Аналитики говорят, что децентрализованные финансы потеряли 1,8 миллиарда долларов в результате кибератак в прошлом году, и 80% этих событий были результатом уязвимого кода.
Узнавайте новости первыми в нашем Telegram – канале
Платформы децентрализованного финансирования (DeFi), которые соединяют различные блокчейны криптовалют по созданию децентрализованной инфраструктуры для заимствования, торговли и других транзакций, обещают заменить банки в качестве безопасного и удобного способа инвестировать и тратить криптовалюту. Но киберпреступники почувствовали, что полчища новых пользователей, мечтающих о цифровом богатстве, являются лёгкой добычей.
Аналитики Bishop Fox обнаружили, что платформы DeFi потеряли 1,8 миллиарда долларов в результате кибератак только в 2021 году. Согласно отчету, в котором было зафиксировано 65 событий, 90% потерь были вызваны несложными атаками, что указывает на слабые методы кибербезопасности в этом секторе.
Аналитики обнаружили, что в прошлом году на DeFi в среднем совершалось пять атак в неделю, причем большинство из них (51%) были связаны с использованием ошибок «смарт-контрактов». Смарт-контракты — это, по сути, записи транзакций, хранящиеся в блокчейне.
Другие основные векторы атак DeFi включают в себя криптокошельки, недостатки дизайна протоколов и так называемые мошеннические схемы (когда инвесторов заманивают в новый криптовалютный проект, который затем закрывают, оставляя потерпевших с бесполезной валютой). Но вместе взятые, согласно отчету, 80% всех этих событий были вызваны использованием (или повторным использованием) ошибочного кода.
«Желание развиваться быстро и сэкономить время или, зачастую, просто ленивое нежелание пересматривать или переделывать собственный код очень часто приводит к использованию непроверенного и, следовательно, крайне уязвимого кода», — говорится в отчете.
И действительно, поскольку пользователи и сами платформы DeFi пытаются заново изобрести банковское дело — и сложную новую инфраструктуру для его поддержки — администраторы не должны упускать из виду важность основ безопасности, — сказал Dark Reading Дилан Дубейф, старший консультант по безопасности в Bishop Fox.
«Независимо от того, насколько инновационным или сложным является ваш проект, не забывайте о безопасности, игнорируя то, что кажется второстепенным или элементарным», — говорит он. «Тривиальная уязвимость может в конечном итоге стоить вам больше всего».
Уязвимости смарт-контрактов DeFi
Ярким примером является нарушение DeFi, связанное со смарт-контрактом BurgerSwap Dex 28 мая 2021 года, которое привело к убыткам в размере 7,2 миллиона долларов. Согласно отчету, эта атака использовала уязвимости, которые настолько хорошо известны, что их использование в данном случае может вызывать только НЕДОУМЕНИЕ. Согласно отчету, к ним относятся использование отсутствующей проверки x*y≥k** и усиление атак с повторным входом. Слабые места позволили злоумышленникам использовать известные тактики, такие как злоупотребление мгновенными кредитами и использование поддельных токенов.
«Мы не можем не подчеркнуть — важно поддерживать повторяющийся процесс аудита и тестировать каждый фрагмент кода, прежде чем он будет запущен в производство», — говорится в отчете. «В децентрализованных финансах даже самая короткая строка уязвимого кода может привести к полной потере токенов проекта и краху проекта».
В августе прошлого года Cream Finance сильно пострадал от рук киберпреступников, потеряв почти 29 миллионов долларов до того, как атака была обнаружена (418 311 571 в Amp Coin и 1 308,09 в криптовалюте Ethereum).
Взлом стал возможен из-за ошибки повторного входа в функцию смарт-контрактов, вызванной токенами $AMP, используемыми биржей.
«… Взлому платформы Cream Finance способствовала последняя из длинной цепочки уязвимостей смарт-контрактов, вызванных человеческим фактором (или, возможно, внутренними атаками)», — отметил в то время Джо Стюарт, исследователь из PhishLabs. «Очень легко выстрелить себе в ногу, просто не включив в свой код правильный модификатор функции — именно это и произошло с автором смарт-контракта Cream Finance».
