Sektor zdecentralizowanych finansów rozwija się w zawrotnym tempie. Trzy lata temu całkowita wartość zablokowana w DeFi wynosiła zaledwie 800 milionów dolarów. W lutym 2021 r. wartość ta wzrosła do 40 miliardów dolarów, w kwietniu 2021 r. osiągnęła 70 miliardów dolarów, a obecnie wynosi ponad 80 miliardów USD. Tak szybki wzrost na nowym rynku nie mógł nie przyciągnąć uwagi wszelkiego rodzaju hakerów i oszustów.
Według raportu firmy Messari z kwetnia 2021 roku, od 2019 roku sektor DeFi stracił około 284,9 miliona dolarów w wyniku hacków i innych ataków cyberprzestepców.
In February Messari calculated that over $284 million in DeFi was lost to hacks since 2019 😱
— Messari (@MessariCrypto) April 28, 2021
At this point in time, the decentralized insurance industry only covers a fraction of TVL in DeFi. The need is ripe for the picking. pic.twitter.com/WkZVI0TuWb
Z punktu widzenia hakerów, włamania do blockchainowych ekosystemów są idealnym sposobem zarobienia pieniędzy. Dlaczego? Ponieważ takie systemy są anonimowe. Tylko w pierwszych czterech miesiącach 2021 roku straty wyniosły 240 milionów dolarów. Warto zauważyć, że są to tylko przypadki podane do wiadomości publicznej. Faktycznie, straty te mogą być dużo większe. W dzisiejszym artykule omówimy sposoby, które wykorzystują hakerzy, aby włamać się do sieci DeFi.
Nadużycia zewnętrznych protokołów i błędy logiki biznesowej
Każdy rodzaj ataku zaczyna się przede wszystkim od analizy ofiary. Aby atak był przeprowadzony szybko i anonimowo, napastnik musi posiadać odpowiednie umiejętności programistyczne i wiedzę na temat działania smart kontraktów. Standardowy zestaw narzędzi hakera pozwala mu pobrać własną, pełną kopię blockchaina z głównej wersji sieci. Następnie dostraja go tak, aby wszystko wyglądało jakby transakcja odbywała się w prawdziwej sieci.
Następnie atakujący musi zbadać model biznesowy projektu oraz wykorzystywane usługi zewnętrzne. Błędy w modelach matematycznych i usługach zewnętrznych to dwa z najczęściej wykorzystywanych przez hakerów punktów ataku.
Twórcy smart kontraktów często wymagają większej ilości danych w momencie zawierania transakcji, niż mogą posiadać w danym momencie. Zmuszeni są więc do korzystania z usług zewnętrznych – na przykład wyroczni. Usługi te nie są zaprojektowane do działania w środowisku pozbawionym zaufania, więc ich wykorzystanie wiąże się z dodatkowym ryzykiem.
Pożyczki flash i manipulacja cenami
Informacje dostarczane do smart kontraktu są istotne tylko w momencie realizacji transakcji. Domyślnie, kontrakt nie jest odporny na potencjalną zewnętrzną manipulację zawartymi w nim informacjami. To sprawia, że istnieje całe spektrum możliwości przeprowadzenia ataku.
Pożyczki flash są pożyczkami bez zabezpieczenia, ale wiążą się z obowiązkiem zwrotu pożyczonej kryptowaluty w ramach tej samej transakcji. Jeśli pożyczkobiorca nie zwróci środków, transakcja zostaje anulowana. Takie pożyczki pozwalają pożyczkobiorcy na otrzymanie dużych ilości kryptowalut i wykorzystanie ich do własnych celów. Ataki “flash loan” zazwyczaj polegają na manipulacji ceną. Napastnik może najpierw sprzedać dużą liczbę pożyczonych tokenów w ramach transakcji, obniżając w ten sposób ich cenę, a następnie wykonać szereg działań przy bardzo niskiej wartości tokena przed ich odkupieniem.
Atak górniczy (ang. miner attack) jest odpowiednikiem pożyczki flash, jednak jest przeprowadzany na blockchainach działających w oparciu o algorytm konsensusu proof-of-work. Ten rodzaj ataku jest bardziej złożony i kosztowny, jednakże może pominąć niektóre z zabezpieczeń pożyczek flash. Podczas ataku górniczego, napastnik wykorzystuje moc obliczeniową, tworząc blok zawierający tylko te transakcje, które są mu potrzebne. W ramach danego bloku może on najpierw pożyczyć tokeny, zmanipulować cenę, a następnie zwrócić pożyczone tokeny.
Błędy w kodzie DeFi
Smart kontrakty to stosunkowo nowa koncepcja. Pomimo swojej prostoty, języki programowania smart kontraktów wymagają zupełnie innego modelu rozwoju. Programiści często po prostu nie posiadają odpowiednich umiejętności i popełniają poważne błędy, które prowadzą do ogromnych strat dla użytkowników.
Audyty bezpieczeństwa eliminują tylko część ryzyka. Większość firm audytorskich na rynku nie ponosi bowiem żadnej odpowiedzialności za jakość wykonywanej pracy i interesuje je jedynie aspekt finansowy. Błędy w kodzie były przyczyną wielu ataków. Najlepszym przykładem może być hack dForce, który miał miejsce 19 kwietnia 2020 roku. Hakerzy wykorzystali lukę w standardzie tokenów ERC-777 i zgarnęli łup warty 25 milionów dolarów. Później jednak zwrócili środki. Podobna sytuacja miała miejsce ostatnio. Haker włamał się do protokołu DeFi Poly Network i ukradł rekordową w świecie DeFi kwotę – 600 mln USD. Koniec końców, również zwrócił całą kwotę, a nawet dostał ofertę pracy od zhackowanego projektu. W sieci pojawiły się jednak spekulacje, że włamanie to mogło być jedynie zabiegiem marketingowym Poly Network.
Niekompetencja programistów DeFi
Największe ryzyko wiąże się z ludzkim będęm. Ludzie sięgają po DeFi, ponieważ szukają możliwości szybkiego zarobku. Wielu deweloperów nie posiada odpowiednich umiejętności i kwalifikacji. Jednak mimo to starają się uruchamiać projekty w pośpiechu. Smart kontrakty są otwarto źródłowe. Oznacza to, że bez problemu mogą zostać skopiowane i zmodyfikowane przez hakerów. Jeśli oryginalny projekt zawiera jakikolwiek wektor ataku, oznacza to, że zostanie on sklonowany na setki innych protokołów. Przykładem może być tutaj RFI SafeMoon. Zawierał on lukę, która z powodu ogólnodostępnego kodu przeniosła się na setki innych projektów. Finalnie, doprowadziło to do strat w wysokości ponad 2 mld dolarów.
Posumowanie
Hacki w przestrzeni DeFi zdarzają się coraz częściej i obejmują co raz większe kwoty. Co więcej, nic nie wskazuje na to, aby trend ten spowalniał. Dlatego właśnie przed inwestycją w DeFi, inwestorzy powinni przeprowadzić dogłębny research. Dziedzina ta jest na tyle młoda, że niesie ze sobą ogromne ryzyko. Nawet jeżeli projekt istnieje na rynku długo i ma solidną reputację, nie oznacza to, że zablokowane w nim środki są w 100 procentach bezpieczne. Wielokrotnie byliśmy już bowiem świadkami upadku projektów z ogromnym TVL.
Jeżeli interesuje cię temat hacków w świecie DeFi, zapraszamy do przeczytania naszego innego felietonu dot. największych włamań do protokołów zdecentralizowanych finansów w 2020 roku.
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.
