De Fi - приоритетная цель хакеров в 2022 году
В 2021 году хакеры украли криптовалют на сумму 3,2 млрд $.
За первые три месяца 22 года уже украли 1,3 млрд $.
97% всей криптовалюты, украденной в первые три месяца 2022 года, были взяты из протоколов DeFi, по сравнению с 72% в 2021 году и всего 30% в 2020 году.
Основная причина взлома - нарушение правил безопасности пользователя.
Взлом Ronin Network в марте 2022 года позволил украсть 615 миллионов долларов в криптовалюте и тоже был произведен из-за нарушений безопасности администратора.
Для протоколов DeFi самые крупные кражи обычно связаны с неисправным кодом.
Эксплойты кода и атаки флэш-кредитования - тип эксплойта кода, связанный с манипулированием ценами на криптовалюту - основные векторы атаки хакеров.
Разработка с открытым исходным кодом является одним из основных параметров приложений DeFi.
Это важная и в целом позитивная тенденция: поскольку протоколы DeFi перемещают средства без вмешательства человека, пользователи должны иметь возможность проверять базовый код, чтобы доверять протоколу.
Но это также приносит пользу киберпреступникам, которые могут анализировать сценарии на наличие уязвимостей и планировать эксплойты заранее.
Атаки на флеш-кредиты, с другой стороны, иногда вызваны зависимостью платформ DeFi от нестабильных ценовых оракулов.
Перед Oracles стоит задача поддерживать точные данные о ценах для всех криптовалют на платформе, и работа непростая.
Безопасные, но медленные оракулы уязвимы для арбитража; быстрые, но небезопасные оракулы уязвимы для манипулирования ценами.
Последний тип часто приводит к атакам на флеш-кредиты, которые извлекли огромные 364 миллиона долларов с платформ DeFi в 2021 году.
Например, во взломе Cream Finance серия флеш-кредитов, использующих уязвимостьв том, как Cream рассчитал переменную «pricePerShare» yUSD, позволила злоумышленникам раздуть цену yUSD, чтобы удвоить ее истинную стоимость, продать свои акции и заработать 130 миллионов долларов за одну ночь.
Эти две опасности - неточные ценовые оракулы и эксплуатируемый код - подчеркивают необходимость безопасности обоих. К счастью, есть решения.
Для обеспечения точности ценообразования децентрализованные ценовые оракулы, такие как Chainlink, могут защитить платформы от атак на манипулирование ценами.
Чтобы обеспечить безопасность смарт-контрактов, аудит кода может противостоять распространенным взломам, таким как повторный вход, необработанные исключения и зависимость от заказов транзакций.
Почти 30% эксплойтов кода произошли на платформах, проверенных в прошлом году, а также на удивительные 73% атак флэш-кредитования.
Это выделяет два потенциальных недостатка аудита кода:
- В некоторых случаях они могут исправить уязвимости смарт-контрактов, но не во всех;
- Они редко гарантируют, что ценовые оракулы платформ защищены от несанкционированного доступа.
Таким образом, хотя аудит кода, безусловно, может помочь, протоколы DeFi, управляющие миллионами пользователей и миллиардами долларов, должны использовать более надежный подход к безопасности платформы.
Как хакеры отмывают украденную криптовалюту?
В 2021 году на платформы DeFi (51%) и рискованные услуги (25%) поступило больше украденных средств, чем когда-либо прежде.
Централизованные биржи, ранее являвшиеся главным пунктом назначения для украденных средств, впали в немилость, получив менее 15% от общей суммы.
Вероятно, это связано с принятием биржами процессов AML и KYC, которые угрожают анонимности киберпреступников.
Куда вывели украденные средства?
Семь из десяти крупнейших атак за последние пятнадцать месяцев были нацелены на платформы DeFi.
Семь хаков DeFi привели к краже 1,6 миллиарда долларов, в то время как три биржевых хака привели к краже 960 миллионов долларов.
Выводы: - максимально соблюдайте базовые правила безопасности - при работе с DeFi хеджируйте риски - не инвестируйте всю сумму в один проект - используйте крупные сети, которые смогут при взломе платформы вернуть ваши средства - проводите DYOR
Тезисно из статьи https://blog.chainalysis.com/reports/2022-defi-hacks/