Začněte psát a výsledky vyhledávání se zobrazí zde...

Poslední měsíc byl pro DeFi ve znamení krádeží, hackeři odcizili téměř 700 milionů dolarů

Publikováno
Poslední měsíc byl pro DeFi ve znamení krádeží, hackeři odcizili téměř 700 milionů dolarů
Zdroj: currency.com

Ačkoli decentralizované finance (DeFi) mohou představovat budoucí směřování celého finančního systému, nestane se tak, pokud se na měsíční bázi budou objevovat zprávy o zdařených útocích hackerů a ukradnutých milionech dolarů. Tento ekosystém je stále plný infrastrukturních chyb, čehož využívají hackeři k útokům a podvodům.

Poznámka

Poznámka: Abychom nekritizovali pouze DeFi, je vhodné se podívat i ke kryptoměnám samotným, kde se v roce 2021, podle zprávy Chainalysis, uskutečnily podvody šplhající k částce 7,7 miliardám dolarů. Z této částky se na ukradnutých prostředcích známé “rug pully” podílely 37% částí.

“Rug pull” je druh podvodu, kdy vývojáři v jeden moment odeberou veškerou likviditu z liquidity poolu kryptoměny, všechny mince držené investory jsou tak rázem bezcenné, protože není za co je směnit. Ukázkovým příkladem je např. kryptoměna SQUID.

Když jsme čtenáře minulý rok v srpnu informovali o dosavadním největším úspěšném hacku na Poly Network, nejspíš nikdo nečekal, že o pár měsíců na to přijde hack ještě větší. A bohužel, nebyl jediný, přišla ještě další zneužití infrastrukturálních nebo kódových chyb. Ty největší si shrneme a stručně popíšeme, jak odcizení probíhá.

Začátek událostí – Agave a Hundred Finance

Série útoků začala 15. března na dvou DeFi platformách – Agave a Hundred Finance. Podle zpětného vyšetřování se přišlo na to, že šlo o flash loan “reentrancy bug” na oba protokoly v řetězci Gnosis. V reakci na dění platformy okamžitě zastavily činnosti smart kontraktů, aby zabránily dalším škodám.

Poznámka

Poznámka: Flash loan je typ kryptoměnové půjčky bez zástavy oproti typickým půjčkám, kde je vyžadován kolaterál. Princip spočívá v tom, že půjčka je vydána a splacena během jediného bloku. Pokud není splacena, není potvrzena a přidána do blockchainu.

V případě Agave finance bylo vysílání více požadavků k půjčce za sebou (“reentrancy”) možné kvůli použití různých tokenových standardů skrze kryptoměnový bridge Gnosis chainu – protokol zalistoval tokeny, které měly jiné standardizované označení, než většina.

Útočník nejdříve do protokolu vložil kolaterál v hodnotě zhruba 2 milionů dolarů a poté si vypůjčil jedno z aktiv v hodnotě asi 1,5 milionu dolarů, zde využil možnosti vyslat další dotaz k půjčce dříve, než se dluh stihl aktualizovat – znovu si vypůjčil dalších 1,5 milionů dolarů na jiném aktivu, i když jeho kolaterál dosahoval stále jen 2 milionů. Poté tedy držel cca 3 miliony v půjčených aktivech. Tento proces pachatel opakoval, dokud veškeré dostupné finanční prostředky z protokolů nevyčerpal.

Princip reentrancy bugu tedy spočívá v opakovaném výběru či půjčování prostředků do doby, dokud v protokolu žádné další finance nezbydou nebo se činnost sám útočník nerozhodne ukončit.

Poznámka

Vysvětlení: Důvodem, proč útočník může opakované dotazy vysílat, je skutečnost, že vzhledem k chybám v Solidity existují způsoby, jak přesvědčit smart kontrakty protokolu k odesílání dotazů na smart kontrakty pocházejících odjinud – útočník k tomu může využít svůj vlastní upravený smart kontrakt, do kterého si může napsat cokoliv.

Vývojáři z těchto důvodů přidávají do kódů aplikací různá bezpečnostní opatření. Jelikož se ale vždy jedná o dodatečné opravy a ne o přirozenou schopnost Solidity těmto útokům vzdorovat, může se stát, že opatření přestanou fungovat (u těchto dvou útoků např. kvůli různým tokenovým standardům).

Vypůjčená aktiva se skládala z 2 728,9 WETH, 243 423 USDC, 24 563 LINK, 16,76 WBTC, 8 400 GNO a 347 787 WXDAI. Celkově si hacker přišel na přibližně 11 milionů dolarů.

