По мере того как расширяется DeFi-экосистема, хакеры и мошенники становятся все более изощренными, изобретая новые способы атак. Но есть и проверенные временем схемы, к сожалению, актуальные и в 2023 году. Об этих по-прежнему проблемных местах децентрализованных финансов и методах борьбы с ними вспоминает ForkLog.
Мгновенные займы
При проведении атак с использованием Flash Loans злоумышленники обращаются к возможности мгновенного займа. Эта опция, доступная в ряде DeFi-протоколов, позволяет брать активы в долг без залога. Злоумышленники занимают средства, манипулируют рынком и возвращают кредит в рамках одной транзакции, получив прибыль от расхождений цен.
В апреле 2023 года атаке с использованием Flash Loans подвергся протокол 0VIX, из которого неизвестный вывел различные активы на сумму свыше $2 млн. Аналитики пришли к выводу, что манипулировать ценами удалось благодаря уязвимостям оракула GHST.
В мае злоумышленники успешно атаковали проект Jimbos Protocol. Для этого они взяли мгновенный займ, который использовали для манипулирования курсом собственного токена протокола с последующим опустошением пулов ликвидности.
Подробнее о сильных и слабых сторонах мгновенных займов читайте здесь.
Атака повторного входа
Для этого типа эксплойта хакеры многократно вызывают уязвимый контракт до завершения предыдущего выполнения. Так, для эксплойта децентрализованного протокола Cream Finance злоумышленники использовал следующий алгоритм:
оформили мгновенный заем в размере 500 ETH;
эту сумму они использовал в качестве залога, чтобы получить кредит в размере 19 млн токенов AMP;
использовали уязвимость повторного входа для заимствования 355 ETH внутри передачи токенов;
самоликвидация займа.
Таким образом хакеры провели 17 транзакций. Потери платформы от действий преступников составили более $18 млн.
Широкую известность эксплойты повторного входа приобрели в 2016 году, когда злоумышленники вывели Ethereum из фонда The DAO на сумму $70 млн. Такой же тип атаки был использован в ходе недавнего взлома DEX Curve Finance.
Фронтраннинг
Эта тактика предполагает манипулирование порядком транзакций в мемпуле для получения выгоды от изменения цен до их выполнения. Прибегающие к фронтраннингу отслеживают крупные ожидающие транзакции и быстро включают свои сделки в блок, опережая выгодные предложения. Такие действия увеличивают прибыль игрока, но приводят к финансовым потерям для других трейдеров.
Схрема работает следующим образом:
трейдер А размещает крупный ордер на покупку криптовалюты;
фронтраннер B мониторит сеть и обнаруживает этот ордер;
трейдер B добавляет своей транзакции газа и получает приоритет в исполнении;
из-за крупного ордера A цена криптовалюты начинает расти;
злоумышленник B получает криптовалюту по более низкой цене;
таким образом недобросовестный трейдер может извлечь прибыль, купив активы по низкой цене сразу перед выполнением крупного ордера, чтобы затем продать их по выросшей стоимости.
В апреле подобные действия мошеннического валидатора нанесли трейдерам ущерб на общую сумму ~$25,4 млн.
Смежной проблемой является MEV. Это практика майнеров и стейкеров, которые используют информацию о предстоящих транзакциях для извлечения дополнительной прибыли. Злоумышленники могут манипулировать порядком операций, чтобы получить нечестное преимущество и использовать различия в ценах.
Весной этого года более 30 Ethereum-проектов представили инструмент MEV Blocker, предназначенный для защиты пользователей от подобных махинаций и «сэндвич-атак». О том, как вообще в DeFi образовалась эта лазейка, читайте в статье Алекса Кондратюка.
Манипулирование оракулами
Чтобы получать информацию о ценах активов, DeFi-протоколы полагаются на внешние источники данных — оракулы. Манипулирование этими инструментами предполагает использование уязвимостей для предоставления ложных данных.
Это очень распространенный тип эксплойта. В июле так был взломан протокол Conic Finance, из которого вывели 1700 ETH (~$3,26 млн на момент атаки). Ранее в том же месяце аналогичному эксплойту подвергся Rodeo Finance в сети Arbitrum. Ущерб составил 810,1 ETH (~$1,5 млн).
Подробно о том, какие уязвимости оракулов используют мошенники, можно прочитать в статье Владимира Менаскопа.
Недостатки системы голосования
Злоумышленники обращаются к различным уязвимостям для изменения правил, перенаправления средств или совершения других злонамеренных действий. В частности, они могут накапливать токены или использовать технические лазейки для изменения параметров и решений протокола, что приводит к финансовым потерям.
Эксплуатация токенов управления заключается в использовании уязвимостей в механизмах делегирования. Злоумышленники могут манипулировать их распределением, создавать искусственную голосовую мощность или влиять на решения управления в свою пользу.
Виталик Бутерин в статье «Управление: не только голосование монетами» также обращает внимание на то, что одной из угроз для децентрализованных автономных организацией является возможная коррумпированность сообщества. По мнению основателя Ethereum, при неправильно прописанных правилах функционирования человеческий фактор позволяет злоумышленникам манипулировать даже самыми добросовестными участниками комьюнити.
О том, как оформить юридическую оболочку ДАО, читайте в материале соучредителя DAObox Сергея Островского и слушайте в подкасте DAO Politics от ForkLog.
