Ačkoli decentralizované finance (DeFi) mohou představovat budoucí směřování celého finančního systému, nestane se tak, pokud se na měsíční bázi budou objevovat zprávy o zdařených útocích hackerů a ukradnutých milionech dolarů. Tento ekosystém je stále plný infrastrukturních chyb, čehož využívají hackeři k útokům a podvodům.
Poznámka
Poznámka: Abychom nekritizovali pouze DeFi, je vhodné se podívat i ke kryptoměnám samotným, kde se v roce 2021, podle zprávy Chainalysis, uskutečnily podvody šplhající k částce 7,7 miliardám dolarů. Z této částky se na ukradnutých prostředcích známé “rug pully” podílely 37% částí.
“Rug pull” je druh podvodu, kdy vývojáři v jeden moment odeberou veškerou likviditu z liquidity poolu kryptoměny, všechny mince držené investory jsou tak rázem bezcenné, protože není za co je směnit. Ukázkovým příkladem je např. kryptoměna SQUID.
Když jsme čtenáře minulý rok v srpnu informovali o dosavadním největším úspěšném hacku na Poly Network, nejspíš nikdo nečekal, že o pár měsíců na to přijde hack ještě větší. A bohužel, nebyl jediný, přišla ještě další zneužití infrastrukturálních nebo kódových chyb. Ty největší si shrneme a stručně popíšeme, jak odcizení probíhá.
Začátek událostí – Agave a Hundred Finance
Série útoků začala 15. března na dvou DeFi platformách – Agave a Hundred Finance. Podle zpětného vyšetřování se přišlo na to, že šlo o flash loan “reentrancy bug” na oba protokoly v řetězci Gnosis. V reakci na dění platformy okamžitě zastavily činnosti smart kontraktů, aby zabránily dalším škodám.
Poznámka
Poznámka: Flash loan je typ kryptoměnové půjčky bez zástavy oproti typickým půjčkám, kde je vyžadován kolaterál. Princip spočívá v tom, že půjčka je vydána a splacena během jediného bloku. Pokud není splacena, není potvrzena a přidána do blockchainu.
V případě Agave finance bylo vysílání více požadavků k půjčce za sebou (“reentrancy”) možné kvůli použití různých tokenových standardů skrze kryptoměnový bridge Gnosis chainu – protokol zalistoval tokeny, které měly jiné standardizované označení, než většina.
Útočník nejdříve do protokolu vložil kolaterál v hodnotě zhruba 2 milionů dolarů a poté si vypůjčil jedno z aktiv v hodnotě asi 1,5 milionu dolarů, zde využil možnosti vyslat další dotaz k půjčce dříve, než se dluh stihl aktualizovat – znovu si vypůjčil dalších 1,5 milionů dolarů na jiném aktivu, i když jeho kolaterál dosahoval stále jen 2 milionů. Poté tedy držel cca 3 miliony v půjčených aktivech. Tento proces pachatel opakoval, dokud veškeré dostupné finanční prostředky z protokolů nevyčerpal.
Unfortunately Hundred and Agave have both been exploited on Gnosis chain today. Gnosis team is aware, investigation is ongoing.
All the Hundred markets on all chains paused for now.
Princip reentrancy bugu tedy spočívá v opakovaném výběru či půjčování prostředků do doby, dokud v protokolu žádné další finance nezbydou nebo se činnost sám útočník nerozhodne ukončit.
Poznámka
Vysvětlení: Důvodem, proč útočník může opakované dotazy vysílat, je skutečnost, že vzhledem k chybám v Solidity existují způsoby, jak přesvědčit smart kontrakty protokolu k odesílání dotazů na smart kontrakty pocházejících odjinud – útočník k tomu může využít svůj vlastní upravený smart kontrakt, do kterého si může napsat cokoliv.
Vývojáři z těchto důvodů přidávají do kódů aplikací různá bezpečnostní opatření. Jelikož se ale vždy jedná o dodatečné opravy a ne o přirozenou schopnost Solidity těmto útokům vzdorovat, může se stát, že opatření přestanou fungovat (u těchto dvou útoků např. kvůli různým tokenovým standardům).
Vypůjčená aktiva se skládala z 2 728,9 WETH, 243 423 USDC, 24 563 LINK, 16,76 WBTC, 8 400 GNO a 347 787 WXDAI. Celkově si hacker přišel na přibližně 11 milionů dolarů.
Následuje historicky největší útok – Axie Infinity
Aniž by se z předešlých hacků stihla komunita kolem DeFi vzpamatovat, o rovných 8 dní později přichází zmiňovaný největší hack v historii decentralizovaných financí. Hacker v sidechainu Etherea k Axie Infinity, Roninu, získává kontrolu nad většinou validačních uzlů a v návaznosti na další jeho postupy je schopen odcizit 620 milionů dolarů.
