DeFi Attacks & Exploits все самые крупнейшие кражи криптовалют начиная с 2021 до 2022 года

В этой статье мы поведаем вам о самых дерзких и крупнейших кражах криптовалют связанные с платформой DeFi. В 2021 году у хакеров был большой год, когда они украли криптовалюту на сумму 3,2 миллиарда долларов. Но в 2022 году сумма краж криптовалют достигла исторического максимума. За первые три месяца этого года хакеры украли 1,3 миллиарда долларов с бирж, платформ и частных лиц, и соответственно непропорционально много жертв приходится на платформу DeFi.

DeFi — это финансовые инструменты в виде сервисов и приложений, созданных на блокчейне. Главная задача децентрализованных финансов — стать альтернативой банковскому сектору и заменить традиционные технологии нынешней финансовой системы протоколами с открытым исходным кодом. То есть открыть большому количеству людей доступ к децентрализованному кредитованию и новым инвестиционным платформам, а также позволить им получать пассивный доход от криптовалютных активов.

Почти 97% всей криптовалюты, украденной за первые три месяца 2022 года, было взято из протоколов DeFi, по сравнению с 72% в 2021 году и всего 30% в 2020 году.

Эксплойты кода становятся все более распространенным вектором атак, но нарушения безопасности никуда не денутся. В прошлом взломы криптовалют в основном были результатом нарушений безопасности, когда хакеры получали доступ к закрытым ключам жертв — криптоэквивалент карманных краж. Однако, в частности, для протоколов DeFi самые крупные кражи обычно происходят из-за ошибочного кода. “Code exploits” и “flash loan attacks” — тип эксплойта кода, связанный с манипулированием ценами на криптовалюту, — составляют большую часть стоимости.

Большая часть существующих DeFi создана на блокчейне Ethereum, и количество новых приложений в сфере децентрализованных финансов неуклонно растет. DeFi используют различные технологии, разработанные в сфере блокчейна. Все они находят применение за пределами децентрализованных финансов, но играют важную роль в экосистеме DeFi. В первую очередь проекты DeFi — это блокчейны, распределенные реестры для записи транзакций. В настоящее время большинство сервисов DeFi работают в сети Ethereum из-за ее возможностей и популярности среди разработчиков. Однако активность DeFi также растет и в других блокчейнах. Далее идут цифровые активы, то есть DeFi токены, представляющие ценность, которую можно продать или передать в сети блокчейна. «Биткоин и другие криптовалюты были первыми цифровыми активами на основе блокчейна.

Эксплойты кода возникают по ряду причин. Во-первых, в соответствии с верой DeFi в децентрализацию и прозрачность, разработка с открытым исходным кодом является основным продуктом приложений DeFi. Это важная и в целом положительная тенденция: поскольку протоколы DeFi перемещают средства без вмешательства человека, пользователи должны иметь возможность проверять базовый код, чтобы доверять протоколу. Но это выгодно и киберпреступникам, которые могут анализировать сценарии на наличие уязвимостей и заранее планировать эксплойты.

Последний крипто-взлом может быть самым крупным.

Сеть Ronin, ориентированная на игры, объявила во вторник об убытках в размере более 625 миллионов долларов США в долларах США и эфире (ETH).

Согласно сообщению в блоге, опубликованному официальным Substack сети Ronin , эксплойт затронул узлы-валидаторы Ronin для Sky Mavis, издателей популярной игры Axie Infinity, и Axie DAO

(30 марта, 13:23 UTC): Ronin Hacker вряд ли сможет обналичить добычу «размером с ВВП», считают эксперты

Как видно из Etherscan, злоумышленник «использовал взломанные закрытые ключи для фальшивых выводов средств» с моста Ronin через две транзакции .

В то время как сайдчейн Ronin имеет девять валидаторов, требующих пять подписей для вывода средств, и предназначен для защиты от этих типов атак, в сообщении в блоге отмечается, что «злоумышленник нашел бэкдор через наш безгазовый RPC-узел, которым они злоупотребили, чтобы получить подпись для валидатор Axie DAO».

