9 видов атак на DeFi, о которых должен знать каждый
Многие ограбления в DeFi и Web3 не имеют ничего общего с ошибками в коде — часто именно хакеры целенаправленно придумывают различные схемы, с помощью которых можно увести ваши средства за считанные минуты.
Прежде чем свапать, заливать ликвидность, да и вообще взаимодействовать с DeFi-протоколами, стоит понимать потенциальные риски. Вот 9 популярных атак, которым могут быть подвержены DeFi-сервисы.
1. Атаки на оракулы
Многие протоколы зависят от оракулов, которые предоставляют информацию о ценах на активы. Такие платформы как Kyber, Uniswap, bZx, Compound делят ликвидность токенов друг с другом, что позволяет злоумышленникам:
- Использовать неликвидные активы для заимствования большого количества токенов по низкой цене;
- Манипулировать ценами, чтобы проворачивать памп и дамп схемы.
bZx, например, использовали только Kyber, в результате чего стали жертвами не одной атаки. Поэтому важно использовать децентрализованные оракулы, такие как Chainlink.
2. Атаки на мгновенные кредиты (flash loans)
По факту это злоупотребление безопасностью смарт-контракта на платформе, где мошенник обычно занимает много средств, не требующих залога. Затем он манипулирует ценой криптоактива на одной бирже и быстро перепродает его на другой. Однако существуют платформы, которые решают проблемы безопасности. К такой платформе относится, например, OpenZeppelin — open-source фреймворк для создания защищенных смарт-контрактов.
3. Атаки на управление (governance)
Управление (governance) подразумевает внедрение изменений в блокчейнах криптовалют через голосование. Каждый держатель токена управления (governance token) может проголосовать за принятие или отклонение предложенных изменений в проекте.
Если злоумышленнику удастся собрать большое количество токенов управления, то он сможет внести изменения в механизм управления протоколом. Чем больше участников в сообществе, тем сложнее хакерам атаковать его. В свою очередь разработчики протоколов и команды должны регулярно проводить аудит безопасности.
Пример такой атаки — атака на Beanstalk.
4. Опережающие атаки (фронтраннинг/Front Running)
Вид атак, во время которых злоумышленники могут манипулировать системой в промежутке между моментом отправки транзакции и моментом ее выполнения.
Порядок, в котором транзакции добавляются в блоки, обычно определяется комиссией за транзакцию. Если блокчейн имеет минимальную комиссию, то пользователь может устанавливать свои собственные комиссии, а значит заплатить за приоритет, устанавливая более высокую комиссию за конкретную транзакцию.
Опережающими действиями на бирже (покупка или продажа токена) можно получить прибыль, поэтому боты проводят атаки на DEX и получают почти гарантированную прибыль от транзакций с минимальным риском.
Протокол Synthetix в свое время пострадал от такой атаки.
5. Ключи администратора
Многие протоколы имеют так называемый "ключ администратора", который позволяет специальному кошельку контролировать средства, принадлежащие протоколу. Если этот ключ скомпрометирован, то средства могут быть украдены. Так взломали EasyFi и вывели с MetaMask $80 млн.
6. Использование небезопасных интерфейсов
Веб-сайты, которые находятся между пользователем и смарт-контрактом, также могут быть атакованы.
Так, например, взломали аккаунт Cloudflare (компания, предоставляющая услуги CDN, защиту от DDoS-атак, безопасный доступ к ресурсам и серверы DNS) у BadgerDAO.
7. Социальная инженерия
Даже если протокол и его интерфейс защищены, то злоумышленники все равно могут получить доступ к дискорду или телеграму юзеров и рассылать всякий спам. Будьте осторожны со ссылками, которые видите в личных сообщениях — как правило, члены команд любых проектов никогда не пишут в личку первыми и тем более не предлагают поучаствовать в каких-то эксклюзивных фриминтах или розыгрышах.
8. Взлом аккаунтов в социальных сетях
Аккаунт проекта в социальных сетях может быть уязвим и взломан злоумышленниками, которые распространяют ложную информацию и тем самым крадут средства пользователей. Поэтому будьте аккуратны и всегда храните ключи и пароли от своих соцсетей в надежном месте.
9. Атаки первого уровня
Смарт-контракты безопасны настолько, насколько безопасен их блокчейн. PoW с низким хешрейтом или PoS с низкой рыночной стоимостью могут быть атакованы, что сведет на нет все принятые меры предосторожности. Так в свое время Ethereum Classic подвергся атаке, но компания ETC Labs разработала стратегию по защите сети от дополнительных атак, включая защитный майнинг, который должен стабилизировать падающий хешрейт сети и противостоять будущим атакам.
TL;DR: DeFi и Web3 все еще не ранней стадии развития, и каждый день появляются новые виды атак. Чтобы однажды не стать жертвой обстоятельств, диверсифицируйте свои вложения и никогда не вкладывайте столько, сколько не готовы потерять.