Nejbizarnější na tom je fakt, že vývojářům trvalo 6 dní, než si zmizení stovek milionů dolarů někdo všiml. Toto nakonec vyústilo v pozastavení činnosti decentralizované burzy Katana. Některé kryptoměny se momentálně nacházejí v peněženkách daného hackera, přičemž přibližně 5 000 ETH odeslal na burzy FTX a Huobi.
Pokračování na Voltage Finance a Fuse Network
Osm dní po uskutečnění největšího hacku v DeFi přichází další odcizení prostředků, tentokrát u společnosti Voltage Finance, provozující lending platformu na Fuse Network, stojící za implementací úvěrového protokolu Ola Finance. Při součtu ukradnutých prostředků se dostáváme na číslo 7,6 milionů dolarů, přičemž nejčastěji se jednalo o stablecoiny a wrapped bitcoiny nebo ethery.
Ptáte se, jak k útoku došlo? Můžete hádat, opět se totiž hack točí okolo reentrancy bugu. V případě smart kontraktů platformy na Fuse Network si hacker nejprve půjčil skrze půjčku zajištěnou kryptoměnou, ale poté s využitím reentrancy bugu odstranil kolaterál, aniž by půjčku splatil. Postup poté zopakoval na dalších poolech.
Poznámka
Poznámka: Opět se tedy jedná o vyslání dalšího dotazu dříve, než se dluh stihne vyrovnat, útočník ovšem zvolil lehce jiný postup, než u útoků na Agave a Hundred FInance.
Oba týmy, Fuse Network i Voltage Finance, se nechaly slyšet, že mají v plánu se zlodějem komunikovat a dohodnout se na vrácení prostředků. Zda k tomu ale dojde, není jasné. Zjevně se tak jedná o celkem velký problém zápůjčných protokolů, se kterým je těžké se vypořádat.
Blížíme se ke konci – Inverse Finance
Pokud jste si říkali, že už s krádežemi musí být konec, opak je pravdou. Dva dny na to přichází dosud nejčerstvější krádež v oblasti DeFi, tentokrát je obětí Inverse finance, jeden z nejnovějších zápůjčných protokolů na síti Etherea. Na etherscanu, blockchainovém prohlížeči Etherea, se můžeme dočíst, že hacker z protokolu odčerpal tokeny YFI, WBTC a DOLA.
1/ The @InverseFinance is exploited in a flurry of txs (one representative hack: https://t.co/KHHWAozWj1), leading to the gain of at least 11.7M for the hacker (The protocol loss is much larger).
U tohoto útoku využil hacker bug v cenových oracles, díky tomu dokázal u INV mincí, governance tokenu Inverse Finance, mnohonásobně zvýšit jejich cenu. Pak vykonal milionové půjčky, do kterých zahrnul jako kolaterál právě tyto mince INV s uměle vyhnanou cenou.
Poznámka
Poznámka: Cenový oracle (z lat. oraculum) je označení pro program, který nějakým způsobem získává informace o cenách kryptoměn. Inverse finance použila cenový oracle Keep3r, ve kterém hacker našel chybu a využil ji.
Vypůjčené mince pak útočník prodal na Uniswapu za ETH a ve snaze zamést stopy část odeslal do Tornado Cash, nechvalně proslulého anonymizačního protokolu, který kryptoměny zašifruje a znemožní tak sledovat další hackerův pohyb. Mělo by se jednat o téměř 15 milionů dolarů.
A co pojištění?
Mezi řešení, která byla navržena odborníky v rámci ochrany spotřebitelů, patří kryptoměnové pojištění. Jedná se o další produkt decentralizovaných financí, jež byl vyvinut přesně pro tyto případy. Obrátíte se proto na poskytovatele pojištění DeFi a zaplatíte určitou částku, abyste byli kryti pro případ, že o svůj kapitál přijdete v důsledku této skutečnosti.
To se však zatím plně neujalo a investoři nadále přicházejí o finanční prostředky. Samozřejmě, nejlogičtějším krokem je opravit chyby ve smart kontraktech a zavést řešení, pokud k takové situaci dojde, ale to není tak jednoduché.
Zmiňovaný reentrancy bug, neboli bug umožňující opakované vyslání dotazu nebo opakovaný vstup, chcete-li, se v kryptoměnách vyskytuje už velmi dlouho v různých podobách, pár z nich jste mohli vidět v útocích výše.
Další útoky v jiných odvětvích, phishing
Jak už jsme zmínili na začátku, útoky hackerů se netýkají pouze oblasti DeFi, ačkoliv jsou časté. Nevýhodou je, že běžný uživatel s takovými typy útoků nic neudělá. Před čím se ale může bránit a před čím je zároveň nejvíce zranitelný, je phishing.
