На сьогоднішній день у секторі DeFi заблоковано понад $50 млрд. Ці кошти розподілені між великою кількістю мереж та протоколів. Враховуючи кількість коштів заморожених на цих контрактах, не дивно, що вони є привабливою ціллю для хакерів.
Згідно з інформацією PeckShield, у 2022 році сталося 135 інцидентів, під час яких DeFi-протоколи сумарно втратили понад $2,3 мільярда. Це на 50% більше, ніж в 2021 році.
Ми зібрали список із 10 найбільших зломів DeFi-протоколів станом на грудень 2022 року.
1. Ronin Bridge ($620 млн)
29 березня 2022 року хакер отримав доступ до приватних ключів, які зберігали понад $620 млн у криптовалюті. Він вивів ці гроші та прогнав їх через міксер Tornado Cash. Загальні збитки біржі склали 173,600 ETH та 25,5 млн USDC.
Імовірно, це зробили хакери з групи Lazarus, яких пов'язують з урядом Північної Кореї.
Джерело: Twitter
2. Wormhole Bridge ($326 млн)
2 лютого 2022 року хакер скористався вразливістю контракту WETH та намінтив 2 млн WETH. Ці токени він обміняв на інші криптовалюти на децентралізованій біржі Serum. Далі гроші були пропущені через Tornado Cash.
Хакеру вдалося втекти з усіма грошима і залишитися інкогніто.
Джерело: Twitter
3. Nomad Bridge ($190 млн)
Nomad Bridge дозволяє відправляти активи між мережами Ethereum, Avalanche, Evmos, Milkomeda та Moonbeam. Невідомий хакер виявив, що можна створювати транзакції без необхідності отримання підтвердження смарт-контракту Nomad.
Як тільки він почав виводити гроші, до нього приєдналися сотні людей, тому що повторити цей метод було дуже просто: достатньо лише скопіювати та вставити дані виклику транзакції (transaction calldata) хакера та замінити оригінальну адресу на свою.
За кілька годин TVL проєкту впав з $190 млн до $16 тис.
Джерело: Coinmarketcap
4. Beanstalk farms ($182 млн)
У квітні зловмиснику вдалося вивести $182 млн із протоколу Beanstalk. Ця атака відрізнялася від перерахованих вище. У цьому випадку хакер використовував недолік у системі голосування протоколу. Він зібрав достатньо токенів, щоб провести та прийняти голосування про те, щоб відправити собі $182 млн у криптовалюті.
Потрібну кількість токенів йому вдалося отримати за допомогою протоколу кредитування bXZ. Після того, як хакер розплатився із кредиторами, у нього залишилося близько $76 мільйонів.
Джерело:Twitter
5. Wintermute ($160 млн)
Wintermute - це платформа децентралізованого фінансування, яку зламали на $160 млн наприкінці вересня цього року.
За словами CEO Wintermute, злом стався через критичну помилку інструменту для генерації адрес на Ethereum під назвою Profanity. Хоча він пропонував хакеру повернути гроші за винагороду у розмірі 10%, цього так і не сталося.
Джерело:Twitter
6. Падіння Elrond на Maiar ($113 млн)
У червні хакер скористався лазівкою в децентралізованій біржі Maiar, щоб викрасти з її гаманців 1,65 млн токенів EGLD. 800 000 токенів він одразу ж продав на тій же DEX, а решту коштів обміняв на ETH і перевів на інші біржі.
За добу ціна ELGD впала на 92% — з $62 до $5. Примітно, що незабаром ціна повернулася до попередніх рівнів і наразі ELGD торгується за ціною трохи вище $40.
Джерело: Twitter
7. Horizon Bridge ($100 млн)
Міст Horizon допомагав переказувати токени між Harmony One та Ethereum. У червні 2022 року, через декілька днів після експлойту Elrond, зловмисники вивели з Horizon близько $100 мільйонів. В ході злому постраждали понад 50 000 користувачів. Після цього проєкт закрився.
Хакерам вдалося прогнати близько $35 мільйонів через Tornado Cash та втекти з грошима.
Джерело: Twitter
8. Rari Capital и Fei Protocol ($80 млн)
На початку 2022 року відбулося злиття проєктів Rari Capital і Fei Protocol. Незабаром з їхніх пулів вивели близько $80 млн у криптовалюті.
Команди Rari та Fei намагалися зв'язатися зі зловмисниками та пропонували їм винагороду в $10 млн за повернення грошей. Але хакер вирішив відмити гроші через Tornado Cash і залишити їх усі собі.
Джерело: Twitter
9. Qubit Finance ($80 млн)
27 січня невідомій особі чи групі осіб вдалося скористатися вразливістю смарт-контракту та намінтити нескінченну кількість xETH. Далі вони обміняли xETH на BNB, продали їх та відправили активи офчейн. За словами блокчейнаналітиків, атака стала можливою через помилку в коді Qubit.
Загалом зловмисникам вдалося вкрасти 206 000 BNB, які на той момент оцінювалися у $80 млн.
Джерело: Twitter
10. Cashio ($48 млн)
У березні протокол на базі Solana зазнав атаки, в ході якої хакер міг без обмежень мінтити стейблкоін CASH. Ці токени він обміняв на USDC та UST, а потім вивів через DEX Saber.
Загальні збитки оцінюються в $48 млн. Після злому ціна CASH, яка раніше була прив'язана 1:1 до долара, обвалилася до $0.
Хакер повернув гроші тим користувачам, баланс яких не перевищував $100 000. Крім того, він пообіцяв віддати гроші на благодійність.
Джерело: Twitter
Хоча сфера децентралізованих фінансів є однією з найбільш перспективних в галузі криптовалют, вона несе в собі величезні ризики. Перелічені нами зломи демонструють, що розробникам DeFi потрібно добре попрацювати над безпекою своїх протоколів. У міру розвитку та популяризації галузі, критично важливо убезпечити своїх клієнтів від непередбачених втрат коштів.