TOP 10 największych hacków DeFi

Cyberprzestępczość

Pomimo szybkiego rozwoju i masowej adopcji, zdecentralizowane finanse (DeFi) zyskały sławę jednego z najczęściej hakowanych protokołów blockchain w ciągu ostatnich kilku lat. Tylko w 2020 roku przestępcom udało się wygenerować ponad 470 milionów dolarów z tego rodzaju ataków. W dzisiejszym artykule przeanalizujemy największe włamania, jakie mały miejsce ostatnio w DeFi. W ten sposób dowiemy się, w jaki sposób oszuści wykorzystują protokoły.

---

Spis treści:

• Dlaczego hakerzy celują w DeFi?
• W jaki sposób hakerzy wykorzystują DeFi?
• Lista hacków
  1. SharkTron — 260 mln USD
  2. Easy Fi — 80 mln USD
  3. Uranium Finance — 50 mln USD
  4. PancakeBunny — 44 mln USD
  5. Alpha Finance/Alpha Homora — 37 mln
  6. Meerkat — 31 mln
  7. Spartan Protocol — 30 mln USD
  8. dForce i Lendf.me — 25 mln USD
  9. Harvest Finance — 24 mln USD
  10. Pickle protocol — 20 mln USD

Dlaczego hakerzy celują w DeFi?

Po pierwsze, DeFi jest otwartoźródłowe, co oznacza, że jego kod jest dostępny dla każdego. Taka sytuacja niesie wiele korzyści, jednak jest też obarczona ryzykiem. Po drugie, aplikacje DeFi są podatne na ataki z zewnątrz ze względu na ich złożoność. Wreszcie, wiele projektów DeFi jest uruchamianych w pośpiechu. Każdy chce wziąć kawałek tortu z nowego rynku finansowego, a niektórzy deweloperzy przymykają oko na błędy i luki.

W jaki sposób hakerzy wykorzystują DeFi?

Pewnie zastanawiasz się, w jaki sposób hakerzy wykorzystują protokoły DeFi? Patrząc na listę zhackowanych już projektów, na pierwszy rzut oka widać, że istnieje całkiem sporo sposobów. Najczęściej jednak oszuści wykorzystują poniższe możliwości:

• Atak Reentrancy — wywołany przez kontrakt wywołujący zewnętrznie niezaufany kontrakt przed jego rozwiązaniem. Jeśli atakujący może kontrolować niezaufany kontrakt, może wykonać ponowne wywołanie z powrotem do oryginalnej funkcji, powtarzając interakcje, które w przeciwnym razie nie zostałyby uruchomione.
• Manipulacja wyrocznią cenową — spowodowana przez smart kontrakt wyroczni, który został zmanipulowany przez hakerów. Przykładowo, w momencie gdy smart kontrakty żądają szczegółów ceny tokena.
• Błędy logiczne — spowodowane przez wewnętrzne błędy, które mogą otworzyć konkretny smart kontrakt na zewnętrzny atak.
• Rug pull — to szkodliwy dla branży kryptowalutowej zabieg, w którym twórcy kryptowaluty porzucają projekt i uciekają z funduszami inwestorów. Rug pull’e prosperują na DEX-ach, ponieważ tego typu giełdy pozwalają użytkownikom na notowanie tokenów za darmo i bez audytu, w przeciwieństwie do scentralizowanych giełd kryptowalutowych.

Sprawdźmy, w jaki sposób powyższe zjawiska wpłynęły na kilka z dobrze znanych platform kryptowalutowych.

1. SharkTron – 260 mln USD

SharkTron, platforma DeFi oferująca wydobywanie płynności na blockchainie Tron, napotkała kłopoty w dniu 9 listopada. Jak ogłosił TRON, doszło do pewnego “incydentu”:

(1/2) Regarding the shark incident we have contacted @Binance and worked together on chasing down the funds and people behind this. A portion of the funds have been frozen on Binance.

— TRON Foundation (@Tronfoundation) November 9, 2020

Niektóre źródła podawały, że użytkownicy z platform powiązanych z SharkTron, w tym Shark Invest i Shark Dice mogli łącznie stracić nawet 260 mln USD.

? HUGE RUG PULL ?