Сообщение в блоге оценивает убытки в 173 600 эфиров и 25,5 миллионов долларов США, что в настоящее время превышает 625 миллионов долларов.

Еще в августе 2021 года хакер скрылся с 611 миллионами долларов, используя протокол межсетевого децентрализованного финансирования (DeFi) Poly Network . Подавляющее большинство средств было возвращено .

Адрес Ethereum злоумышленника Ronin — это новый адрес, по которому неделю назад был переведен ETH с биржи Binance. Записи Etherscan показывают, что атака произошла в прошлую среду.

Большая часть средств остается на адресе злоумышленника, хотя 6 250 ETH были переведены на другие адреса.

Работа Ronin Bridge и автоматизированного маркет-мейкера Katana (AMM) приостановлены на время проведения расследования.

«Мы работаем напрямую с различными государственными органами, чтобы преступники предстали перед правосудием», — отмечается в блоге.

По данным CoinGecko, цена RON , нативного токена сети Ronin, упала на 27% на новостях.

10 августа 2021 года до сих пор неизвестный злоумышленник украл криптовалюту на сумму 612 миллионов долларов из межсетевого протокола DeFi Poly Network, что сделало это крупнейшей кражей из протокола DeFi. Но по невероятному стечению обстоятельств злоумышленник, похоже, через день возвращает средства Poly Network.

Злоумышленник совершил ограбление, воспользовавшись эксплойтом в смарт-контрактах, которые Poly Network использует для выполнения транзакций между цепочками. Программист Ethereum Кельвин Фихтер написал в Твиттере подробный отчет о том, как именно работал эксплойт, если вы хотите узнать больше . Злоумышленник похитил средства в следующих криптовалютах:

cryptocurrencies:

Ниже мы поделимся некоторыми заметками о том, как была проведена атака, сколько злоумышленник уже вернул в Poly Network, а также о текущих балансах адресов злоумышленников.

Мы обнаружили несколько интересных фактов, анализируя первоначальные перемещения украденных средств злоумышленником. Посмотрите приведенный ниже график Chainalysis Reactor , на котором показано, что адрес злоумышленника 1 получил 2 857,59 ETH на сумму 274 461 628,15 долларов США от Poly Network в ходе первоначальной кражи.

Мы видим, что накануне злоумышленник снял с Hoo.com 0,47 ETH, которые использовались для оплаты комиссий за газ по транзакциям, связанным со взломом. Кроме того, злоумышленник, по-видимому, отправил 13,37 ETH пользователю, известному как Hanashiro.eth, который отправил злоумышленнику транзакцию Ether с сообщением , предупреждающим их о том, что USDT, украденные у Poly Network, заморожены.

Судя по всему, злоумышленник Poly Network готов платить хорошие деньги за достоверную информацию.

Злоумышленник также украл 673 227 DAI и 96 389 444 USDC у Poly Network. Злоумышленник отправил полные суммы обоих в протокол Curve DeFi, чтобы отчеканить 95 269 796 токенов 3CRV. В течение часа злоумышленник сжег эти токены 3CRV, чтобы получить 96 942 061 DAI.

Мы подозреваем, что цель злоумышленника состояла в том, чтобы обменять свои запасы централизованной стабильной монеты USDC на децентрализованную, такую как DAI, чтобы уменьшить вероятность замораживания средств.

Удивительно, но сейчас злоумышленник, похоже, находится в процессе возврата украденных средств в Poly Network по их запросу . С 11 августа они начали отправлять средства обратно на три адреса Poly Network:

По состоянию на 12:45 по восточному времени 12 августа злоумышленник вернул все украденные средства, за исключением замороженных 33,4 млн долларов США. Всего злоумышленник вернул криптовалюту на сумму 578,6 млн долларов из первоначально украденных 612 млн долларов.

