Finex.cz logo
Menu
Finex » Kryptoměny » Poslední měsíc byl pro DeFi ve znamení krádeží, hackeři odcizili téměř 700 milionů dolarů

Poslední měsíc byl pro DeFi ve znamení krádeží, hackeři odcizili téměř 700 milionů dolarů

Poslední měsíc byl pro DeFi ve znamení krádeží, hackeři odcizili téměř 700 milionů dolarů
Zdroj: currency.com

Ačkoli decentralizované finance (DeFi) mohou představovat budoucí směřování celého finančního systému, nestane se tak, pokud se na měsíční bázi budou objevovat zprávy o zdařených útocích hackerů a ukradnutých milionech dolarů. Tento ekosystém je stále plný infrastrukturních chyb, čehož využívají hackeři k útokům a podvodům.

Když jsme čtenáře minulý rok v srpnu informovali o dosavadním největším úspěšném hacku na Poly Network, nejspíš nikdo nečekal, že o pár měsíců na to přijde hack ještě větší. A bohužel, nebyl jediný, přišla ještě další zneužití infrastrukturálních nebo kódových chyb. Ty největší si shrneme a stručně popíšeme, jak odcizení probíhá.

Začátek událostí – Agave a Hundred Finance

Série útoků začala 15. března na dvou DeFi platformách – Agave a Hundred Finance. Podle zpětného vyšetřování se přišlo na to, že šlo o flash loan "reentrancy bug" na oba protokoly v řetězci Gnosis. V reakci na dění platformy okamžitě zastavily činnosti smart kontraktů, aby zabránily dalším škodám.

V případě Agave finance bylo vysílání více požadavků k půjčce za sebou ("reentrancy") možné kvůli použití různých tokenových standardů skrze kryptoměnový bridge Gnosis chainu – protokol zalistoval tokeny, které měly jiné standardizované označení, než většina.

Útočník nejdříve do protokolu vložil kolaterál v hodnotě zhruba 2 milionů dolarů a poté si vypůjčil jedno z aktiv v hodnotě asi 1,5 milionu dolarů, zde využil možnosti vyslat další dotaz k půjčce dříve, než se dluh stihl aktualizovat – znovu si vypůjčil dalších 1,5 milionů dolarů na jiném aktivu, i když jeho kolaterál dosahoval stále jen 2 milionů. Poté tedy držel cca 3 miliony v půjčených aktivech. Tento proces pachatel opakoval, dokud veškeré dostupné finanční prostředky z protokolů nevyčerpal.

Princip reentrancy bugu tedy spočívá v opakovaném výběru či půjčování prostředků do doby, dokud v protokolu žádné další finance nezbydou nebo se činnost sám útočník nerozhodne ukončit.

Vypůjčená aktiva se skládala z 2 728,9 WETH, 243 423 USDC, 24 563 LINK, 16,76 WBTC, 8 400 GNO a 347 787 WXDAI. Celkově si hacker přišel na přibližně 11 milionů dolarů.

Následuje historicky největší útok – Axie Infinity

Aniž by se z předešlých hacků stihla komunita kolem DeFi vzpamatovat, o rovných 8 dní později přichází zmiňovaný největší hack v historii decentralizovaných financí. Hacker v sidechainu Etherea k Axie Infinity, Roninu, získává kontrolu nad většinou validačních uzlů a v návaznosti na další jeho postupy je schopen odcizit 620 milionů dolarů.

Nejbizarnější na tom je fakt, že vývojářům trvalo 6 dní, než si zmizení stovek milionů dolarů někdo všiml. Toto nakonec vyústilo v pozastavení činnosti decentralizované burzy Katana. Některé kryptoměny se momentálně nacházejí v peněženkách daného hackera, přičemž přibližně 5 000 ETH odeslal na burzy FTX a Huobi.

