Zdecentralizowane finanse bez wątpienia były rewolucją 2020 roku w branży blockchain. DeFi próbuje usunąć większość barier tradycyjnych finansów, uprościć procedury i dać dostęp do usług finansowych każdemu człowiekowi na świecie. Ten ogromny potencjał przyciągnął wielką falę użytkowników i inwestorów. W ciągu kilku miesięcy całkowita wartość zablokowana (TVL) w protokołach DeFi przekroczyła 13 miliardów dolarów.
Wraz ze wzrostem zainteresowania naturalnie wzrosła też aktywność w fundamencie zdecentralizowanych finansów, czyli blockchainie Ethereum. Przeniesienie aktywności finansowej do łańcucha bloków daje ogromne możliwości, tworzy też jednak liczne wektory ataku, które nie są możliwe do przeprowadzenia w tradycyjnych finansach.
Hacki DeFi
Większość projektów DeFi to projekty open-source, co oznacza, że ich kod jest dostępny na platformie GitHub. Niestety dostęp do niego mają zarówno użytkownicy z dobrymi intencjami, jak i hakerzy. Jeżeli tym drugim uda się znaleźć błędy w kodzie, mogą oni ukraść fundusze użytkowników.
Oprócz błędów w kodzie, aplikacje DeFi są również podatne na ataki z zewnątrz. Wydajność DeFi zależy głównie od złożoności, co oznacza, że im więcej projektów jest wzajemnie powiązanych, tym większą mogą zapewnić wartość. Dlatego też hakerzy mogą oszukać system i spowodować, że protokoły zachowają się w sposób niezamierzony przez ich twórców. Nieodwracalność blockchainowych transakcji jeszcze bardziej pogarsza sytuację. Jeśli dojdzie do kradzieży, fundusze prawdopodobnie zostaną utracone na dobre.
Poniżej zebraliśmy listę 10 największych hacków, włamów, ataków i nadużyć w sektorze zdecentralizowanych finansów (DeFi) w 2020 roku.
1. SharkTron – 260 milionów dolarów
Zgodnie z oświadczeniem Fundacji Tron, platforma DeFi posiadająca funkcję liquidity miningu na platformie Tron – SharkTron, została zhackowana w dniu 9 listopada.
(1/2) Regarding the shark incident we have contacted @Binance and worked together on chasing down the funds and people behind this. A portion of the funds have been frozen on Binance.
— TRON Foundation (@Tronfoundation) November 9, 2020
Niektóre źródła podawały, że z kilku platform powiązanych z projektem – w tym z Shark Invest i Shark Dice – utracono aktywa użytkowników o wartości 260 milionów dolarów.
🚨 HUGE RUG PULL 🚨
— RawCrypto.com (@ServeItRaw) October 28, 2020
The $TRX based #sharkdefi & its associated products (#sharktron, #sharkinvest, #diceshark) are all gone. $260M worth of assets stolen in the past couple of hours.#rugpull $SWD $TTH $SRX $crypto #cryptocurrency #cryptocurrencynews @Tronfoundation @TronFi_io
Niektórzy użytkownicy umieszczali na Twitterze zrzuty ekranu z portfeli, które poniosły straty.
414m trx stolen by sharktron under your own watch. I regret knowing about trx, @justinsuntron 80% of your community has been scammed. pic.twitter.com/oGQeIb46br
— The good neighbor (@JEnejeta) November 9, 2020
Fundacja Tron wraz z giełdą Binance zamroziła część skradzionych środków. Obiecała też wytropić i zamrozić pozostałą część.
2. dForce i Lendf.me – 25 milionów dolarów
19 kwietnia hakerzy ukradli 25 milionów dolarów ze zdecentralizowanej platformy pożyczkowej Lendf.me. Lendf.me to platforma, która działała pod parasolem chińskiego protokołu DeFi – dForce. Haker użył znanej luki Ethereum, która została wykorzystana już wcześniej w słynnym hacku DAO z 2016 roku.
Standard tokenów Ethereum ERC-777 posiada lukę, która umożliwia napastnikowi pobranie funduszy z niektórych smart kontraków. Token imBTC, który był syntetyczną wersją BTC w łańcuchu Ethereum, został zbudowany właśnie w takim standardzie.
Koniec końców haker zwrócił skradzione fundusze administratorowi Lendf.Me. To jednak nie uchroniło dForce przed krytyką ze strony społeczności.