Во время этого процесса злоумышленник связался с Poly Network через примечание о транзакции эфира , заявив о своем намерении начать с возврата альткойнов и спросив, можно ли разблокировать их украденный USDT в обмен на возврат украденного USDC.

Возможно, это уловка, чтобы скрыться с неукраденными USDT, но пока ничто не указывает на то, что злоумышленник не будет продолжать возвращать украденные средства.

Ранее хакер также попросил Poly Network создать для него кошелек с мультиподписью, чтобы он мог продолжать возвращать средства, и попросил Poly начать отправку возвращенных на данный момент средств пострадавшим пользователям.

По состоянию на 10:00 по восточному времени 11 августа 2021 года на трех адресах злоумышленников находятся следующие балансы:

Адрес злоумышленника 1: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 .

Адрес злоумышленника 2: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 .

Адрес злоумышленника 3: 0x5dc3603C9D42Ff184153a8a9094a73d461663214 .

Фирма Slowmist, занимающаяся безопасностью криптовалют , утверждает , что идентифицировала почтовый ящик, IP-адрес и отпечатки пальцев устройства злоумышленника, предполагая, что они могут быть близки к их идентификации, но на данный момент у нас нет информации, подтверждающей это. Со своей стороны, злоумышленник отвергает возможность быть идентифицированным в вопросах и ответах , которые они проводят с помощью заметок о транзакциях Ether, где они также объясняют некоторые из своих мотивов для взлома Poly Network.

Взлом Poly Network и последующий возврат средств показывают, что осуществлять крупномасштабную кражу криптовалюты становится все труднее. Это может показаться нелогичным, учитывая, что эта кража на 600 миллионов долларов представляет собой крупнейший взлом DeFi за все время, и что быстрорастущая экосистема DeFi уникально уязвима для взломов. Тем не менее, кража криптовалюты сложнее, чем кража фиатных средств. Отчасти это связано с присущей блокчейнам прозрачностью. В то время как фиатная валюта, полученная преступным путем, может быть перемещена через теневые банковские счета, а власти полагаются на повестки в суд и сотрудничество финансовых учреждений, чтобы отследить ее путь, любой человек в мире может просматривать криптовалютные транзакции, совершенные в общедоступных блокчейнах.

Растущее активное криптовалютное сообщество постоянно повышает прозрачность криптовалют. Через несколько минут после взлома крипто-твиттер заполнился обновлениями от бесчисленных отраслевых операторов, репортеров и анонимных сыщиков, отслеживающих движение средств злоумышленника. Для злоумышленника было бы практически невозможно перевести средства куда-либо без того, чтобы кто-то не транслировал их. Это рисует многообещающую картину для будущих ответов на взлом криптовалюты. С присущей блокчейнам прозрачностью и пристальным вниманием всей индустрии, как любой хакер криптовалюты может рассчитывать на побег с большим кэшем украденных средств? В большинстве случаев лучшее, на что они могли надеяться, — это избежать захвата, поскольку средства заморожены в частном кошельке, занесенном в черный список.

Хотя мы, конечно, не ожидаем, что каждый взлом криптовалюты будет заканчиваться тем, что злоумышленник вернет украденные средства, в этом случае, похоже, Poly Network вернет свои деньги, а также узнала о важной уязвимости, которую ее команда теперь может исправить. В конечном счете, экосистема будет сильнее для этого. Все адреса, связанные со взломом Poly Network, теперь помечены в наших продуктах. Мы продолжим отслеживать движение украденных средств и сообщать обо всех существенных изменениях.

Новости о том, что протокол Wormhole был скомпрометирован, поступили 3 февраля, когда члены криптосообщества предупредили своих коллег в социальных сетях о том, что с моста было слито значительное количество ETH.

Спустя несколько часов платформа подтвердила, что атака имела место и был использован кросс-цепочный мост Ethereum-Solana.«Сеть червоточины была использована для получения 120 000 wETH», — говорится в объявлении в Twitter-аккаунте Wormhole. Далее фирма добавила, что «ETH будет добавлен в течение следующих часов, чтобы обеспечить поддержку wETH 1:1», но не объяснила, откуда будут получены дополнительные средства.