The $TRX based #sharkdefi & its associated products (#sharktron, #sharkinvest, #diceshark) are all gone. $260M worth of assets stolen in the past couple of hours.#rugpull $SWD $TTH $SRX $crypto #cryptocurrency #cryptocurrencynews @Tronfoundation @TronFi_io

— Rob ?? (@rawcrypto) October 28, 2020

Użytkownicy załączali nawet screenshoty z portfeli, które poniosły straty.

414m trx stolen by sharktron under your own watch. I regret knowing about trx, @justinsuntron 80% of your community has been scammed. pic.twitter.com/oGQeIb46br

— The good neighbor (@JEnejeta) November 9, 2020

W jaki sposób udało się wydrenować środki z SharkTron? Deweloperzy projektu przeprowadzili exit scam. Jak twierdził zespół, w skarbcu brakowało tokenów TRX wartych nawet 10 mln USD. Fundacja Tron połączyła siły z Binance i szybko zamroziła część brakujących środków. Exit scam miał miejsce zaledwie kilka tygodni po tym, jak twórcy Sharktron umożliwili zakup tokenów.

2. Easy Fi – 80 mln USD

EasyFi jest platformą DeFi zbudowaną w oparciu o sieć Polygon. EasyFi w kwietniu 2021 roku w wyniku włamania straciło ponad 80 milionów dolarów. Okazało się, że napastnik przejął aktywa o wartości 75 milionów dolarów i wyciągnął 6 milionów dolarów z puli płynności. Aby odzyskać większość wydrenowanych środków, zespół zdecydował się na przeprowadzenie hard forka.

W tym przypadku hakerzy naruszyli rozszerzenie przeglądarki Metamask, włamując się do komputera CEO platformy. Fundusze wydrenowane z puli płynności zostały wysłane do Ren Bridge na Ethereum, zamienione na 123 Bitcoinów i wysłane na ten adres.

⚡URGENT ANNOUNCEMENT⚡

As mentioned earlier, users are requested NOT to interact with ANY of the contracts including $EASY token contract. Abstain from keeping any liquidity in DEXes.

We are in process of implementing an EASY token Hard Fork!

— @easyfi.network (@EasyfiNetwork) April 20, 2021

3. Uranium Finance – 50 mln USD

Uranium Finance to zautomatyzowany animator rynku zbudowany na łańcuchu BSC. Pod koniec kwietnia, protokół poniósł straty w wysokości ponad 50 milionów dolarów. Wszystko za sprawą ataku, który miał miejsce podczas przeprowadzania migracji tokenów. Haker wykorzystał błąd kodowania w logice modyfikatora salda platformy. Co więcej, wykorzystał on oparty na Ethereum mixer kryptowalut o nazwie Tornado Cash. W ten sposób upłynnił skradzione środki, zachowując jednocześnie anonimowość.

(1/2)‼️ Uranium migration has been exploited, the following address has 50m in it The only thing that matters is keeping the funds on BSC, everyone please start tweeting this address to Binance immediately asking them to stop transfers.

— Uranium Finance (@UraniumFinance) April 28, 2021

4. PancakeBunny – 44 mln USD

Największy agregator zysków zbudowany na Binance Smart Chain – Pancake Bunny, ucierpiał całkiem niedawno, bo pod koniec maja. W tym przypadku napastnik przeprowadził atak wykorzystujący pożyczkę flash. Udało mu się wyprowadzić tokeny o wartości 44 mln dolarów, a natywna kryptowaluta projektu BUNNY spadła ze 150 dolarów do zaledwie 1 dolara w ciągu kilku sekund.

Napastnik wziął pożyczkę flash na dużą ilość BNB z PancakeSwapa. Następnie miał manipulować stosunkiem puli LP USDT/BNB oraz BUNNY/BNB. W ten sposób wygenerował on tokeny BUNNY, które zostały wrzucone na otwarty rynek. To spowodowało aż 99% spadek ceny BUNNY. Ostatecznie napastnik spłacił pożyczkę PancakeSwap przy użyciu BNB pochodzących ze sprzedaży.