Před pár dny jsme byli svědky ovládnutí bota na oficiálním Discordu nejhodnotnější a nejslavnější NFT kolekce světa – Bored Ape Yacht Club, což vyústilo v prezentování falešné stránky, kdy po kliknutí na URL uživatele o NFT přišli. Naštěstí byla odcizena pouze jedna opička, než se na podvodný odkaz přišlo.
Dalším příkladem je využití phishnigové kampaně u společnosti Trezor, českého výrobce hardwarových peněženek. Útočníci se během neděle dostali k emailovým adresám zákazníků skrze klienta Mailchimp a začali rozesílat podvodné zprávy.
We are investigating a potential data breach of an opt-in newsletter hosted on MailChimp.
A scam email warning of a data breach is circulating. Do not open any email originating from [email protected], it is a phishing domain.
Phishing může být obzvláště nebezpečný, mějte se proto na pozoru! Nikdy nikomu nesdělujte své osobní údaje a neklikejte na podezřelé odkazy. Vždy, když se svými kryptoměnami nějakým způsobem manipulujete, tak si ověřte, že tak činíte na oficiálních stránkách té dané burzy či DeFi protokolu.
Výskyt těchto problémů nás tak může zavést k otázce, zda bude třetí verze webu opravdu tak růžová. Inovační verze totiž slibuje, že získáme vše, co máme rádi na internetu, ale s větším soukromím a strukturou založenou na blockchainu, která zajistí větší bezpečnost našich dat než dosud. Taková je teorie, ale realita může představovat velké bezpečnostní riziko.
Zdroj: The Block Research
Porovnání webu 2.0 a verze 3.0
V návaznosti na nespočet událostí krádeží tak v komunitě kolem webu 3.0 zaznívají názory, že se nikdo nestará o bezpečnost informací méně než tvůrci kryptoměnových projektů. Tímto tempem hrozí, že Web3.0 zdědí nejhorší bezpečnostní chyby předchozího internetu, ale žádnou odpovědnost. Velké banky mají alespoň pojištění, které zákazníky v případě okradení odškodní.
V závěru článku bychom tak chtěli vypíchnout slova Vitalika Buterina, zakladatele Etherea, který řekl: “Je snadné dosáhnout dvou ze tří cílů, pokud jde o decentralizaci, škálování a bezpečnost, ale velmi obtížné dosáhnout všech tří”. Mimochodem, Vitalik se v lednu k této problematice vyjádřil a varoval, že projekty tohoto typu nejsou tak bezpečné jako je Ethereum nebo Bitcoin.
Bývalý šéfredaktor, softwarový architekt a nadšenec do kyberbezpečnosti a blockchainu. V rámci Finexu se zaměřuje zejména na technická témata v oblasti kryptoměn. Kryptoměny považuje za platidlo budoucnosti řešící řadu problémů s centralizovanou náturou existujících platebních prostředků. DeFi svět považuje za úchvatný a nabízející spoustu skvělých příležitostí.
Abychom Vám mohli poskytnout co nejlepší služby, používáme různé technologie, mezi které patří i soubory cookies.
Váš souhlas s použitím těchto technologií nám umožní zpracovávat údaje, jako je Vaše chování při používání našeho webu. Díky tomu můžeme náš web dále zlepšovat. Nesouhlas nebo odvolání souhlasu může nepříznivě ovlivnit určité vlastnosti a funkce těchto webových stránek.
Technické
Vždy aktivní
Technické cookies jsou nezbytně nutné pro legitimní účel umožnění použití služby, kterou si náš čtenář nebo uživatel výslovně vyžádal navštívením stránek a není možné je vypnout.
Předvolby
Technické uložení nebo přístup je nezbytný pro legitimní účel ukládání preferencí, které nejsou požadovány odběratelem nebo uživatelem.
Statistiky
Cookies využívané výhradně pro statistické a analytické účely, abychom naše stránky mohli neustále zlepšovat dle toho, jak se naši čtenáři a uživatelé chovají a jaké mají preference.Technické uložení nebo přístup, který se používá výhradně pro anonymní statistické účely. Bez předvolání, dobrovolného plnění ze strany vašeho Poskytovatele internetových služeb nebo dalších záznamů od třetí strany nelze informace, uložené nebo získané pouze pro tento účel, obvykle použít k vaší identifikaci.
Marketing
Cookies používané k vytvoření uživatelských profilů za účelem zobrazování reklamy nebo sledování chování na webových stránkách pro podobné marketingové účely.
94 %
90 %
Diskuze (0 komentářů)
Tento článek zatím nikdo neokomentoval. Přihlašte se a buďte první! Napište svůj názor a zahajte diskuzi.