Taki sam atak z udziałem imTokena miał miejsce na zdecentralizowanej giełdzie Uniswap, mniej więcej w tym samym czasie, co na dForce. Podczas ataku na DEXa hakerom udało się ukraść zaledwie 300 tys. dolarów.
3. Harvest – 24 miliony dolarów
Projekt Harvest był przedmiotem krytyki jeszcze zanim hakerom udało się wykraść z niego 24 miliony dolarów. Niektórzy użytkownicy obawiali się o bezpieczeństwo 1 miliarda dolarów aktywów zablokowanych na platformie, jednak deweloperzy nic sobie z tego nie zrobili. Wkrótce po zakończeniu dyskusji na temat centralizacji protokołu, w dniu 26 października, hakerzy ukradli z projektu 24 mln dolarów. Teoretycznie mogliby oni ukraść nawet jeszcze więcej.
Napastnik wykorzystał pożyczkę flash, aby manipulować cenami stablecoinów na zdecentralizowanej giełdzie Curve. Następnie za pomocą arbitrażu kupił więcej stablecoinów niż byłby w stanie kupić w normalnych okolicznościach. Hakerzy odesłali 2,5 mln dolarów skradzionych funduszy do deweloperów. Resztę zamienili na RenBTC i wysłali na różne adresy. Zespół RenBTC pomógł projektowi zidentyfikować adresy docelowe, które następnie przekazano największym giełdom. Portfele te są stale monitorowane. Za znalezienie sprawców ataku zespół zaproponował 100 000 dolarów nagrody.
In addition to the BTC addresses which hold the funds, there is now a significant amount of personally identifiable information on the attacker, who is well-known in the crypto community.
— Harvest Finance (@harvest_finance) October 26, 2020
We are putting out a 100k bounty for the first person or team to reach out to the attacker
4. Eminence – 15 mln dolarów
Andre Cronje stał się gwiazdą sceny DeFi po wprowadzeniu na rynek projektu yearn.finance. Token YFI wzrósł od 0 do dziesiątek tysięcy dolarów za sztukę w ciągu zaledwie kilku tygodni. W związku z tym wielu użytkowników szukających szybkiego zysku zaczęło uważnie śledzić poczynania Andre, tak aby wejść w jego nowe projekty jak najszybciej.
Jednym z takich projektów była platforma gamingowa o nazwie Eminence. Po tym, jak Andre wspomniał w tweecie o swoim nieaudytowanym beta smart kontrakcie, użytkownicy wpłacili do niego 15 mln dolarów. Ponieważ kontrakt był w fazie beta, posiadał pewną lukę. W dniu 28 września hakerzy ukradli fundusze użytkowników, emitując tokeny EMN i sprzedając je za bardziej wartościowe aktywa.
— eminence.finance (@eminencefi) September 28, 2020
Hakerzy zwrócili 8 milionów dolarów w DAI do smart kontraktu kontrolowanego przez Andre. Zwrócone środki zostały wykorzystane na pokrycie strat niektórych użytkowników.
5. bZx – 9 mln dolarów
Rok 2020 nie był łatwy dla projektu DeFi skoncentrowanego na margin tradingu i pożyczkach – bZx. Protokół ten stał się ofiarą ataku hakerów aż trzykrotnie. Dwa pierwsze ataki miały miejsce 14 i 18 lutego i spowodowały straty na prawie milion dolarów.
Tym razem hakerzy nie znaleźli żadnych błędów w smart kontraktach. Zamiast tego wykorzystali wzajemne połączenia protokołów DeFi. Hack polegał na zaciąganiu pożyczek flash (pożyczanych i spłacanych w ramach jednej transakcji) oraz manipulowaniu cenami aktywów. Hakerzy wyciągnęli fundusze z puli pożyczkowych poprzez zaciąganie większych pożyczek niż byłoby to możliwe w normalnych okolicznościach. Platforma pokryła straty ze swojego funduszu ubezpieczeniowego.
Kolejny, trzeci atak miał miejsce we wrześniu. Podczas gdy dwa pierwsze ataki polegały na manipulowaniu zewnętrznymi protokołami, za trzecim razem hakerzy wykorzystali wewnętrzną wadę protokołu.
Gdy użytkownicy użyczają aktywa na bZx, otrzymują iTokeny. Tokeny te zwiększają swoją wartość w miarę wzrostu wartości odpowiedniej puli pożyczkowej. Luka platformy pozwoliła hakerowi na emisję iTokenów bez pożyczania aktywów. W dniu 13 września napastnik dokonał wymiany niezabezpieczonych iTokenów na aktywa z puli bZx.