W „planie działania” przedstawionym przez zespół wyjaśniono, że hakerzy nie naruszyli skarbców projektu. Atak miał jedynie zbić cenę BUNNY, jednak 1 miliard dolarów w TVL nie został skradziony.

1⃣ We have determined the nature of the exploit and how it occurred.
2⃣ Additionally, we are working on a reimbursement plan.
3⃣ Withdrawals and deposits will be frozen temporarily until we increase security.

— pancakebunny.finance (@PancakeBunnyFin) May 20, 2021

5. Alpha Finance/Alpha Homora – 37 mln

Alpha Finance poniosła straty w wysokości ponad 37 milionów dolarów z powodu serii pożyczek flash uruchomionych na Alpha Homora V2, jej lewarowanym protokole yield farmingu i płynności. Sprawcy pożyczali miliony stablecoinów z IronBank należącego do Cream Finance. Pozyskane środki były następnie pożyczane z powrotem do IronBank. W ten sposób napastnicy otrzymywali stablecoiny, którymi mogli manipulować dla zysku. Analitycy uważają, że atak był możliwy przede wszystkim dzięki wykorzystaniu smart kontraktów. Hakerzy pożyczyli łącznie 13 244 ETH, 4 263 139 DAI, 3 997 921 USDC i 5 647 242 USDT.

Dear Alpha community, we’ve been notified of an exploit on Alpha Homora V2. We’re now working with @AndreCronjeTech and @CreamdotFinance together on this.

The loophole has been patched.

We’re in the process of investigating the stolen fund, and have a prime suspect already.

— Alpha Finance Lab (@AlphaFinanceLab) February 13, 2021

6. Meerkat – 31 mln

Meerkat Finance jest protokołem yield farmingu zbudowanym na Binance Smart Chain (BSC). Na początku marca 2021 roku ucierpiał smart kontrakt jego skarbca. Sytuacja miała miejsce w pierwszym dniu po wejściu na rynek. Atak spowodował utratę około 13 milionów BUSD i 73 000 BNB.

Po wyjściu na jaw, że haker, aby przeprowadzić atak zmodyfikował logikę biznesową skarbca, w społeczności pojawiły się wątpliwości. Strona internetowa Meerkat i konto na Twitterze zostały wyłączone. Użytkownicy zaczęli podejrzewać, że tak naprawdę mogło dojść do rug pulla. Według niektórych deweloperzy specjalnie wprowadzili do kodu lukę, tak aby móc później wydrenować środki.

7. Spartan Protocol – 30 mln USD

Spartan Protocol również został zhackowany niedawno, bo niespełna 2 miesiące temu. Spartan Protocol to platforma dla dostawców płynności i syntetycznych aktywów. Token SPARTA ma swój wewnętrzny mechanizm cenowy i nie musi polegać na zewnętrznych wyroczniach w celu ustalenia ceny. System ten miał stanowić  fundamentalną podstawę dla pozbawionej zaufania sieci swapów, tokenów syntetycznych, pożyczek, instrumentów pochodnych itp. Przynajmniej według zespołu.

Ten projekt zbudowany w sieci Binance Smart Chain padł bowiem ofiarą hakerów, którzy wydrenowali z niego 30 mln USD. Spartan Protocol twierdził, że „nie ma inwestorów, nie ma tokenów zespołu i nie ma skarbca”. Skradzione miały być też osobiste fundusze zespołu, które dostarczały płynność do platformy.

Jak doszło do ataku? Podobnie jak w wielu innych przypadkach, tak i w przypadku Spartan Protocol, napastnicy zaciągnęli pożyczkę flash. Więcej na temat technicznych aspektów dot. hacku dowiesz się z serii tweetów Igora Igamberdieva:

1/12

I’m finally home, which means it’s time for a thread about a four-hour attack on Spartan Protocol that resulted in $30.5M being stolen.@Peckshield has already written about the root cause, but there will be more details here as usual.