Následuje historicky největší útok – Axie Infinity

Aniž by se z předešlých hacků stihla komunita kolem DeFi vzpamatovat, o rovných 8 dní později přichází zmiňovaný největší hack v historii decentralizovaných financí. Hacker v sidechainu Etherea k Axie Infinity, Roninu, získává kontrolu nad většinou validačních uzlů a v návaznosti na další jeho postupy je schopen odcizit 620 milionů dolarů.

Nejbizarnější na tom je fakt, že vývojářům trvalo 6 dní, než si zmizení stovek milionů dolarů někdo všiml. Toto nakonec vyústilo v pozastavení činnosti decentralizované burzy Katana. Některé kryptoměny se momentálně nacházejí v peněženkách daného hackera, přičemž přibližně 5 000 ETH odeslal na burzy FTX a Huobi.

Pokračování na Voltage Finance a Fuse Network

Osm dní po uskutečnění největšího hacku v DeFi přichází další odcizení prostředků, tentokrát u společnosti Voltage Finance, provozující lending platformu na Fuse Network, stojící za implementací úvěrového protokolu Ola Finance. Při součtu ukradnutých prostředků se dostáváme na číslo 7,6 milionů dolarů, přičemž nejčastěji se jednalo o stablecoiny a wrapped bitcoiny nebo ethery.

Ptáte se, jak k útoku došlo? Můžete hádat, opět se totiž hack točí okolo reentrancy bugu. V případě smart kontraktů platformy na Fuse Network si hacker nejprve půjčil skrze půjčku zajištěnou kryptoměnou, ale poté s využitím reentrancy bugu odstranil kolaterál, aniž by půjčku splatil. Postup poté zopakoval na dalších poolech.

Poznámka

Poznámka: Opět se tedy jedná o vyslání dalšího dotazu dříve, než se dluh stihne vyrovnat, útočník ovšem zvolil lehce jiný postup, než u útoků na Agave a Hundred FInance.

Oba týmy, Fuse Network i Voltage Finance, se nechaly slyšet, že mají v plánu se zlodějem komunikovat a dohodnout se na vrácení prostředků. Zda k tomu ale dojde, není jasné. Zjevně se tak jedná o celkem velký problém zápůjčných protokolů, se kterým je těžké se vypořádat.

Blížíme se ke konci – Inverse Finance

Pokud jste si říkali, že už s krádežemi musí být konec, opak je pravdou. Dva dny na to přichází dosud nejčerstvější krádež v oblasti DeFi, tentokrát je obětí Inverse finance, jeden z nejnovějších zápůjčných protokolů na síti Etherea. Na etherscanu, blockchainovém prohlížeči Etherea, se můžeme dočíst, že hacker z protokolu odčerpal tokeny YFI, WBTC a DOLA.

U tohoto útoku využil hacker bug v cenových oracles, díky tomu dokázal u INV mincí, governance tokenu Inverse Finance, mnohonásobně zvýšit jejich cenu. Pak vykonal milionové půjčky, do kterých zahrnul jako kolaterál právě tyto mince INV s uměle vyhnanou cenou.

Poznámka

Poznámka: Cenový oracle (z lat. oraculum) je označení pro program, který nějakým způsobem získává informace o cenách kryptoměn. Inverse finance použila cenový oracle Keep3r, ve kterém hacker našel chybu a využil ji.

Vypůjčené mince pak útočník prodal na Uniswapu za ETH a ve snaze zamést stopy část odeslal do Tornado Cash, nechvalně proslulého anonymizačního protokolu, který kryptoměny zašifruje a znemožní tak sledovat další hackerův pohyb. Mělo by se jednat o téměř 15 milionů dolarů.

A co pojištění?

Mezi řešení, která byla navržena odborníky v rámci ochrany spotřebitelů, patří kryptoměnové pojištění. Jedná se o další produkt decentralizovaných financí, jež byl vyvinut přesně pro tyto případy. Obrátíte se proto na poskytovatele pojištění DeFi a zaplatíte určitou částku, abyste byli kryti pro případ, že o svůj kapitál přijdete v důsledku této skutečnosti.

To se však zatím plně neujalo a investoři nadále přicházejí o finanční prostředky. Samozřejmě, nejlogičtějším krokem je opravit chyby ve smart kontraktech a zavést řešení, pokud k takové situaci dojde, ale to není tak jednoduché.

Zmiňovaný reentrancy bug, neboli bug umožňující opakované vyslání dotazu nebo opakovaný vstup, chcete-li, se v kryptoměnách vyskytuje už velmi dlouho v různých podobách, pár z nich jste mohli vidět v útocích výše.