Hakerowi udało się wyprowadzić z bZx ponad 8 mln USD w różnych monetach. Jednak zespół projektu wytropił je i odzyskał. Po tym incydencie, bZx postanowił bardziej zadbać o bezpieczeństwo i wszedł we współpracę z firmą PeckShield.
6. Maker – 8 mln dolarów
Maker znalazł się w trudnej sytuacji po załamaniu się rynku w dniu 12 marca. Platforma zadłużyła się na ponad 8 mln dolarów, ponieważ niektóre z jej pożyczek zostały zlikwidowane za darmo.
Ponieważ Maker jest zdecentralizowany, nie może sprawdzić zdolności kredytowej swoich pożyczkobiorców. W związku z tym pożyczki na platformie są nadmiernie zabezpieczone. Oznacza to, że pożyczkobiorca musi dostarczyć aktywa warte więcej niż zaciągnięta pożyczka. Jeśli wartość zabezpieczenia spada poniżej pewnego progu, kredyt jest oznaczony jako niezabezpieczony. Likwidatorzy mogą wtedy wziąć udział w aukcji likwidacji pożyczki i otrzymać 13-procentową nagrodę.
Po załamaniu się rynku, ze względu na panikę, aktywność w blockchainie Ethereum gwałtownie wzrosła. Niska przepustowość sieci doprowadziła do przeciążeń, a wielu likwidatorów na Maker przestało pracować. W rezultacie kilka osób wygrało aukcję zupełnie za darmo.
Blocknative, blockchainowa firma kryminalistyczna, opublikowała później raport, w którym stwierdziła, że do przeciążeń przyczyniła się nie tylko panika użytkowników, ale także działalność botów.
1/14
— Blocknative | mempool.eth (@blocknative) July 22, 2020
Just published: “Evidence of Mempool Manipulation on Black Thursday: Hammerbots, Mempool Compression, and Spontaneous Stuck Transactions” https://t.co/koXjcbSaDK
⬇️
Boty zasypały sieć Ethereum śmieciowymi transakcjami, które powtarzalnie zastępowały istniejące transakcje, spowalniając innych likwidatorów i wykorzystując ograniczoną konkurencję.
7. Akropolis – 2 mln dolarów
Do momentu zhakowania w dniu 12 listopada, Akropolis udostępniał swoim użytkownikom wygodne pule, które automatycznie inwestowały środki użytkowników i generowały zyski. Gdy użytkownik zdeponował swoje środki w puli, otrzymywał w zamian tokeny własnościowe.
Pewien haker zauważył, że smart kontrakty Akropolis nie posiadały białej listy tokenów ERC-20, które można deponować w pulach. Aby wykorzystać tę lukę, haker stworzył fałszywy token ERC-20 i zaciągnął pożyczkę flash w wysokości 800 000 DAI na platformie pożyczkowo-handlowej dYdX. Dzięki zdeponowaniu fałszywych tokenów i prawdziwego DAI, haker zdołał uzyskać dwa razy więcej tokenów własnościowych niż normalnie. Koniec końców udało mu się wypłacić więcej środków niż teoretycznie miał możliwość.
Akropolis nie przyznał się do hacku od razu. Co więcej, smart kontrakty platformy jeszcze przed hackiem zostały poddane audytowi przez dwie firmy zajmujące się bezpieczeństwem blockchaina.
W momencie pisania tego artykułu pule stablecoinów Akropolis są nadal zamrożone. Zespół w swoim oświadczeniu ogłosił, że cały czas szuka sposobów na zrekompensowanie strat.
8. PercentFinance – 1 milion dolarów
PercentFinance, platforma pożyczkowa, która jest forkiem wiodącej w branży firmy Compound, w dniu 4 listopada zamroziła aktywa o wartości 1 miliona dolarów. Zgodnie ze stanowiskiem zespołu, połowa środków należała do moderatorów projektu.
Users funds on our platform amounting to ~$1m are stuck in money market smart contracts
— Percent Finance (@PercentFinance) November 4, 2020
Reaching out to @WrappedBTC and @circlepay/@coinbase respective teams to help us make affected USDC/WBTC holders whole
Read Below:https://t.co/63Q1DlyqVv
Dlaczego więc firma zamroziła środki? Projekt odziedziczył lukę po starym smart kontrakcie Compound. Jeden z programistów zdecydował się na aktualizację smart kontraktów, jednak później okazało się, że nie da się przypisać transakcji do nowych kontraktów. W związku z tym PercentFinance stracił milion dolarów.