Enjoy? pic.twitter.com/9YSmXXIAY3

— Igor Igamberdiev (@FrankResearcher) May 2, 2021

8. dForce i Lendf.me – 25 mln USD

Lendf to jeden z dwóch protokołów obsługiwanych przez dForce. Platforma została naruszona już dość dawno, bo w kwietniu 2020 roku. Napastnikom udało się wydrenować 25 mln USD w Ethereum (ETH) i Bitcoinie (BTC). Według spekulacji innych twórców DeFi atak przeprowadzono dzięki imBTC. imBTC to stablecoin związany z bitcoinem, stworzony w standardzie ERC 777. To właśnie on miał zabezpieczać środki. Jego „sfałszowanie” umożliwiło jednak atakującemu kradzież środków należących do dForce.

It looks like LendfMe / dForce protocol being drained ? pic.twitter.com/UEqSEpSOfT

— defiprime (@defiprime) April 19, 2020

9. Harvest Finance – 24 mln USD

Hack na Harvest Finanse miał miejsce w październiku 2020 roku. Złodziejom udało się skraść wtedy 24 mln dolarów. Hakerzy wykorzystali mechanizm puli płynności, a dokładniej puli Y platformy Curve.

Napastnicy zaciągnęli pożyczkę o wartości 50 mln USD, co pozwoliło jej dokonać manipulacji arbitrażowej. Naciągnęli oni cenę stablecoinów w puli Y Curve, a następnie użyli stabilnych monet i puli BTC na Harvest Finance, aby uzyskać większą ilość stablecoinów, w zamian za zbyt drogie tokeny na Curve.

W niecałe siedem minut napastnicy wyciągnęli z Harvest Finance 24 miliony dolarów płynności. Podczas ataku całkowity wolumen obrotu USDT i USDC na platformie Curve wzrósł z 10 milionów dolarów do ponad 2,7 miliarda dolarów.

The economic attack was performed through the curve y pool, stretching the price of the stablecoins in Curve out of proportion and depositing and withdrawing a large amount of assets through harvest.

To protect users, we’ve pulled y pool and btc curve strategy funds to the vault

— Harvest Finance (@harvest_finance) October 26, 2020

Później projekt zaoferował nagrodę w wysokości 1 mln dolarów za wydanie tożsamości hakera odpowiedzialnego za atak. W tweecie zespół zawarł również listę faktów dot. hakera, która wskazywała na napastnika doskonale obeznanego w strukturze systemu Harvest Finance.

?Increasing the bounty for tracking down the attacker and returning the funds to $1M

Here’s what we know about the attacker:

1) understands flashloans
2) understands arbitrage and trading
3) understands curve internal code
4) understands renBTC
5) understands opsec

1/2

— Harvest Finance (@harvest_finance) October 29, 2020

10. Pickle protocol – 20 mln USD

Pickle to kolejny protokół, którego nazwa wywodzi się z branży produktów spożywczych. “Ogórek” padł ofiarą hakerów pod koniec 2020 roku. Napastnikom udało się wydrenować z niego 20 mln dolarów.

Pickle Finance tworzy rozwiązania do automatycznego przenoszenia funduszy pomiędzy różnymi protokołami DeFi. Wszystko to w celu maksymalizacji zysków. Hakerzy najprawdopodobniej wydrenowali fundusze z produktu DAI PickleJar – lub PJar. W tej puli znajdowały się tokeny cDAI wyemitowane przez Compound oraz tokeny DAI zdeponowane przez Picke Finance. Tym razem jednak nie doszło do pożyczki flash. W tym przypadku haker stworzył złośliwy kontrakt i wykorzystał go do interakcji z legalnymi kontraktami. Cały proces włamania świetnie wyjaśnił w temacie opublikowanym na Twitterze Emiliano Bonassi, współzałożyciel DeFi Italia:

Argh! No ? https://t.co/IqskGJsrxT pic.twitter.com/eXZbnDfnaF

— Ξmiliano Bonassi | Ξmiliano.eth (@emilianobonassi) November 21, 2020

Podsumowanie

Protokoły DeFi wykazały się ogromną innowacyjnością i niewątpliwie mają potencjał, aby trwale zmienić sposób, w jaki oferujemy i uzyskujemy dostęp do usług finansowych. Nadal jest to jednak bardzo młoda branża. Kodowanie smart kontraktów nadal jest dalekie od perfekcji, dzięki czemu pojawiają się okazje dla przestępców. Świetnie pokazują to powyżej wymienione przykłady największych hacków DeFi.