Pokračování na Voltage Finance a Fuse Network

Osm dní po uskutečnění největšího hacku v DeFi přichází další odcizení prostředků, tentokrát u společnosti Voltage Finance, provozující lending platformu na Fuse Network, stojící za implementací úvěrového protokolu Ola Finance. Při součtu ukradnutých prostředků se dostáváme na číslo 7,6 milionů dolarů, přičemž nejčastěji se jednalo o stablecoiny a wrapped bitcoiny nebo ethery.

Ptáte se, jak k útoku došlo? Můžete hádat, opět se totiž hack točí okolo reentrancy bugu. V případě smart kontraktů platformy na Fuse Network si hacker nejprve půjčil skrze půjčku zajištěnou kryptoměnou, ale poté s využitím reentrancy bugu odstranil kolaterál, aniž by půjčku splatil. Postup poté zopakoval na dalších poolech.

Oba týmy, Fuse Network i Voltage Finance, se nechaly slyšet, že mají v plánu se zlodějem komunikovat a dohodnout se na vrácení prostředků. Zda k tomu ale dojde, není jasné. Zjevně se tak jedná o celkem velký problém zápůjčných protokolů, se kterým je těžké se vypořádat.

Blížíme se ke konci – Inverse Finance

Pokud jste si říkali, že už s krádežemi musí být konec, opak je pravdou. Dva dny na to přichází dosud nejčerstvější krádež v oblasti DeFi, tentokrát je obětí Inverse finance, jeden z nejnovějších zápůjčných protokolů na síti Etherea. Na etherscanu, blockchainovém prohlížeči Etherea, se můžeme dočíst, že hacker z protokolu odčerpal tokeny YFI, WBTC a DOLA.

U tohoto útoku využil hacker bug v cenových oracles, díky tomu dokázal u INV mincí, governance tokenu Inverse Finance, mnohonásobně zvýšit jejich cenu. Pak vykonal milionové půjčky, do kterých zahrnul jako kolaterál právě tyto mince INV s uměle vyhnanou cenou.

Vypůjčené mince pak útočník prodal na Uniswapu za ETH a ve snaze zamést stopy část odeslal do Tornado Cash, nechvalně proslulého anonymizačního protokolu, který kryptoměny zašifruje a znemožní tak sledovat další hackerův pohyb. Mělo by se jednat o téměř 15 milionů dolarů.

A co pojištění?

Mezi řešení, která byla navržena odborníky v rámci ochrany spotřebitelů, patří kryptoměnové pojištění. Jedná se o další produkt decentralizovaných financí, jež byl vyvinut přesně pro tyto případy. Obrátíte se proto na poskytovatele pojištění DeFi a zaplatíte určitou částku, abyste byli kryti pro případ, že o svůj kapitál přijdete v důsledku této skutečnosti.

To se však zatím plně neujalo a investoři nadále přicházejí o finanční prostředky. Samozřejmě, nejlogičtějším krokem je opravit chyby ve smart kontraktech a zavést řešení, pokud k takové situaci dojde, ale to není tak jednoduché.

Zmiňovaný reentrancy bug, neboli bug umožňující opakované vyslání dotazu nebo opakovaný vstup, chcete-li, se v kryptoměnách vyskytuje už velmi dlouho v různých podobách, pár z nich jste mohli vidět v útocích výše.

Další útoky v jiných odvětvích, phishing

Jak už jsme zmínili na začátku, útoky hackerů se netýkají pouze oblasti DeFi, ačkoliv jsou časté. Nevýhodou je, že běžný uživatel s takovými typy útoků nic neudělá. Před čím se ale může bránit a před čím je zároveň nejvíce zranitelný, je phishing.

Před pár dny jsme byli svědky ovládnutí bota na oficiálním Discordu nejhodnotnější a nejslavnější NFT kolekce světa – Bored Ape Yacht Club, což vyústilo v prezentování falešné stránky, kdy po kliknutí na URL uživatele o NFT přišli. Naštěstí byla odcizena pouze jedna opička, než se na podvodný odkaz přišlo.

