TOP 10 największych hacków DeFi

Pomimo szybkiego rozwoju i masowej adopcji, zdecentralizowane finanse (DeFi) zyskały sławę jednego z najczęściej hakowanych protokołów blockchain w ciągu ostatnich kilku lat. Tylko w 2020 roku przestępcom udało się wygenerować ponad 470 milionów dolarów z tego rodzaju ataków. W dzisiejszym artykule przeanalizujemy największe włamania, jakie mały miejsce ostatnio w DeFi. W ten sposób dowiemy się, w jaki sposób oszuści wykorzystują protokoły.
Spis treści:

Dlaczego hakerzy celują w DeFi?

Po pierwsze, DeFi jest otwartoźródłowe, co oznacza, że jego kod jest dostępny dla każdego. Taka sytuacja niesie wiele korzyści, jednak jest też obarczona ryzykiem. Po drugie, aplikacje DeFi są podatne na ataki z zewnątrz ze względu na ich złożoność. Wreszcie, wiele projektów DeFi jest uruchamianych w pośpiechu. Każdy chce wziąć kawałek tortu z nowego rynku finansowego, a niektórzy deweloperzy przymykają oko na błędy i luki.

W jaki sposób hakerzy wykorzystują DeFi?

Pewnie zastanawiasz się, w jaki sposób hakerzy wykorzystują protokoły DeFi? Patrząc na listę zhackowanych już projektów, na pierwszy rzut oka widać, że istnieje całkiem sporo sposobów. Najczęściej jednak oszuści wykorzystują poniższe możliwości:
  • Atak Reentrancy — wywołany przez kontrakt wywołujący zewnętrznie niezaufany kontrakt przed jego rozwiązaniem. Jeśli atakujący może kontrolować niezaufany kontrakt, może wykonać ponowne wywołanie z powrotem do oryginalnej funkcji, powtarzając interakcje, które w przeciwnym razie nie zostałyby uruchomione.
  • Manipulacja wyrocznią cenową — spowodowana przez smart kontrakt wyroczni, który został zmanipulowany przez hakerów. Przykładowo, w momencie gdy smart kontrakty żądają szczegółów ceny tokena.
  • Błędy logiczne — spowodowane przez wewnętrzne błędy, które mogą otworzyć konkretny smart kontrakt na zewnętrzny atak.
  • Rug pull — to szkodliwy dla branży kryptowalutowej zabieg, w którym twórcy kryptowaluty porzucają projekt i uciekają z funduszami inwestorów. Rug pull'e prosperują na DEX-ach, ponieważ tego typu giełdy pozwalają użytkownikom na notowanie tokenów za darmo i bez audytu, w przeciwieństwie do scentralizowanych giełd kryptowalutowych.
Sprawdźmy, w jaki sposób powyższe zjawiska wpłynęły na kilka z dobrze znanych platform kryptowalutowych.

1. SharkTron - 260 mln USD

SharkTron, platforma DeFi oferująca wydobywanie płynności na blockchainie Tron, napotkała kłopoty w dniu 9 listopada. Jak ogłosił TRON, doszło do pewnego "incydentu": Niektóre źródła podawały, że użytkownicy z platform powiązanych z SharkTron, w tym Shark Invest i Shark Dice mogli łącznie stracić nawet 260 mln USD. Użytkownicy załączali nawet screenshoty z portfeli, które poniosły straty. W jaki sposób udało się wydrenować środki z SharkTron? Deweloperzy projektu przeprowadzili exit scam. Jak twierdził zespół, w skarbcu brakowało tokenów TRX wartych nawet 10 mln USD. Fundacja Tron połączyła siły z Binance i szybko zamroziła część brakujących środków. Exit scam miał miejsce zaledwie kilka tygodni po tym, jak twórcy Sharktron umożliwili zakup tokenów.

2. Easy Fi - 80 mln USD

EasyFi jest platformą DeFi zbudowaną w oparciu o sieć Polygon. EasyFi w kwietniu 2021 roku w wyniku włamania straciło ponad 80 milionów dolarów. Okazało się, że napastnik przejął aktywa o wartości 75 milionów dolarów i wyciągnął 6 milionów dolarów z puli płynności. Aby odzyskać większość wydrenowanych środków, zespół zdecydował się na przeprowadzenie hard forka. W tym przypadku hakerzy naruszyli rozszerzenie przeglądarki Metamask, włamując się do komputera CEO platformy. Fundusze wydrenowane z puli płynności zostały wysłane do Ren Bridge na Ethereum, zamienione na 123 Bitcoinów i wysłane na ten adres.

