DeFi за последнее время.
● 5 место. Meerkat Finance - 32 миллиона долларов
Это не было эксплойтом, хотя команда Meerkat изначально утверждала, что это так. Meerkat был форком Yearn.Finance, который был запущен на Binance Smart Chain в начале марта. Всего через день после запуска протокол был обчищен за 13 миллионов долларов США и 73000 BNB. В то время это составляло 32 миллиона долларов.
Вскоре после этого был удален веб-сайт Meerkat / Twitter / Github и любые другие доказательства его существования. Многие говорили, что откат Binance Smart Chain будет значительным, но такого отката не произошло. Эксплойт был выполнен с использованием бэкдора, встроенного в код, который позволял тем, у кого есть доступ к хранилищу, «модернизировать» его, чтобы установить место вывода средств на адрес своего кошелька.
● 4 место. Alpha Finance - 37,5 млн долларов
Аудиты обычно являются признаком доброй воли к DeFi, но не всегда означают, что платформе можно полностью доверять. Alpha Finance, вероятно, подвергся атаке изнутри из-за сложной природы, которые требуют знаний всей “кухни”, требующихся для эксплойта. Согласно официальному заявлению Alpha, злоумышленнику необходимо было знать о пуле sUSD HumoraBankv2 на уровне контракта, который в то время был недоступен в пользовательском интерфейсе, а также подробные сведения об ошибке округления, затронувшая только пулы с нулевой ликвидностью. Все факты указывают на то, что это был кто-то свой.
Alpha Finance дважды проверялась, и их команда полностью подверглась доксированию, но это все равно не защитило ее от инсайдерской атаки. Alpha Finance продолжила работу и восстановилась после этого инцидента, но есть вероятность, что тот, кто это сделал, и сейчас там работает.
● 3 место. PancakeBunny - 45 миллионов долларов.
Самый крупный неудачник в эпидемии срочных кредитов BSC. Восемь мгновенных ссуд были использованы для манипулирования ценой различных пулов PancakeSwap, создавая искаженную цену BUNNY из хранилища VaultFlipToFlip. В результате было выпущено 697000 токенов BUNNY, что привело к падению цены с 145 до 6 долларов. PancakeBunny предпринимает все правильные шаги после этого инцидента с довольно обширным планом, разработанным в попытке помочь вернуть цену BUNNY.
● 2 место. Uranium Finance - 57,2 млн долларов
Это был не первый раз, когда клон Uniswap был атакован. Этот эксплойт произошел 28 апреля 2021 года, ранее в том же месяце Uranium подвергся первой эксплойт-атаке, когда они прощелкали уязвимости в контракт MasterChef. Эксплойт произошел, когда одна строка кода содержала ошибку, заменяя 1000 на 10000, что позволяло обменять 1 wei входного токена на 98% больше от общего баланса выходного токена.
С биржи были сняты: 34000 WBNB, 17.9 млн. BUSD, 1800 ETH, 80 BTC, 26500 DOT, 638k ADA, 5,7M USDT и 112k U92. Всего на общую сумму 57,2 миллиона долларов. Самым ироничным в этом эксплойте было то, что код планировалось исправить уже на следующий день, но злоумышленник (внутренний или нет) успел вовремя. Во истину, не стоит откладывать на завтра то, что можно съесть сегодня.
● 1 место. EasyFi - 80 миллионов долларов
Взлом Polygon (MATIC) в этом списке, к сожалению, самый крупный. Это произошло, когда хакер взломал закрытые ключи учетной записи MetaMask владельца. Для этого не было обнаружено никаких модных флеш-кредитов или лазеек в коде, просто плохие меры безопасности привели к крупнейшему взлому в истории DeFi. Простая халатность стояла между потенциальным хакером и 80 миллионами долларов.
После атаки хакеру принадлежало 30% токенов EASY (~ 75 миллионов долларов) и 6 миллионов стейблкоинов. Токены EASY не были легко ликвидированы, в отличие от стейблкоинов. С тех пор был проведен хард-форк, и началась компенсация держателям токенов.
Еще достойны упоминания такие неприятные мгновения DeFi, как:
- Value DeFi - трижды взломали (дважды за неделю) на общую сумму 28 миллионов долларов. И что-то нет уверенности, усвоят ли они когда-нибудь свой урок.
- Merlin Labs - дважды взломан на общую сумму 1,23 миллиона долларов. Два отдельных эксплойта в один день.
Последние мысли
Самое важное что можно извлечь из этого, заключалась в том, что аудит и доксированные команды не всегда означают безопасность, когда дело касается DeFi. Как уже говорилось выше, DeFi все еще находится в зачаточном состоянии, поэтому эксперты / аудиторы все еще выясняют, как можно защитить DeFi. Кроме того, аудиты предназначены для защиты от внешних угроз, но, как свидетельствуют некоторые из приведенных выше примеров, внутренние угрозы иногда могут быть более разрушительными.