Dalším příkladem je využití phishnigové kampaně u společnosti Trezor, českého výrobce hardwarových peněženek. Útočníci se během neděle dostali k emailovým adresám zákazníků skrze klienta Mailchimp a začali rozesílat podvodné zprávy.

Phishing může být obzvláště nebezpečný, mějte se proto na pozoru! Nikdy nikomu nesdělujte své osobní údaje a neklikejte na podezřelé odkazy. Vždy, když se svými kryptoměnami nějakým způsobem manipulujete, tak si ověřte, že tak činíte na oficiálních stránkách té dané burzy či DeFi protokolu.

Web 3.0

Výskyt těchto problémů nás tak může zavést k otázce, zda bude třetí verze webu opravdu tak růžová. Inovační verze totiž slibuje, že získáme vše, co máme rádi na internetu, ale s větším soukromím a strukturou založenou na blockchainu, která zajistí větší bezpečnost našich dat než dosud. Taková je teorie, ale realita může představovat velké bezpečnostní riziko.

rozdíl mezi webem 2.0 a verzí 3.0
Porovnání webu 2.0 a verze 3.0
Zdroj: The Block Research

V návaznosti na nespočet událostí krádeží tak v komunitě kolem webu 3.0 zaznívají názory, že se nikdo nestará o bezpečnost informací méně než tvůrci kryptoměnových projektů. Tímto tempem hrozí, že Web3.0 zdědí nejhorší bezpečnostní chyby předchozího internetu, ale žádnou odpovědnost. Velké banky mají alespoň pojištění, které zákazníky v případě okradení odškodní.

V závěru článku bychom tak chtěli vypíchnout slova Vitalika Buterina, zakladatele Etherea, který řekl: "Je snadné dosáhnout dvou ze tří cílů, pokud jde o decentralizaci, škálování a bezpečnost, ale velmi obtížné dosáhnout všech tří". Mimochodem, Vitalik se v lednu k této problematice vyjádřil a varoval, že projekty tohoto typu nejsou tak bezpečné jako je Ethereum nebo Bitcoin.

Vstupte do světa kryptoměn!

Již kryptoměny máte? Držte je v bezpečí hardware peněženky Trezor!

Favorit redakce
Trezor logo

Trezor

★ 95 %

  • Jedna z nejbezpečnějších kryptoměnových peněženek
  • Vytvořena českou firmou
  • Pro začátečníky může působit složitě
  • Je dražší než ostatní peněženky

Aktuálně 3 největší kryptoměny

Graf posl. 7 dní
Graf Bitcoin
Změna za 24h
-1,3%
Cena
$20 485
Graf posl. 7 dní
Graf Ethereum
Změna za 24h
-3,6%
Cena
$1 161
Graf posl. 7 dní
Graf BNB
Změna za 24h
-0,32%
Cena
$233,9

Ohodnoťte tento článek

Připojte se k diskuzi
Akcie
Komodity
Krypto
Indexy
ETF
Cena 24h
Tesla Inc. ---
N/A
ČEZ ---
N/A
Apple ---
N/A
Avast ---
N/A
Moneta ---
N/A
Komerční banka ---
N/A
RECENZE

TOP Forex brokeři

Plus500 logo
Plus500Reklama
U 77 % retailových investorů došlo ke vzniku ztráty.
XTB logo
XTB★ 93 %
U 73 % retailových investorů došlo ke vzniku ztráty.
RoboMarkets logo
RoboMarkets★ 92 %
U 66.8 % retailových investorů došlo ke vzniku ztráty.
eToro logo
eToro★ 90 %
U 68 % retailových investorů došlo ke vzniku ztráty.

Velký test: Investujeme vlastní peníze do investičních platforem

Která přinese největší zhodnocení? Portu, Fondee, Indigo, Finax, nebo Fumbi?
Která přinese největší zhodnocení? Portu, Fondee, Indigo, Finax, nebo Fumbi?
Sledujte nás na Facebooku, ať vám nic neunikne!
Facebook icon Jít na Facebook
Finex logo