Генеральный директор BitMart подтвердил то, что компания называет «нарушением безопасности».

Последний взлом централизованной биржи может быть одним из самых разрушительных на сегодняшний день, поскольку BitMart потерял 196 миллионов долларов в различных криптовалютах.

Твит аналитической компании PeckShield впервые привлек внимание к предполагаемому взлому в субботу вечером. Один из адресов BitMart в настоящее время демонстрирует постоянный отток всего баланса токенов, некоторые из которых стоят десятки миллионов долларов, на адрес, который в настоящее время Etherscan помечает как «BitMart Hacker».

В последующем твите PeckShield оценил убытки в 100 миллионов долларов в различных криптовалютах на блокчейне Ethereum и 96 миллионов долларов в Binance Smart Chain.

Хакер систематически использовал агрегатор децентрализованной биржи (DEX) 1inch для обмена украденных активов на эфир криптовалюты (ETH) и использовал вторичный адрес для внесения ETH в микшер конфиденциальности Tornado Cash , что затрудняло отслеживание взломанных средств.

В официальном Telegram-канале представители BitMart первоначально заявили, что оттоки были обычными выводами средств, назвав сообщения о взломе «фейковыми новостями».

Однако через несколько часов генеральный директор BitMart Шелдон Ся подтвердил, что отток средств действительно был взломом в результате «нарушения безопасности».

Убытки в размере 196 миллионов долларов делают это одним из самых разрушительных взломов централизованных бирж на сегодняшний день.

2 декабря 2021 года произошла серия несанкционированных транзакций , в результате которых пользователи Badger потеряли средства. После эксплойта инженеры Badger работали с фирмой по кибербезопасности Mandiant для расследования инцидента и подготовили следующий первоначальный отчет.

В настоящее время Бэджер считает, что, как сообщалось публично, инцидент с фишингом, произошедший 2 декабря 2021 года, был результатом злонамеренно внедренного фрагмента, предоставленного Cloudflare Workers. Cloudflare Workers — это интерфейс для запуска скриптов, которые работают с веб-трафиком и изменяют его, когда он проходит через прокси-серверы Cloudflare. Злоумышленник развернул рабочий скрипт с помощью скомпрометированного ключа API, который был создан без ведома и разрешения инженеров Badger. Злоумышленники использовали этот доступ к API для периодического внедрения вредоносного кода в приложение Badger таким образом, что это затронуло только подмножество пользовательской базы.

Badger ценит терпение нашего сообщества, пока мы выясняем, как сбалансировать нашу приверженность прозрачности с тем фактом, что это все еще продолжается расследование с быстро меняющейся информацией. В настоящее время мы делимся следующей последовательностью событий, чтобы помочь защитить наше сообщество и помочь другим, которые могут подвергнуться аналогичным нападениям.

Поскольку этот эксплойт задействовал векторы Web 2, которые необычны для атак DeFi, мы предоставим краткую вскрытие произошедших событий Web 2 и полное вскрытие Web 3, соответствующее стандартам отчетности в DeFi.

Badger предоставляет следующую информацию, чтобы помочь другим людям идентифицировать подобный взлом Web2.

Вот как выглядят наши журналы аудита Cloudflare для одной из взломанных учетных записей:

Самые ранние имеющиеся в настоящее время доказательства того, что злоумышленник пытался завладеть учетной записью, относятся к 20 августа 2021 года.

Судя по ответам на форуме Cloudflare, уязвимость была устранена примерно 29 сентября.Вот как выглядело приложение Badger с внедренным кодом:

Архивная версия приложения Badger с внедренным кодом

В настоящее время Badger редактирует вредоносные сценарии из сводки ниже, пока продолжается расследование.

10 ноября 2021 года вот первый пример вредоносной активности.