Кроссчейн-атаки
Хакеры могут использовать уязвимости в кроссчейн-мостах, позволяющие активам перемещаться между различными блокчейнами. Злоумышленники манипулируют транзакциями, крадут активы или эксплуатируют несоответствия между сетями в своих интересах.
Согласно отчету Beosin, в 2022 году было зафиксировано 12 атак на кроссчейн-мосты. Потери от действий хакеров составили $1,89 млрд — это больше половины всего ущерба, причиненного криптоиндустрии за указанный период.
Подробнее о том, как ломают кроссчейн-мосты, можно узнать из посвященного этой теме выпуска подкаста ForkLog «Пираты и Корпораты».
Атака Сивиллы
Она предполагает создание большого числа фальшивых идентификаций или аккаунтов для получения контроля над протоколом. Благодаря этому злоумышленники могут манипулировать системами голосования, механизмами консенсуса или другими процессами, связанными с управлением.
К этой стратегии регулярно прибегают недобропорядочные аирдроп-хантеры. В настоящее время крупные платформы стараются бороться с подобными действиями, вычеркивая из раздач таких любителей легкого заработка. Это, впрочем, удается далеко не всегда. По подсчетам аналитиков, до 20% объема аирдропа Arbitrum заполучили хакеры, применившие атаку Сивиллы.
Манипуляции с ликвидностью пулов
Подобные схемы предполагают эксплуатацию уязвимостей в пулах ликвидности децентрализованных бирж для манипулирования ценами, осуществления прибыльных сделок или вывода средств. Злоумышленники могут использовать флэш-кредиты, сложные торговые стратегии или дисбалансы пула в своих интересах.
Недавний пример — произошедшая в апреле атака на кроссчейн-мост Allbridge. По данным аналитиков PeckShield, неизвестный манипулировал ценой свопа, чтобы вывести токены из пула в сети BNB Chain. Атака стала возможна из-за ошибки в формуле расчета ликвидности и публичного характера информации о кодовой базе смарт-контракта.
Сюда же можно отнести сознательное провоцирование непостоянных убытков. Они возникают, когда провайдеры ликвидности теряют средства из-за дисбаланса цен между предоставленными активами.
Другая распространенная схема — сжатие ликвидности. Когда большое количество пользователей одновременно пытается вывести свои средства из протокола, возникает дефицит. Это может привести к значительным проскальзываниям и снижению стоимости активов, что приводит к потерям для инвесторов.
Сжатие ликвидности может быть преднамеренным или непреднамеренным — вызванным манипуляциями на рынке, FUD или техническими неисправностями.
Скам-проекты
Как и в традиционных финансах, в DeFi-экосистеме немало проектов, которые создаются исключительно для обмана пользователей. Эти мошенничества часто включают поддельные команды, ложные обещания или вводящую в заблуждение информацию, что приводит к значительным финансовым потерям для неопытных инвесторов. Кроме того, злоумышленники нередко выпускают фейковые стейблкоины или ничем не обеспеченные токены.
В самых изощренных случаях преступники могут убедительно имитировать активную деятельность проекта — например, через создание действительно работающего приложения. Распространенным вариантом экзит-скама является rug pull, когда команда проекта внезапно останавливает работу и выводит все инвестированные пользовательские средства, оставляя их с обесценившимися токенами.
Информация о такого рода мошенничестве поступает регулярно. Например, 16 августа стало известно о rug pull, который провели разработчики протокола SwirlLend, укравшие порядка $460 000 клиентских депозитов.
Применение rug pull носит настолько системный характер, что прибегающие к этой схеме мошенники оказываются среди сотрудников даже самых крупных проектов. В августе руководство биржи Uniswap объявило об увольнении инженера смарт-контрактов, который провернул такую операцию в сети Base, присвоив ~$26 000.
Подобные инциденты всякий раз напоминают о рисках, связанных с инвестициями в DeFi, и важности проведения тщательного исследования перед участием в любом проекте, требующем вложения средств.
Pump & Dump
Схемы «Накачки и сброса» подразумевают искусственное накручивание цены токена через скоординированную покупку, создание ажиотажа среди инвесторов, а затем быструю продажу актива. В результате вкладчики остаются с обесцененными токенами.
По подсчетам Chainalysis, в 2022 году инвесторы вложили около $4,6 млрд в покупку активов, предположительно являющихся частью схем Pump & Dump. Аналитики пришли к выводу, что в сетях BNB Smart Chain и Ethereum более 9900 токенов из запущенных в прошлом году создавались только для накачки с последующим сбросом.
Вредоносные кошельки и фишинг
Использование этих инструментов направлено на кражу приватных ключей, сид-фраз или учетных данных пользователей. Злоумышленники создают фальшивые приложения кошельков или сайты, которые напоминают легитимные платформы, заставляя пользователей передавать конфиденциальную информацию.
Жертвами атак становятся, как правило, крупные площадки с узнаваемыми брендами и их пользователи. Так, осенью 2022 года CEO Binance Чанпэн Чжао обратил внимание на то, что поисковик Google помечает как рекламу ссылки на поддельные сайты криптовалютных площадок. Глава биржи выразил обеспокоенность тем, что недостаточно внимательные пользователи могут добавлять в MetaMask адреса скамеров.
Даже в проверенных кошельках возможны уязвимости, которые могут подвергать пользователя риску. Слабое шифрование, небезопасное хранение ключей или ошибки в программном обеспечении могут привести к несанкционированному доступу к средствам и потере активов.
О некоторых простых правилах, которые помогут обезопасить ваши кошельки, читайте в отдельном материале ForkLog.