10 наиболее распространенных форм DeFi атак и как их предотвратить
Сообщество в Telegram - Token Mentor, рады приветствовать вас. Когда рынок входит в нисходящий тренд, появляются и становятся все более популярными аферы и атаки. В этой статье давайте рассмотрим 10 наиболее распространенных форм DeFi атак и способы их предотвращения.
Атака на Oracle
Oracle — это система, которая предоставляет информацию о ценах на классы активов, и проекты DeFi в значительной степени полагаются на oracle для обновления цен
Если цена токена А на рынке составляет $10, а в протоколе DeFi она показывает $100, пользователи обязательно купят этот токен на рынке и продадут на этом протоколе, чтобы получить огромную прибыль. Это наносит ущерб не только протоколу, но и тем, кто вложил активы в этот протокол.
Решение
Использовать протоколы DeFi, в которые интегрированы авторитетные оракулы. Это значительно снизит риски оракловых атак в целом.
Атака на флэш-кредиты
Флэш-кредиты — это беззалоговые кредиты при одном условии: кредит должен быть возвращен кредитной платформе в той же транзакции. Другими словами, заемщик может делать все, что угодно с этим кредитом, а затем вернуть заемную сумму, и все это происходит за 1 транзакцию.
Почти все атаки на флэш-кредиты программируются и выполняются ботами. Поэтому злоумышленники могут получать прибыль даже во время сна, а жертвами обычно становятся протоколы DeFi с разницей в цене (обычно из-за ошибок оракула).
Если взять вышеприведенный пример атаки оракула, если пользователь видит возможность в разнице цен токена A, $10 и $100, но вместо денег у него есть только токен B, что он сделает?
Они будут использовать токен B в качестве залога, чтобы занять токен A, ETH, USDC и т.д. для покупки токена A, затем продать по протоколу DeFi с ошибкой оракула, затем вернуть деньги и получить токен B обратно.
Однако это лишь упрощенный пример. Атаки флэш-кредитования могут принимать различные формы и в реальности гораздо сложнее.
Пример атаки на флэш-кредиты: недавнее падение токена ANA и стейблкоина NIRV.
Решение
Большинство атак флэш-кредитов происходит из-за ошибки оракула или несбалансированного соотношения активов в пулах ликвидности. Поэтому рекомендуется использовать протоколы с авторитетными оракулами и высоким объемом торгов. Большое количество пользователей означает, что при незначительной разнице цен всегда найдутся арбитражные трейдеры, уравновешивающие соотношение активов в пуле.
Атака 51%
Если злоумышленник обладает большим количеством токенов управления, он может воспользоваться механизмом управления протокола и получить прибыль. Атака 51% и может быть объединено с флэш-кредитами для создания атаки без необходимости владения токенами проекта.
Например, протокол DeFi имеет механизм управления, который требует, чтобы более 50% проголосовавших за токен A согласились с предложением, чтобы оно было одобрено. В этом случае злоумышленник может использовать флэш-кредиты и занять 51% токена A (или занять деньги для покупки токена A), затем создать и одобрить предложение об отправке 100 млн USDC самому себе. В итоге ему остается только выплатить долг с небольшой комиссией и получить прибыль в размере 100 миллионов USDC.
Подобный случай однажды произошел с Beanstalk, и злоумышленники прикарманили 182 млн USDC.
Решение
Чтобы избежать проектов с риском атаки 51%, пользователям следует выбирать протоколы DeFi с жесткими механизмами управления или с большими барьерами для злоумышленников.
Например, инвесторы могут рассматривать проекты, требующие высокого коэффициента консенсуса, или требующие владения большой стоимостью активов в портфеле до владения достаточным количеством токенов управления для утверждения предложений.
Фронтраннинг (атака с опережением)
Фронтраннинг — это когда злоумышленник знает, что будущая сделка повлияет на цену, и размещает ордер прямо перед этой сделкой, чтобы получить прибыль. Дизайн Ethereum и других подобных блокчейнов создал возможности для ботов получать прибыль, опережая другие транзакции.
На примере торговой пары USDC-SAK3:
Снизу вверх: транзакция 1, транзакция 2, транзакция 3.
Легко заметить, что прямо перед и после ордера на покупку 1 SAK3, есть 2 ордера на покупку и продажу 0,48 SAK3, сделанные по одному и тому же адресу. Это типичный пример того, как пользователей опережают в криптовалюте. Как видно из хэшей транзакций выше, всего за две транзакции этот бот получил более $1 500, купив SAK3 по цене $7 473 и продав по цене $9 013.
Решение
Чтобы предотвратить фронтраннинг, инвесторы могут:
Атака с использованием "ключа администратора"
Некоторые протоколы имеют "ключ администратора", позволяющий специальному адресу иметь полный контроль над средствами протокола. Если ключ администратора подвергается атаке, средства могут быть украдены.