Около 2:05 утра по всемирному координированному времени 2 декабря 2021 года Badger был предупрежден о подозрительной активности на платформе. Атака была замечена членом сообщества, когда из хранилища Yearn wBTC было удалено около 900 BTC .

После быстрого расследования вопрос был отмечен как высокоприоритетный и срочный. В 3:14 утра по всемирному координированному времени Badger начал приостанавливать все контракты на хранилища и стратегии.

В соответствии с BIP -33 адреса, утвержденные в опекунском договоре , имеют возможность приостанавливать договоры. Функция приостановки этих контрактов работает таким образом, что блокирует любой депозит, вывод средств, перевод в хранилища ERC20, вывод средств из стратегий и любую чеканку/выкуп ibBTC до тех пор, пока для них не будет вызвана функция возобновления паузы. Возобновление паузы ограничено мультиподписью Dev Multisig, для чего требуется одобрение руководства. Восемь старых стратегий и одно хранилище также требуют временной блокировки для возобновления паузы.

Большинство контрактов были приостановлены к 3:30 утра по всемирному координированному времени. Некоторые старые хранилища (а именно bcrvRenBTC, bcrvSBTC, bcrvTBTC, bBADGER, bharvestcrvRenBTC и buniWbtcBadger) не имеют функции паузы в контракте хранилища. Тем не менее их стратегии были приостановлены, чтобы предотвратить вывод средств. В то время инженеры Badger не могли получить доступ к учетной записи хранителя стратегий bBADGER, bharvestcrvRenBTC и buniWbtcBadger. Дальнейшее расследование показало, что стратег, который помог придумать эту идею смарт-контракта, также имел возможности приостановки, и в конечном итоге приостановившие стратегии смогли приостановить стратегии с помощью учетной записи стратега.

Список всех приостановленных txs можно найти здесь . Как только хранилища были поставлены на паузу, вызовы transferFrom у эксплуататора начали сбоить.

На приведенных ниже графиках показано движение жетонов Badger Sett, останавливающееся после паузы. (Примечание: ось Y показывает исходное количество токенов Badger Sett)

Все Setts, кроме bBADGER, bharvestcrvRenBTC и buniWbtcBadger:

Ниже представлен график, демонстрирующий движение всех токенов Badger Sett, в том числе и опоздавших на паузу.

Стоит отметить, что последнее злонамеренное изъятие из незакрытых хранилищ произошло в 4:57 утра по всемирному координированному времени. Все выводы, которые происходили после этого и до приостановки последней стратегии, производились обычными пользователями.

Также стоит упомянуть, что злоумышленник смог скомпрометировать токены, отличные от Sett, такие как BADGER, wBTC, CVX и cvxCRV, и смог их ликвидировать после того, как Badger ввел паузы.

Через вторжение Web2 злоумышленник смог получить одобрение токена ERC20 от пользователей Badger через пользовательский интерфейс. Хакер обманом заставлял пользователей подписывать вызовы токена утверждения или увеличения разрешений, позволяя основной учетной записи эксплуататора EOA (0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107) тратить средства.

После фишингового ряда одобрений учетная запись финансирования отправила 8 ETH на учетную запись эксплуататора, чтобы запустить серию вызовов TransferFrom для утвержденных токенов пользователей. Это позволило злоумышленнику перевести средства от имени пользователей на другие счета, которые затем ликвидировали средства и вышли через мост Badger Bridge в BTC.

Badger активно отслеживает все средства, связанные с инцидентом, и соответствующая информация доступна ниже:

Адреса назначения:

Влияние по базовым активам:

Примечание. Ориентировочные цены в долларах США основаны на фиксированных ценах, взятых с момента запуска скрипта сбора (2 декабря 2021 г.). Их следует воспринимать как указание, а не как абсолют. Подробную разбивку токенов можно найти здесь .

В учетной записи Badger Cloudflare был обновлен пароль, изменен MFA, а все ключи API либо удалены, либо обновлены, где это возможно.

