10 крупнейших DeFi-взломов 2022 года

На сегодняшний день в секторе DeFi заблокировано больше $50 млрд. Эти средства распределены между большим количеством сетей и протоколов. Учитывая, сколько денег заморожено на этих контрактах, неудивительно, что они являются привлекательной мишенью для хакеров. 

Согласно информации PeckShield, в 2022 году произошло 135 инцидентов, в ходе которых DeFi-протоколы суммарно потеряли более $2,3 миллиарда. Это на 50% больше, чем в 2021 году. 

Мы собрали список из 10 самых крупных взломов DeFi-протоколов по состоянию на декабрь 2022 года.

29 марта 2022 года хакер получил доступ к приватным ключам, которые хранили более $620 млн в криптовалюте. Он вывел эти деньги и прогнал их через миксер Tornado Cash. Общие убытки биржи составили 173,600 ETH и 25,5 млн USDC.

Предположительно, взлом совершили хакеры из группы Lazarus, которых связывают с правительством Северной Кореи.

2 февраля 2022 года хакер воспользовался уязвимостью контракта WETH и наминтил 2 млн WETH. Эти токены он обменял на другие криптовалюты на децентрализованной бирже Serum. Далее деньги были пропущены через Тornado Cash. 

Хакеру удалось скрыться со всеми деньгами и остаться инкогнито.

Nomad Bridge позволяет отправлять ценность между сетями Ethereum, Avalanche, Evmos, Milkomeda и Moonbeam. Неизвестный хакер обнаружил, что можно создавать транзакции без необходимости получения подтверждения от смарт-контракта Nomad. 

Как только он начал выводить деньги, к нему присоединились сотни людей, так как повторить этот метод было очень просто: достаточно только скопировать и вставить данные вызова транзакции (transaction calldata) хакера и заменить оригинальный адрес своим. 

За пару часов TVL проекта упал со $190 млн до $16 тыс.

В апреле злоумышленнику удалось вывести $182 млн из протокола Beanstalk. Эта атака отличалась от вышеперечисленных. В этом случае хакер использовал недочет в системе голосования протокола. Он собрал достаточно токенов, чтобы провести и принять голосование о том, чтобы отправить себе $182 млн в криптовалюте.

Нужное количество токенов ему удалось получить при помощи протокола кредитования bXZ. После того, как хакер расплатился с кредиторами, у него осталось около $76 миллионов.

Wintermute — это платформа децентрализованного финансирования, которую взломали на $160 млн в конце сентября этого года. 

По словам CEO Wintermute, взлом произошел из-за критической ошибки инструмента для генерации адресов на Ethereum под названием Profanity. Хотя он предлагал взломщику вернуть деньги за вознаграждение в размере 10%, этого так и не произошло.

В июне хакер использовал лазейку в децентрализованной бирже Maiar, украв с ее кошельков 1,65 млн токенов EGLD. 800 000 токенов он сразу же продал на той же DEX, а остальную часть средств свапнул на ETH и перевел на другие биржи.

За сутки цена ELGD упала на 92% —  с $62 до $5. Примечательно, что вскоре она восстановилась до прежних уровней, и на данный момент ELGD торгуется чуть выше $40.

Мост Horizon помогал переводить токены между Harmony One и Ethereum. В июне 2022 года, через несколько дней после эксплойта Elrond, злоумышленники вывели из Horizon около $100 миллионов. В ходе взлома пострадало больше 50 000 пользователей. После этого проект закрылся. 

Хакерам удалось прогнать около $35 миллионов через Tornado Cash и скрыться с деньгами. 

В начале 2022 года проекты Rari Capital и Fei Protocol совершили слияние. Вскоре после этого из их пулов вывели около $80 млн в криптовалюте.

Команды Rari и Faei пытались связаться со взломщиками и предлагали им награду в $10 млн за возвращенные деньги. Но хакер предпочел отмыть деньги через Tornado Cash и оставить их все себе.

7 января неизвестному лицу или группе лиц удалось воспользоваться уязвимостью смарт-контракта и наминтить бесконечное количество xETH. Далее они меняли xETH на BNB, продавали их и отправляли ценность оффчейн. По словам блокчейн-аналитиков, взлом стал возможен благодаря ошибке в коде Qubit.

В общей сложности злоумышленникам удалось украсть 206 000 BNB, которые на тот момент оценивались в $80 млн. 

В марте протокол на базе Solana подвергся атаке, в ходе которой хакер мог без ограничений минтить стейблкоин CASH. Эти токены он обменял на USDC и UST, а потом вывел на DEX Saber. 

Общий ущерб оценивается в $48 млн. После взлома цена CASH, которая ранее была привязана 1:1 к доллару, обвалилась до $0. 

Хакер вернул деньги тем пользователям, баланс которых не превышал $100 000. Кроме того, он пообещал отдать оставшиеся средства на благотворительность.

Хотя сфера децентрализованных финансов является одной из наиболее многообещающих в индустрии криптовалют, она несет в себе огромные риски. Перечисленные нами взломы демонстрируют, что разработчикам DeFi нужно проделать еще много работы над безопасностью своих протоколов. По мере развития и популяризации отрасли, критически важно обезопасить своих клиентов от непредвиденных потерь денег.