Další útoky v jiných odvětvích, phishing

Jak už jsme zmínili na začátku, útoky hackerů se netýkají pouze oblasti DeFi, ačkoliv jsou časté. Nevýhodou je, že běžný uživatel s takovými typy útoků nic neudělá. Před čím se ale může bránit a před čím je zároveň nejvíce zranitelný, je phishing.

Před pár dny jsme byli svědky ovládnutí bota na oficiálním Discordu nejhodnotnější a nejslavnější NFT kolekce světa – Bored Ape Yacht Club, což vyústilo v prezentování falešné stránky, kdy po kliknutí na URL uživatele o NFT přišli. Naštěstí byla odcizena pouze jedna opička, než se na podvodný odkaz přišlo.

Dalším příkladem je využití phishnigové kampaně u společnosti Trezor, českého výrobce hardwarových peněženek. Útočníci se během neděle dostali k emailovým adresám zákazníků skrze klienta Mailchimp a začali rozesílat podvodné zprávy.

Phishing může být obzvláště nebezpečný, mějte se proto na pozoru! Nikdy nikomu nesdělujte své osobní údaje a neklikejte na podezřelé odkazy. Vždy, když se svými kryptoměnami nějakým způsobem manipulujete, tak si ověřte, že tak činíte na oficiálních stránkách té dané burzy či DeFi protokolu.

Web 3.0

Výskyt těchto problémů nás tak může zavést k otázce, zda bude třetí verze webu opravdu tak růžová. Inovační verze totiž slibuje, že získáme vše, co máme rádi na internetu, ale s větším soukromím a strukturou založenou na blockchainu, která zajistí větší bezpečnost našich dat než dosud. Taková je teorie, ale realita může představovat velké bezpečnostní riziko.

Zdroj: The Block Research
rozdíl mezi webem 2.0 a verzí 3.0
Porovnání webu 2.0 a verze 3.0

V návaznosti na nespočet událostí krádeží tak v komunitě kolem webu 3.0 zaznívají názory, že se nikdo nestará o bezpečnost informací méně než tvůrci kryptoměnových projektů. Tímto tempem hrozí, že Web3.0 zdědí nejhorší bezpečnostní chyby předchozího internetu, ale žádnou odpovědnost. Velké banky mají alespoň pojištění, které zákazníky v případě okradení odškodní.

V závěru článku bychom tak chtěli vypíchnout slova Vitalika Buterina, zakladatele Etherea, který řekl: “Je snadné dosáhnout dvou ze tří cílů, pokud jde o decentralizaci, škálování a bezpečnost, ale velmi obtížné dosáhnout všech tří”. Mimochodem, Vitalik se v lednu k této problematice vyjádřil a varoval, že projekty tohoto typu nejsou tak bezpečné jako je Ethereum nebo Bitcoin.

Líbil se vám tento článek?
1
0

Autor

Finanční trhy mě doslova okouzlily, nejvíce pak kryptoměny, kde stojíme na počátku něčeho naprosto revolučního v oblasti finančnictví.

Přináším analýzy, denní zprávy a komentáře k aktuálnímu dění.

Bývalý šéfredaktor, softwarový architekt a nadšenec do kryptografie, kyberbezpečnosti a blockchainu. V rámci Finexu se zaměřuje zejména na technická témata v oblasti kryptoměn. V současnosti působí také jako správce financí v rámci investiční skupiny Icecaps Capital, v níž se zaměřuje na využití strojového učení v algoritmickém obchodování.

Kryptoměny považuje za platidlo budoucnosti řešící řadu problémů s centralizovanou náturou existujících platebních prostředků. DeFi svět považuje za úchvatný a nabízející spoustu skvělých příležitostí.

Přečíst více

Sdílejte tento článek

Mohlo by vás zajímat

Diskuze (0 komentářů)

Připojte se k diskuzi

Tento článek zatím nikdo neokomentoval. Přihlašte se a buďte první! Napište svůj názor a zahajte diskuzi.

Recenze
TOP Nejlepší brokeři
Při obchodování CFD s tímto poskytovatelem ztrácí 76 % účtů retailových investorů peníze.
U 66,02 % retailových investorů došlo ke vzniku ztráty.
U 68 % retailových investorů došlo ke vzniku ztráty.
U 76 % retailových investorů došlo při obchodování CFD u této společnosti ke vzniku ztráty.
Investování zahrnuje rizika ztrát.‎