Sapien Wallet дайджест: почему количество атак на DeFi проекты растет?

Количество заблокированных денег в DeFi растет экспоненциально и недавно превышало $100 000 000 000, по данным DeFiPulse. Очевидно, что быстрорастущий рынок также привлекает большое внимание хакеров, желающих попытать счастья и заработать немного легких денег. И, к сожалению, сегодня существует множество примеров атак на протоколы, которые происходят в основном из-за пренебрежения безопасностью со стороны владельцев проектов DeFi. Давайте рассмотрим несколько заметных взломов.

Ошибки в коде - это привлекательные лазейки для выкачивания денег из пулов ликвидности. Часто такие уязвимости возникают из-за желания проекта как можно быстрее выйти на рынок, чтобы воспользоваться растущим спросом, не пройдя хотя бы первоначальный надлежащий аудит безопасности. Хорошим примером этого фактора стал взлом dForce. Одна из атак Reentrancy была осуществлена с использованием протокола dForce и привела к потере $25 000 000.

В отличие от dForce, Harvest пострадал благодаря уязвимости в смарт-контракте, которая конкретно проявилась в отсутствии модерации арбитражных функций.

Хакер обнаружил уязвимость в арбитражной функции и смог получить $50 000 000 на Uniswap v2, используя опцию флеш-кредита. Для осуществления атаки он манипулировал ценами стейблкоина через протокол Curve.fi.

Один из самых серьезных взломов DeFi произошел с EasyFi, кредитным протоколом на базе Polygon. В ходе взлома были украдены закрытые ключи сетевого администратора, что дало злоумышленникам доступ к средствам компании. Было украдено 3 000 000 токенов EASY на сумму $75 000 000. Также еще было похищено $6 000 000 в стейблкоинах.

Тенденция роста хакерских атак на DeFi-платформы связана с возможностью сохранения анонимности при атаках на децентрализованные финансовые платформы.

Разница между децентрализованными и централизованными проектами заключается в том, что децентрализованные проекты не имеют единоличного контроля какого-либо физического или юридического лица, от которого финансовые регуляторы и правоохранительные органы могли бы потребовать соблюдения определенных законов или распоряжений.

При этом пользователи децентрализованных финансовых сервисов не обязаны раскрывать какие-либо личные данные. Это позволяет хакерам ощущать свою безнаказанность даже при безуспешных попытках похитить средства.

В сочетании со значительно возросшим уровнем ликвидности в децентрализованных финансах все это привлекает хакеров.

Тот факт, что государственные органы не контролируют DeFi, привлекает на растущий рынок не только мошенников, но и новых создателей проектов, ведь уровень ответственности перед инвесторами гораздо ниже. По сути, основатели ничем не рискуют, кроме своей репутации. И чем популярнее DeFi, тем шире становится круг претендентов на долю в нем. В то же время средний уровень компетенции среди проектных команд будет падать, поскольку новички не обладают необходимой экспертизой.

Нередко новые проекты опираются на существующую технологическую базу, созданную другими. Иногда она адаптируется под некоторый измененный функционал нового проекта, при этом технический аудит не проводится. Это может привести к уязвимости вывода средств из проекта мошенническим путем, а точнее, способом, не предусмотренным его создателями. Также возможно, что в исходном коде есть уязвимость, которая может копироваться из проекта в проект, и однажды изобретательный хакер найдет ее.

Таким образом, отсутствие контроля над сферой со стороны государственных надзорных органов, анонимность и недостаточное внимание проектных команд к безопасности привлекают мошенников на рынок DeFi.

Я не рекомендую без причины оставлять средства в каком-либо DeFi проекте. Ведь всегда есть возможность, что его взломают хакеры. Лучше эти средства хранить в некастодиальном криптокошельке Sapien Wallet. Это удобное приложение, которое интегрируется с Telegram чатами и позволяет отправлять или получать крипту прямо в чате. Также у каждого участника есть свой рейтинг, который минимизирует риски быть обманутым.