По данным аналитической компании Chainalysis, объем криминальных криптовалютных транзакций в 2021 году достиг нового исторического максимума — 14 миллиардов долларов. Однако, несмотря на рост объема преступных переводов, его относительная доля в общем объеме криптовалютных транзакций в 2021 году была самой низкой за все время. Эта статистика показывает, что расширение криптовалютной сферы намного опережает киберпреступность, связанную с криптовалютами, а также показывает, что безопасность в отрасли также догоняет спрос.
Самые прибыльные кибератаки 2021 года
Несмотря на то, что в 2021 году в сфере криптовалюты произошло снижение доли объема транзакций, связанных с преступностью, было несколько случаев, которые вызвали недоумение. Здесь я пройдусь по некоторым из самых привлекательных из них.
1. Poly Network — 611 миллионов долларов.
Взлом Poly Network произошел 10 августа 2021 года и привел к краже цифровых активов на сумму около 611 миллионов долларов, украденных в трех блокчейнах: Ethereum, BSC и Polygon. Примечательной деталью было то, что хакер вернул всю украденную сумму, объяснив свой шаг попыткой указать на уязвимости в протоколе Poly Network, не преследующей цели получения прибыли.
Poly Network — это кроссчейн-сеть, которая позволяет пользователям выполнять кросс-чейн операции децентрализованным способом. Например, перевод средств из одного блокчейна в другой. Для этого в протоколе должен быть большой объем ликвидности. В Poly Network эта ликвидность контролируется специальными смарт-контрактами.
Использовались контракты EthCrossChainManager и EthCrossChainData. EthCrossChainData принадлежит EthCrossChainManager и хранит список открытых ключей, которые могут контролировать эту ликвидность (хранители).
Злоумышленник воспользовался уязвимостью в контракте EthCrossChainManager и смог обмануть его, чтобы заменить хранителей контракта на хранителей злоумышленника. Затем злоумышленник зашифровал ликвидность из протокола Poly Network, получив полный контроль над работой протокола.
2. Битмарт — 196 миллионов долларов.
4 декабря 2021 года централизованная биржа криптовалют Bitmart подверглась атаке, из ее горячего кошелька были украдены криптоактивы на сумму 200 миллионов долларов. Злоумышленники похитили приватные ключи к горячим кошелькам биржи.
Биржа Bitmart заявила, что потеряла 150 миллионов долларов, но компания Peckshield, занимающаяся кибербезопасностью блокчейна, позже выступила с заявлением о том, что 196 миллионов долларов были украдены из блокчейнов Ethereum и Binance Smart Chain в более чем 20 криптовалютах и токенах. Они также показали в графическом виде путь, по которому прошли украденные активы, за исключением конечного пункта назначения. Сначала злоумышленник обменял украденные активы на эфир с помощью агрегатора DEX 1inch, а затем смыл эфир с помощью микшера конфиденциальности Tornado Cash. После этого трассировка становится пустой.
Эта кибератака еще раз показала уязвимость хранения приватных ключей к нескольким адресам с огромными суммами на одном сервере. Это обнажило сразу все горячие кошельки биржи.
3. Cream Finance — 130 миллионов долларов.
Во время кибератаки Cream Finance, которая произошла в декабре 2021 года, хакер или два хакера использовали несколько протоколов — MakerDAO, Aave, Curve, Yearn.finance — для ограбления Cream Finance на сумму 130 миллионов долларов в виде токенов и криптовалют.
Улики предполагают, что нападавших могло быть двое, я так предполагаю. В атаке использовались два адреса: адрес A и адрес B. Первый адрес A одолжил DAI на 500 миллионов долларов от MakerDAO и, протащив эту ликвидность через Curve и Year.finance, использовал их для чеканки 500 миллионов cryUSD на Cream Finance. . В то же время адрес A увеличил ликвидность в yUSD Vault от Yearn.finance до 511 миллионов yUSDTVault.
Затем адрес B flash занял 2 миллиарда долларов в эфире у AAVE, отчеканил cEther на 2 миллиарда долларов, вложив заемные 2 миллиарда долларов в ETH в Cream. Затем адрес B использовал его, чтобы вывести 1 миллиард yUSD Vault, обменять их на 1 миллиард cryUSD и перевести на адрес A. Таким образом, адрес A получил 1,5 миллиарда cryUSD.
После этого адрес А купил у Curve 3 миллиона DUSD и обменял их все на yUSDVault, получив на свой баланс 503 миллиона yUSDVault. Затем адрес А выкупил 503 миллиона yUSDVault за базовый токен yUSD и довел общее количество yUSDVault до 8 миллионов.
Затем адрес А перевел 8 миллионов долларов США в хранилище Yearn.finance yUSD и удвоил стоимость хранилища. Благодаря этому PriceOracleProxy от Cream удвоил оценку cryUSD, поскольку он определяет цену cryUSD на основе (оценка yUSD Yearn Vault) / (общее предложение yUSDVault), то есть 16 миллионов долларов / 8 миллионов yUSDVault. Таким образом, Cream понял, что на адресе А было 3 миллиарда долларов в долларах США.
Эта ошибка в конечном итоге стоила Cream Finance. Хакеры смогли вернуть быстрый кредит с избыточной ликвидностью, которую они произвели, и прикарманить всю ликвидность (130 миллионов долларов), которая была заблокирована в Cream Finance, используя оставшийся у них 1 миллиард долларов в cryUSD.
Самые популярные виды атак в 2021 году
Говоря об атаках на смарт-контракты, наиболее популярным типом атаки была атака с использованием флэш-кредита, подобная описанной выше. По данным The Block Crypto, из 70 атак DeFi в 2021 году 34 использовали быстрые кредиты, причем декабрьское ограбление Cream Finance стало вершиной с точки зрения украденной суммы. Характерной чертой этих атак является использование нескольких протоколов. Сами по себе они могут быть безопасными, но когда дело доходит до их использования, могут быть обнаружены уязвимости.
Еще один тип атаки на смарт-контракты, который можно классифицировать как классическую атаку DeFi, — это атака с повторным входом. Атака с повторным входом может произойти, если функция, которая вызывает внешний контракт, не обновляет баланс адресов до того, как выполнит другой вызов этого контракта. В этом случае внешний контракт может выводить средства рекурсивно, потому что баланс адреса в целевом контракте не обновляется после каждого вывода. И эти рекурсивные вызовы могут продолжаться до тех пор, пока баланс контракта не будет исчерпан.
И третьим распространенным типом атак в 2021 году стали атаки на централизованные биржи путем кражи закрытого ключа к горячему кошельку бирж. Это очень старый способ кибератак в истории криптовалют, но он не стареет.
Как защитить свои средства в криптовалютном пространстве?
Когда дело доходит до средств отдельного пользователя, полезно провести комплексную проверку платформы, на которую вы хотите внести свои средства: загляните на сайт, загляните в социальные сети членов команды, загляните в Белую книгу. и технический аудит. Также хорошо будет использовать функционал в криптовалютных кошельках, позволяющий заносить в белый список контракты, которые регулярно использует пользователь, он есть в кошельке Metamask и в специализированных онлайн-сервисах для безопасного хранения криптовалюты Unrekt и Debank. Если переход на незнакомый контракт был одобрен, они подсветят такой контракт.
Когда речь идет о безопасности протокола DeFi, полезно использовать кодовую базу других проверенных проектов. Но основатель все же должен санкционировать хотя бы один технический аудит смарт-контрактов проекта. Это особенно важно для протоколов, развернутых на нескольких блокчейнах и взаимодействующих с другими протоколами. Они требуют особенно тщательной проверки во время аудиторских проверок.
Источник