Стюарт добавил, что смарт-контракты становятся сложнее для проверки кода после того, как они начинают взаимодействовать друг с другом.
«Растущая сложность контрактов DeFi, которые взаимодействуют друг с другом (возможно, даже в разных блокчейнах), затрудняет прогнозирование всех возможных путей кода, которые могут привести к повышению привилегий и потере средств, заблокированных в контракте», — сказал Стюарт.
Внешние атаки DeFi
Код, используемый для создания цифровых кошельков DeFi и интерфейсов веб-сайтов, также оказался удобным вектором атаки для мошенников.
В одной из атак на BadgerDAO в декабре прошлого года аналитики заявили, что злоумышленники использовали уязвимость CloudFlare, чтобы получить ключ API, который затем позволил им настроить исходный код сайта для перенаправления средств на кошельки, находящиеся под их контролем, поясняется в отчете.
Атаки DeFi с флэш-займом
Как упоминалось ранее, другой тип атаки DeFi включает в себя флэш-кредиты. Флэш-кредит — это необеспеченный кредит на покупку, а затем продажу определенной криптовалюты; его можно запросить, создав смарт-контракт на блокчейне. Затем контракт выполняет кредит и торги, все в одно мгновение.
При атаке киберпреступники могут использовать эту функцию для манипулирования ценами. Например, в мае прошлого года проект DeFi PancakeBunny стал жертвой этого после того, как злоумышленник добыл большое количество токенов $Bunny, а затем развернулся и сразу же продал их. Таким образом киберпреступники могут не только разбогатеть, но и за считанные минуты обрушить стоимость всего рынка криптовалют.
Проект PancakeBunny DeFi стал добычей 19 мая прошлого года. Злоумышленники использовали баг в платформе и флэш-кредит, чтобы вывести пул из равновесия и просчитать обмен в пользу злоумышленника. Что еще хуже, всего через несколько дней два форка (то есть новые сообщества DeFi, разработанные на основе одной и той же цепочки блоков), MerlinLabs и Autoshark, были атакованы с использованием одного и того же кода и методологии атаки.
“Несмотря на то, что команды обоих проектов знали о том, что они скопировали код PancakeBunny с очень небольшими изменениями, они, тем не менее, подверглись одной и той же атаке через пять и семь дней соответственно после первоначального проекта», — говорится в отчете.
Исследователи предупреждают
DeFi, на которых хранятся закрытые ключи для криптокошельков, также являются главной мишенью для киберпреступников. В отчете говорится, что в нескольких случаях кошельки были взломаны с помощью украденных ключей, иногда с огромными потерями. Например, на одном кошельке было около 60 миллионов долларов.
«Финансовых потерь можно было бы избежать, проведя аудит основных серверов компаний и добавив технические и организационные меры (такие как кошельки с мультиподписью) с принципами нулевого доверия и минимальных привилегий», — говорится в отчете.
Предотвращение DeFi Pwn-apalooza
Что делать с таким большим количеством киберпреступлений? Чтобы ответить на этот вопрос, команда Bishop Fox дала два важных совета пользователям, пытающимся ориентироваться в этом новом цифровом финансовом рубеже. Во-первых, не верьте ни одной системе в ее безопасности и, во-вторых, осознать, что инвестиции могут испариться за секунду.
Риск для пользователей варьируется; в некоторых случаях, таких как взлом PolyNetwork, злоумышленник украл, а затем вернул 610 миллионов долларов в криптовалюте, и все возместили свои потери. В других случаях взломанным платформам DeFi повезло меньше.
Поскольку стандарта ответственности не существует, пользователи должны быть готовы к худшему. «Когда мы говорим о DeFi, мы говорим об инвестировании в молодую финансовую систему криптовалюты, которая еще не научилась на своих ошибках», — говорится в отчете.
Исследователи признают, что с таким количеством частей бизнеса защита платформ DeFi особенно сложна.
«Поскольку поверхность атаки в проектах DeFi больше, чем обычно, — говорится в отчете, — команды должны обеспечить принятие адекватных мер предосторожности для защиты всех активов».