Zespół ma teraz nadzieję, że emitenci zablokowanych funduszy (m.in. USDC oraz WBTC) umieszczą adresy z zablokowanymi środkami na czarnej liście oraz wyemitują nowe tokeny dla użytkowników, którzy ucierpieli na skutek błędu.
9. YAM – 750 tys. dolarów
Zarządzany przez społeczność stablecoin YAM bardzo szybko zdołał zainteresować wielu inwestorów. Projekt ten po uruchomieniu w dniu 11 sierpnia, zdołał przyciągnąć setki milionów dolarów w zaledwie ciągu kilku godzin. Kilka dni później upadł z powodu krytycznego błędu w bazie danych.
YAM to zmodyfikowany klon projektu Ampleforth (AMPL) – stablecoina z dynamiczną podażą. W zależności od popytu, YAM i Ampleforth może zwiększyć lub zmniejszyć całkowitą podaż, aby utrzymać cenę 1 dolara. Podaż jest zmieniana poprzez wywołanie specjalnej funkcji “rebase”.
Zespół chciał wykorzystać YAM w zarządzaniu projektem, ale funkcja “rebase” wyemitowała za dużo tokenów YAM, które należały do zespołu. To z kolei osłabiło siłę zarządzania posiadaczy YAM. Ostatecznie funkcja zarządzania projektem przez posiadaczy YAM stała się bezużyteczna.
Zespół próbował naprawić błąd, inicjując głosowanie, które miało zatrzymać rebasing aż do czasu aktualizacji kontraktu. Inicjatywa ta nie powiodła się pomimo wysokiej frekwencji głosujących.
Kluczową różnicą pomiędzy YAM a Ampleforth jest to, że YAM, kiedy rosła podaż, automatycznie kupował tokeny yCRV. W momencie, kiedy zespół zorientował się, że nie da się już uratować projektu, w skarbcu zostały zablokowane tokeny yCRV warte 750 000 dolarów.
Zespół nie poddał się i ostatecznie usprawnił moduł zarządzania projektem. Posiadacze YAM mogli przenieść się do niego za pomocą tymczasowego smart kontraktu.
10. Uniswap – 530 tys. dolarów
Przeprowadzone na Uniswapie IDO (Initial Decentralized Exchange Offering) protokołu bZx wykazało niedoskonałości takiej metody finansowania.
Podczas IDO użytkownicy wysyłają pieniądze bezpośrednio do zespołu, a cena aktywa rośnie w zależności od ilości kupowanych tokenów. Ze względu na aktywność botów, zaledwie minutę przed rozpoczęciem IDO tokena BZRX, jego cena wzrosła 12-krotnie. Boty składały zlecenia kupna w tym samym bloku, który wyznaczał początek IDO.
Oprócz robienia zakupów, boty spamowały sieć w taki sposób, aby użytkownicy nie mogli dokonywać transakcji.
How someone made a million dollar in 30 min?
— Roman Storm (@rstormsf) July 13, 2020
1. Wait for BZRX news for uniswap listing.
2. Write a smart contract that buys token on Uniswap
3. Spam eth network to others can’t get in with failed txs
Kiedy w końcu innym użytkownikom udało się dokonać zakupów, cena była już bardzo wysoka, a właściciele botów czerpali ogromne zyski. Jeden z pierwszych kupujących zarobił 500 000 dolarów.
Choć incydent ten nie był hakiem, to jednak wzbudził obawy co do rentowności i uczciwości takiego modelu finansowania.
Podsumowanie
Zdecentralizowane finanse dają ogromne możliwości, jednak nakładają też wielką odpowiedzialność na ich użytkowników. Każdy, kto ma do czynienia z protokołami DeFi i generalnie kryptowalutami, powinien zawsze być czujny i świadomy swoich działań. Żaden kod nie jest bezbłędny, a portfel każdego użytkownika jest potencjalnym celem hakerów.
Podczas swojej krótkiej, jednak bogatej historii, DeFi wielokrotnie wykazywało swoje luki lub padało ofiarą hakerów, a w niektórych przypadkach prowadziło to nawet do upadku projektu. W miarę rozwoju tej kryptowalutowej niszy z całą pewnością będzie pojawiać się jeszcze więcej tego typu incydentów. W związku z tym użytkownicy DeFi powinni być świadomi ryzyka oraz zachować odpowiedni poziom bezpieczeństwa.
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.