3. Uranium Finance - 50 mln USD

Uranium Finance to zautomatyzowany animator rynku zbudowany na łańcuchu BSC. Pod koniec kwietnia, protokół poniósł straty w wysokości ponad 50 milionów dolarów. Wszystko za sprawą ataku, który miał miejsce podczas przeprowadzania migracji tokenów. Haker wykorzystał błąd kodowania w logice modyfikatora salda platformy. Co więcej, wykorzystał on oparty na Ethereum mixer kryptowalut o nazwie Tornado Cash. W ten sposób upłynnił skradzione środki, zachowując jednocześnie anonimowość.

4. PancakeBunny - 44 mln USD

Największy agregator zysków zbudowany na Binance Smart Chain – Pancake Bunny, ucierpiał całkiem niedawno, bo pod koniec maja. W tym przypadku napastnik przeprowadził atak wykorzystujący pożyczkę flash. Udało mu się wyprowadzić tokeny o wartości 44 mln dolarów, a natywna kryptowaluta projektu BUNNY spadła ze 150 dolarów do zaledwie 1 dolara w ciągu kilku sekund. Napastnik wziął pożyczkę flash na dużą ilość BNB z PancakeSwapa. Następnie miał manipulować stosunkiem puli LP USDT/BNB oraz BUNNY/BNB. W ten sposób wygenerował on tokeny BUNNY, które zostały wrzucone na otwarty rynek. To spowodowało aż 99% spadek ceny BUNNY. Ostatecznie napastnik spłacił pożyczkę PancakeSwap przy użyciu BNB pochodzących ze sprzedaży. W „planie działania” przedstawionym przez zespół wyjaśniono, że hakerzy nie naruszyli skarbców projektu. Atak miał jedynie zbić cenę BUNNY, jednak 1 miliard dolarów w TVL nie został skradziony.

5. Alpha Finance/Alpha Homora - 37 mln

Alpha Finance poniosła straty w wysokości ponad 37 milionów dolarów z powodu serii pożyczek flash uruchomionych na Alpha Homora V2, jej lewarowanym protokole yield farmingu i płynności. Sprawcy pożyczali miliony stablecoinów z IronBank należącego do Cream Finance. Pozyskane środki były następnie pożyczane z powrotem do IronBank. W ten sposób napastnicy otrzymywali stablecoiny, którymi mogli manipulować dla zysku. Analitycy uważają, że atak był możliwy przede wszystkim dzięki wykorzystaniu smart kontraktów. Hakerzy pożyczyli łącznie 13 244 ETH, 4 263 139 DAI, 3 997 921 USDC i 5 647 242 USDT.

6. Meerkat - 31 mln

Meerkat Finance jest protokołem yield farmingu zbudowanym na Binance Smart Chain (BSC). Na początku marca 2021 roku ucierpiał smart kontrakt jego skarbca. Sytuacja miała miejsce w pierwszym dniu po wejściu na rynek. Atak spowodował utratę około 13 milionów BUSD i 73 000 BNB. Po wyjściu na jaw, że haker, aby przeprowadzić atak zmodyfikował logikę biznesową skarbca, w społeczności pojawiły się wątpliwości. Strona internetowa Meerkat i konto na Twitterze zostały wyłączone. Użytkownicy zaczęli podejrzewać, że tak naprawdę mogło dojść do rug pulla. Według niektórych deweloperzy specjalnie wprowadzili do kodu lukę, tak aby móc później wydrenować środki.

