Cointelegraph Consulting: Пересчет крупнейших инцидентов взлома DeFi в 2021 году

Compound Finance - лишь одна из последних жертв хакерских инцидентов DeFi в 2021 году. 30 сентября ошибка с ошибочным распределением токенов в Предложении 062 выявила недостаток, в результате которого пользователям были неправильно распределены лишние токены COMP на сумму 70–85 миллионов долларов.

Тем не менее, несколько дней спустя дополнительные 65 миллионов долларов были помещены в уязвимое хранилище, в результате чего как минимум 150 миллионов долларов в токенах COMP оказались под угрозой. Но, хотя Compound смог исправить всю ситуацию, он показывает, насколько уязвимым может быть сектор децентрализованных финансов (DeFi) из-за своего зарождения.

В прошлом году общая заблокированная стоимость (TVL) в DeFi составляла всего 5% от того, что сейчас стоит 255 миллиардов долларов. Это изменение означает взрывной рост на 1686%. Даже после провала Compound и совсем недавно с децентрализованной торговой платформой BXH, которая вытянула 139 миллионов долларов из атаки из-за утечки ключа администратора, TVL фактически увеличился за последний месяц, поднявшись на 14,27%.

Одна из причин, по которой инвесторы устремились к протоколам DeFi, - это поиск более высоких доходов. Низкие процентные ставки 2020 года, при которых не было четкой основы для повышения, заставили инвесторов искать другие возможности для размещения своих денег. Привязка криптоактивов к протоколам DeFi и обеспечение ликвидности для таких услуг стало привлекательным вариантом, поскольку он предлагает более привлекательную прибыль. За этим последовал бум урожайности в 2020 году, который преобладал до этого года.

Подсчет инцидентов

Растущая популярность DeFi - это палка о двух концах для молодого сектора и всего криптовалютного пространства в целом. По данным китайской компании по кибербезопасности Slow Mist, с 2012 года произошло 534 инцидента взлома блокчейнов, при этом только в 2021 году произойдет 169 событий. Взломы становятся все изощреннее и нацелены на различные области пространства.

Тем не менее, самый крупный взлом произошел в 2021 году и был осуществлен неизвестным хакером по кросс-чейн протоколу Poly Network. В результате были украдены токены на сумму, эквивалентную 610 миллионам долларов, что превосходит MtGox и Coincheck. В результате атаки было получено около 273 миллионов долларов из сети Ethereum, 85 миллионов долларов США в монетах (USDC) из сети Polygon и 253 миллиона долларов из Binance Smart Chain. Он также удалил значительное количество renBTC, обернутый биткойн (wBTC) и обернутый эфир (wETH).

Инцидент с Poly Network - один из многих случаев взлома DeFi в 2021 году. Poly Network удачно вернула все средства. С другой стороны, Cream Finance повезло меньше. Протокол децентрализованного кредитования вступает в силу в очень отдаленную секунду, и в результате проведенной им атаки - которая в этом году повторилась дважды - было уничтожено почти 150 миллионов долларов, и ее все еще пытаются восстановить. В целом общая сумма денег, потерянных из-за взлома блокчейна в этом году, составляет почти 7 миллиардов долларов, что на 2,5 миллиарда долларов больше, чем в прошлом году.

Звонки на аудит

Poly Network, Compound и Cream Finance вошли в тройку лидеров по количеству затронутых фондов (на общую сумму 906 миллионов долларов). Как и Cream Finance, существуют и другие известные протоколы, в которых эксплойты применялись более одного раза в течение одного года, например Thorchain и Value DeFi.

Кроме того, хотя и незначительно (1,5 миллиона долларов), в отличие от затронутых средств остальных жертв, Merlin Labs, оптимизатор доходности, построенный на BSC, подвергся атаке трижды - сначала дважды на той же неделе и еще раз через месяц. Более того, что удивительно, это было проверено Хакеном за 11 дней до атаки.

Эксперты по безопасности рекомендуют смарт-контракт пройти аудит, обычно через независимых аудиторов. Аудит может помочь обнаружить и, возможно, исправить интеллектуальные уязвимости в коде и проверить надежность взаимодействия смарт-контрактов.

Генеральный директор Kava Labs Брайан Керр сказал Cointelegraph в мае 2020 года о том, насколько это важно для всех, кто хочет использовать протокол DeFi для первой проверки аудитов и партнерских обзоров. Но даже в этом случае он предупреждает о связанных технических и рыночных рисках, поскольку сектор, опять же, все еще новый.

Загрузите 34-й выпуск двухнедельного информационного бюллетеня Cointelegraph Consulting полностью, вместе с графиками и рыночными сигналами, а также новостями и обзорами мероприятий по сбору средств.

Среди проектов, которые стали жертвами атак в этом году, только около 15 протоколов DeFi были проверены из 40 затронутых. Но стоит отметить, что затронутые средства на проверенные протоколы были значительно меньше, чем те, которые не проверялись. Для каждой аудируемой компании сумма убытка была почти на 60% меньше, чем у неаудированной. В целом, 20,3% затронутых средств во всех протоколах, взломанных в этом году, были получены из проверенных протоколов, а 79,67%, или около 1,3 миллиарда долларов США, были получены от тех, которые не были проверены.

Четыре основных причины взлома протоколов DeFi включают ошибки кодирования, некомпетентность разработчиков, неправильное использование сторонних протоколов и ошибки бизнес-логики. Наиболее распространенным из них и, возможно, наиболее опасным является некомпетентность разработчика, которая также является прямым следствием ошибок кодирования. Недостаточно квалифицированные разработчики, спешащие запустить проект без тщательной сторонней проверки, могут быть более уязвимы для эксплойтов.

Это причина того, что в отрасли постоянно предпринимаются дополнительные меры по улучшению протоколов безопасности. Аудиты, особенно аудит безопасности смарт-контрактов и вторичный аудит, - это всего лишь два способа добиться этого. Как сказал Керр, техническая осмотрительность инвесторов также необходима при тщательном изучении протокола DeFi перед инвестированием.

Тем не менее, свет в конце туннеля говорит о том, что эти взломы могут иметь важное значение для продвижения сектора DeFi. Главный финансовый аналитик CipherTrace Джон Джеффрис сказал Cointelegraph еще в августе, что такие преступления вызовут ускорение принятия процедуры «знай своего клиента», или KYC, особенно с децентрализованными биржами, или DEX, которые могут иметь решающее значение для получения разрешения регулирующих органов.

По мере развития DeFi, особенно с появлением блокчейнов первого уровня, конкурирующих с Ethereum, хакерские события в последнее время, возможно, являются лишь верхушкой айсберга, а плохо спроектированные и не прошедшие аудит протоколы могут создать массу проблем.

Информационный бюллетень Market Insights от Cointelegraph делится нашими знаниями об основах, которые движут рынком цифровых активов. Информационный бюллетень содержит самые свежие данные о настроениях в социальных сетях, сетевых показателях и производных финансовых инструментах.

Мы также рассматриваем самые важные новости отрасли, включая слияния и поглощения, изменения в нормативно-правовой базе и интеграции корпоративных блокчейнов. Зарегистрируйтесь сейчас, чтобы первыми получить эту информацию. Все предыдущие выпуски Market Insights также доступны на Cointelegraph.com.