Bezpečnost v odvětví decentralizovaných financí znovu selhala, tentokrát šlo o DeFi projekt Wasabi Protocol. Útočník získal kontrolu nad klíčem, který měl plnou moc nad protokolem.
Podobný scénář se v poslední době opakuje napříč těmito projekty. Stačí jedna chyba v nastavení a celý systém se hroutí.
Jediný klíč, plná kontrola
Wasabi Protocol fungoval na Ethereu a Base. Jednalo se o platformu pro perpetual trading. Útočník získal přístup k tzv. deployer klíči.
Tento klíč měl administrátorská oprávnění. Stačilo pak jediné oprávnění a útočník získal plnou kontrolu nad kontrakty. Bez jakékoliv prodlevy si přidal práva a následně upravil správcovské kontrakty na škodlivé verze.
Výsledkem bylo odčerpání prostředků z více poolů. Celková škoda dosáhla zhruba 4,55 milionu dolarů.
Zabezpečení bez timelocku a multisigu
Zásadní problém byl v zabezpečení. Protokol neměl timelock ani multisig, tzn. změny mohly proběhnout okamžitě a k jejich provedení stačil pouze jeden kompromitovaný klíč. Multisig by vyžadoval více podpisů.
Jeden klíč tak držel kompletní kontrolu nad systémem. A to je přesně ten scénář, který se v DeFi světě poslední dobou často opakuje. Podobně fungoval například i útok na Drift Protocol.
Upgrade jako slabé místo
Útočník k hacku využil využil tzv. standard UUPS. Tento způsob umožňuje měnit logiku kontraktu bez změny adresy.
Aktuální vývoj ceny ETH, na kterém byl postaven napadený Wasabi Protocol
Jde o velkou výhodu pro vývojáře, avšak současně o nevýhodu pro bezpečnost protokolu. Pokud někdo získá roli administrátora, může změnit vše.
Pomocí helper kontraktu tak byly upraveny vaulty, tedy smart kontrakty, do kterých uživatelé vkládají své prostředky. Peníze byly následně odčerpány.
Zasaženy byly tokeny jako wWETH, sUSDC nebo wBITCOIN. Útok zasáhl obě sítě, tedy jak Ethereum, tak Base.
Duben plný hackerských útoků
Duben byl co se útoků na bezpečnost protokolů týče extrémní. Celkové ztráty v DeFi přesáhly 605 milionů dolarů, od začátku roku už jde o více než 770 milionů dolarů. Došlo k více než 30 incidentům.
Drift Protocol přišel o 285 milionů dolarů, Kelp DAO ztratil dokonce 292 milionů dolarů. Další projekty jako CoW Swap, Grinex nebo Resolv Labs hlásily menší ztráty v řádu milionů.
Nejde přitom o to, že by se objevil nový problém. Každý útok vypadá vlastně velmi podobně, důvodem bývá kompromitovaný klíč a slabá správa práv.
Po každém incidentu přicházejí víceméně stejné závěry, implementace řešení však nadále vázne. Projekty stále spoléhají na jednoduché modely řízení, což se ukazuje jako jasné riziko.
Na rty se tak dere otázka: kolik dalších DeFi projektů má podobné slabiny, ale zatím nebyly zneužity?
Kam to celé spěje?
Kolik dalších takových útoků ještě přijde? Pokud se nezmění přístup, odpověď není příliš optimistická. DeFi roste, avšak bezpečnostní stránka poněkud zaostává. Tempo inovací je rychlejší než implementace ochrany.
Bez širšího využití multisig a governance mechanismů se situace může jen těžko zlepšit. Krátkodobě lze čekat další podobné incidenty. Dlouhodobě rozhodne, zda se z toho sektor poučí.
Zkraťte si cestu k lepším výnosům
Díky Finex Premium můžete zhodnocovat své peníze s větší jistotou, přehledem a podporou reálných investorů, kteří každý den spravují svá vlastní portfolia. Žádná teorie, ale reálná praxe.
- Uvidíte naše skutečné portfolio včetně nákupů a prodejů
-
Dostanete tipy na akcie dřív, než je objeví většina trhu
-
Získáte přístup k datům a nástrojům, které zkracují rozhodování z hodin na minuty
Přidejte se a nenechte si utéct žádnou příležitost.
94 %
90 %