Badger подтвердил, что эксплойт был исправлен на стороне Cloudflare. Новым учетным записям больше не разрешается просматривать ключи API, пока адрес электронной почты не будет подтвержден.

В настоящее время Badger оценивает и работает над планом реализации следующих потенциальных идей по улучшению:

Хотя отчет является предварительным и не включает в себя всю информацию из своего расследования, Badger был бы более чем рад обсудить некоторые дополнительные выводы и поделиться дополнительной информацией с сообществом DeFi и Infosec, насколько это возможно, учитывая продолжающееся расследование.

По словам генерального директора, взлом мог быть делом рук одного из сотрудников BXH.

Взлом Boy X Highspeed (BXH), децентрализованной межсетевой биржи, который истощил 139 миллионов долларов, вероятно, был результатом утечки ключа администратора и, возможно, внутренней работы, сказал CoinDesk генеральный директор Нео Ван.

Хакеры украли криптовалютные активы на сумму около 130 миллионов долларов из Cream Finance, платформы децентрализованного финансирования (DeFi), которая позволяет пользователям давать кредиты и спекулировать на колебаниях цен на криптовалюту.

Инцидент, обнаруженный ранее сегодня фирмами по безопасности блокчейна PeckShield и SlowMist , был подтвержден командой Cream Finance ранее сегодня.

Злоумышленники, как полагают, обнаружили уязвимость в кредитной системе платформы, называемую флэш-кредитованием, и использовали ее для кражи всех активов и токенов Cream, работающих на блокчейне Ethereum, согласно данным компании BlockSec, занимающейся безопасностью блокчейна, которая также опубликовала объяснение уязвимость безопасности в Твиттере ранее сегодня.

Примерно через шесть часов после атаки Cream Finance заявила, что исправила ошибку, использованную при взломе, с помощью криптовалютной платформы Yearn.

Даже если первоначальный кошелек злоумышленника, использовавшийся для кражи крупной суммы средств, был идентифицирован , средства уже были перемещены на новые счета, и существует небольшая вероятность того, что украденную криптовалюту можно будет отследить и вернуть в хранилище. Платформа.

Сегодняшний взлом знаменует собой третий случай взлома Cream Finance в этом году после того, как компания потеряла 37 миллионов долларов в феврале и еще 29 миллионов долларов в августе .

Все атаки были эксплойтами для флэш-кредитов, что является распространенным способом взлома большинства платформ DeFi за последние два года.

Взломы, связанные с DeFi, составили 76% всех крупных взломов в 2021 году, и пользователи потеряли более 474 миллионов долларов в результате атак на платформы DeFi в этом году, говорится в отчете CipherTrace за август .

Точно так же взломы DeFi также составили 21% всех взломов криптовалюты и кражи средств в 2020 году после того, как годом ранее, в 2019 году, их почти не существовало, говорится в том же отчете CipherTrace в прошлом году .

Ограбление Cream также стало вторым по величине взломом криптовалюты в этом году после того, как в августе платформа DeFi Poly Network потеряла 600 миллионов долларов . Однако человек, стоящий за взломом Poly, через две недели вернул все украденные средства , пообещав, что компания не будет предъявлять обвинения.

Цены на токены PYR упали на 34% до 21 доллара в понедельник после новостей о взломе.

Платформа NFT Vulcan Forged заявила во вторник, что вернула токены PYR на сумму 140 миллионов долларов почти всем инвесторам через день после взлома платформы.

Эта статья создана благодаря исследованиям “Chainalysis”, предоставленных в Отчете о криптопреступлениях за 2021 - 2022 годы. Наше личное наблюдение дает понять что нужен в целом более строгий подход к безопасности для всех платформ “DeFi”, так как заблокированные средства достигли критической отметки, до более высокого исторического максимума — 256 миллиардов долларов США.

GitHub

Telegram: https://t.me/cryptodeeptech

Видеоматериал: https://youtu.be/2bt71AB2Amw

Источник: https://cryptodeep.ru/defi-attacks