7. Spartan Protocol - 30 mln USD

Spartan Protocol również został zhackowany niedawno, bo niespełna 2 miesiące temu. Spartan Protocol to platforma dla dostawców płynności i syntetycznych aktywów. Token SPARTA ma swój wewnętrzny mechanizm cenowy i nie musi polegać na zewnętrznych wyroczniach w celu ustalenia ceny. System ten miał stanowić  fundamentalną podstawę dla pozbawionej zaufania sieci swapów, tokenów syntetycznych, pożyczek, instrumentów pochodnych itp. Przynajmniej według zespołu. Ten projekt zbudowany w sieci Binance Smart Chain padł bowiem ofiarą hakerów, którzy wydrenowali z niego 30 mln USD. Spartan Protocol twierdził, że „nie ma inwestorów, nie ma tokenów zespołu i nie ma skarbca”. Skradzione miały być też osobiste fundusze zespołu, które dostarczały płynność do platformy. Jak doszło do ataku? Podobnie jak w wielu innych przypadkach, tak i w przypadku Spartan Protocol, napastnicy zaciągnęli pożyczkę flash. Więcej na temat technicznych aspektów dot. hacku dowiesz się z serii tweetów Igora Igamberdieva:

8. dForce i Lendf.me – 25 mln USD

Lendf to jeden z dwóch protokołów obsługiwanych przez dForce. Platforma została naruszona już dość dawno, bo w kwietniu 2020 roku. Napastnikom udało się wydrenować 25 mln USD w Ethereum (ETH) i Bitcoinie (BTC). Według spekulacji innych twórców DeFi atak przeprowadzono dzięki imBTC. imBTC to stablecoin związany z bitcoinem, stworzony w standardzie ERC 777. To właśnie on miał zabezpieczać środki. Jego „sfałszowanie” umożliwiło jednak atakującemu kradzież środków należących do dForce.

9. Harvest Finance - 24 mln USD

Hack na Harvest Finanse miał miejsce w październiku 2020 roku. Złodziejom udało się skraść wtedy 24 mln dolarów. Hakerzy wykorzystali mechanizm puli płynności, a dokładniej puli Y platformy Curve. Napastnicy zaciągnęli pożyczkę o wartości 50 mln USD, co pozwoliło jej dokonać manipulacji arbitrażowej. Naciągnęli oni cenę stablecoinów w puli Y Curve, a następnie użyli stabilnych monet i puli BTC na Harvest Finance, aby uzyskać większą ilość stablecoinów, w zamian za zbyt drogie tokeny na Curve. W niecałe siedem minut napastnicy wyciągnęli z Harvest Finance 24 miliony dolarów płynności. Podczas ataku całkowity wolumen obrotu USDT i USDC na platformie Curve wzrósł z 10 milionów dolarów do ponad 2,7 miliarda dolarów. Później projekt zaoferował nagrodę w wysokości 1 mln dolarów za wydanie tożsamości hakera odpowiedzialnego za atak. W tweecie zespół zawarł również listę faktów dot. hakera, która wskazywała na napastnika doskonale obeznanego w strukturze systemu Harvest Finance.

10. Pickle protocol - 20 mln USD

Pickle to kolejny protokół, którego nazwa wywodzi się z branży produktów spożywczych. "Ogórek" padł ofiarą hakerów pod koniec 2020 roku. Napastnikom udało się wydrenować z niego 20 mln dolarów. Pickle Finance tworzy rozwiązania do automatycznego przenoszenia funduszy pomiędzy różnymi protokołami DeFi. Wszystko to w celu maksymalizacji zysków. Hakerzy najprawdopodobniej wydrenowali fundusze z produktu DAI PickleJar – lub PJar. W tej puli znajdowały się tokeny cDAI wyemitowane przez Compound oraz tokeny DAI zdeponowane przez Picke Finance. Tym razem jednak nie doszło do pożyczki flash. W tym przypadku haker stworzył złośliwy kontrakt i wykorzystał go do interakcji z legalnymi kontraktami. Cały proces włamania świetnie wyjaśnił w temacie opublikowanym na Twitterze Emiliano Bonassi, współzałożyciel DeFi Italia:

Podsumowanie

Protokoły DeFi wykazały się ogromną innowacyjnością i niewątpliwie mają potencjał, aby trwale zmienić sposób, w jaki oferujemy i uzyskujemy dostęp do usług finansowych. Nadal jest to jednak bardzo młoda branża. Kodowanie smart kontraktów nadal jest dalekie od perfekcji, dzięki czemu pojawiają się okazje dla przestępców. Świetnie pokazują to powyżej wymienione przykłady największych hacków DeFi.

Komentarze

Ranking giełd