Типичным примером является атака на EasyFi, когда был атакован административный ключ генерального директора, и из пула ликвидности было похищено $6 млн, а также 2,98 миллиона токенов EASY (стоимость которых на тот момент составляла $75 млн).
Решение
Инвесторам необходимо тщательно выбирать протоколы и никогда не вкладывать все средства в проекты с минимальной информацией о команде или бекерах. Кроме того, следует внимательно относиться к протоколам с ключами администратора, где слишком много власти дается человеку или определенной группе.
Фронтенд атака
Front-end — это интерфейс приложений, который при взаимодействии с ними влияет на базовые элементы (back-end), помогая пользователям выполнять различные действия. Эта часть интерфейса также может быть взломана и нанести ущерб пользователям.
Примером может служить Badger DAO с ущербом в $120 млн на тот момент. Злоумышленник нацелился на API-ключ Badger DAO, в результате чего взаимодействие пользователей давало неограниченное разрешение кошелькам, создавая возможность для злоумышленника вывести активы из этих кошельков.
Решение
Всегда обращайте внимание на одобрения при совершении транзакций на кошельках. Если пользователи взаимодействовали и дали одобрение новому проекту, они могут использовать инструменты отзыва, такие как Coin98 Super App или Approved.zone.
Атака через социальные сети
Наличие аккаунтов на платформах социальных сетей, таких как Discord, Twitter или Telegram, является обычным явлением для пользователей криптовалют. Наряду с растущими потребностями в получении информации, поиске возможностей и присоединении к большим или маленьким сообществам, появляются мошенники и хакеры. Они почти всегда выдают себя за членов команды проекта, чтобы заманить пользователей на фишинговые ссылки или сайты.
Это чрезвычайно распространенная форма атаки, которая происходит каждый день, поэтому пользователи должны быть бдительными, чтобы не попасться на эти уловки.
Решение
Независимо от того, где находятся пользователи, если они где-либо получают невероятно привлекательное предложение, это почти всегда мошенничество. Хотя атаки в социальных сетях легко обнаружить, их частота растет, и с каждым днем они становятся все более изощренными. Пользователи должны обращать внимание на предложения, связанные с их средствами.
Атака с целью контроля социальных сетей
Это более изощренная форма атаки в социальных сетях, когда злоумышленники взламывают и берут под контроль аккаунт команды проекта в социальных сетях, чтобы распространять неправомерную информацию, похищая средства пользователей.
Аккаунт в Instagram Bored Ape, одной из самых популярных NFT коллекций, был взломан. Затем злоумышленник объявил о проведении Аirdrop для держателей Bored Ape, для чего держателям нужно было лишь подключить свои кошельки. После этого инцидента было украдено NFT, общей стоимостью около $2,8 млн .
Решение
Как упоминалось выше, ничто не бывает бесплатным, поэтому пользователи должны быть крайне осторожны, когда видят бесплатные airdrop'ы, раздачи и т.д. даже на аккаунтах авторитетных проектов в социальных сетях. Лучше всего перед участием в таких мероприятиях дважды перепроверить информацию у команды проекта.
Атака Layer 1
"Безопасность смарт-контрактов эквивалентна безопасности блокчейна, на котором они работают". Если блокчейн будет взломан, все проекты, построенные на нем, пострадают и нанесут ущерб пользователям.
Например, Ethereum Classic, хард-форк Ethereum, подвергся атаке на 51% и потерял доверие своего сообщества.
Решение
Присоединяйтесь к престижным сетям первого уровня, которые уже давно прошли проверку боем.
Нападение другой стороной
Многим известно, что UST потеряла привязку, что привело к краху империи Терра. Причина атаки, скорее всего, была заранее спланирована, так как в Анкоре за короткое время было выведено большое количество UST, что привело к паническим распродажам.
Это событие вышло за рамки криптовалютного рынка, поскольку проект, который когда-то оценивался в $40 млрд, рухнул всего за несколько дней. Это показало рискованность такого рынка с неокрепшим капиталом, как криптовалюта, когда даже лучшие проекты могут "исчезнуть" в мгновение ока.
Решение
Не кладите все яйца в одну корзину, даже если проект находится на вершине рынка. Зарабатывать деньги на криптовалютах непросто, и инвесторам не стоит слишком сильно доверять только одному проекту.
Заключение
Прежде чем зарабатывать деньги, научитесь их хранить. Несмотря на то, что DeFi пережил взрывной рост в 2021 году, он все еще новый и поэтому содержит множество рисков. Поскольку рынок находится в нисходящем тренде, инвесторы должны уделять приоритетное внимание защите активов, а не сосредотачиваться на высокорискованных возможностях заработка.