Киберпреступники атакуют DeFi
Аналитики говорят, что децентрализованные финансы потеряли 1,8 миллиарда долларов в результате кибератак в прошлом году, и 80% этих событий были результатом уязвимого кода.
Платформы децентрализованного финансирования (DeFi), которые соединяют различные блокчейны криптовалют по созданию децентрализованной инфраструктуры для заимствования, торговли и других транзакций, обещают заменить банки в качестве безопасного и удобного способа инвестировать и тратить криптовалюту. Но киберпреступники почувствовали, что полчища новых пользователей, мечтающих о цифровом богатстве, являются лёгкой добычей.
Аналитики Bishop Fox обнаружили, что платформы DeFi потеряли 1,8 миллиарда долларов в результате кибератак только в 2021 году. Согласно отчету, в котором было зафиксировано 65 событий, 90% потерь были вызваны несложными атаками, что указывает на слабые методы кибербезопасности в этом секторе.
Аналитики обнаружили, что в прошлом году на DeFi в среднем совершалось пять атак в неделю, причем большинство из них (51%) были связаны с использованием ошибок «смарт-контрактов». Смарт-контракты — это, по сути, записи транзакций, хранящиеся в блокчейне.
Другие основные векторы атак DeFi включают в себя криптокошельки, недостатки дизайна протоколов и так называемые мошеннические схемы (когда инвесторов заманивают в новый криптовалютный проект, который затем закрывают, оставляя потерпевших с бесполезной валютой). Но вместе взятые, согласно отчету, 80% всех этих событий были вызваны использованием (или повторным использованием) ошибочного кода.
«Желание развиваться быстро и сэкономить время или, зачастую, просто ленивое нежелание пересматривать или переделывать собственный код очень часто приводит к использованию непроверенного и, следовательно, крайне уязвимого кода», — говорится в отчете.
И действительно, поскольку пользователи и сами платформы DeFi пытаются заново изобрести банковское дело — и сложную новую инфраструктуру для его поддержки — администраторы не должны упускать из виду важность основ безопасности, — сказал Dark Reading Дилан Дубейф, старший консультант по безопасности в Bishop Fox.
«Независимо от того, насколько инновационным или сложным является ваш проект, не забывайте о безопасности, игнорируя то, что кажется второстепенным или элементарным», — говорит он. «Тривиальная уязвимость может в конечном итоге стоить вам больше всего».
Уязвимости смарт-контрактов DeFi
Ярким примером является нарушение DeFi, связанное со смарт-контрактом BurgerSwap Dex 28 мая 2021 года, которое привело к убыткам в размере 7,2 миллиона долларов. Согласно отчету, эта атака использовала уязвимости, которые настолько хорошо известны, что их использование в данном случае может вызывать только НЕДОУМЕНИЕ. Согласно отчету, к ним относятся использование отсутствующей проверки x*y≥k** и усиление атак с повторным входом. Слабые места позволили злоумышленникам использовать известные тактики, такие как злоупотребление мгновенными кредитами и использование поддельных токенов.
«Мы не можем не подчеркнуть — важно поддерживать повторяющийся процесс аудита и тестировать каждый фрагмент кода, прежде чем он будет запущен в производство», — говорится в отчете. «В децентрализованных финансах даже самая короткая строка уязвимого кода может привести к полной потере токенов проекта и краху проекта».
В августе прошлого года Cream Finance сильно пострадал от рук киберпреступников, потеряв почти 29 миллионов долларов до того, как атака была обнаружена (418 311 571 в Amp Coin и 1 308,09 в криптовалюте Ethereum).
Взлом стал возможен из-за ошибки повторного входа в функцию смарт-контрактов, вызванной токенами $AMP, используемыми биржей.
«… Взлому платформы Cream Finance способствовала последняя из длинной цепочки уязвимостей смарт-контрактов, вызванных человеческим фактором (или, возможно, внутренними атаками)», — отметил в то время Джо Стюарт, исследователь из PhishLabs. «Очень легко выстрелить себе в ногу, просто не включив в свой код правильный модификатор функции — именно это и произошло с автором смарт-контракта Cream Finance».
Стюарт добавил, что смарт-контракты становятся сложнее для проверки кода после того, как они начинают взаимодействовать друг с другом.
«Растущая сложность контрактов DeFi, которые взаимодействуют друг с другом (возможно, даже в разных блокчейнах), затрудняет прогнозирование всех возможных путей кода, которые могут привести к повышению привилегий и потере средств, заблокированных в контракте», — сказал Стюарт.
Внешние атаки DeFi
Код, используемый для создания цифровых кошельков DeFi и интерфейсов веб-сайтов, также оказался удобным вектором атаки для мошенников.
В одной из атак на BadgerDAO в декабре прошлого года аналитики заявили, что злоумышленники использовали уязвимость CloudFlare , чтобы получить ключ API, который затем позволил им настроить исходный код сайта для перенаправления средств на кошельки, находящиеся под их контролем, поясняется в отчете.
«В конце сентября пользователи на форуме поддержки сообщества Cloudflare сообщили, что неавторизованные пользователи могли создавать учетные записи, а также могли создавать и просматривать (глобальные) ключи API (которые нельзя удалить или деактивировать) до завершения проверки электронной почты», — сказал Бэджер. говорится в посмертном заявлении о нарушении. «Было отмечено, что злоумышленник может дождаться проверки электронной почты и завершения создания учетной записи, после чего он получит доступ к API».
Атаки DeFi с флэш-займом
Как упоминалось ранее, другой тип атаки DeFi включает в себя флэш-кредиты. Флэш-кредит — это необеспеченный кредит на покупку, а затем продажу определенной криптовалюты; его можно запросить, создав смарт-контракт на блокчейне. Затем контракт выполняет кредит и торги, все в одно мгновение.
При атаке киберпреступники могут использовать эту функцию для манипулирования ценами. Например, в мае прошлого года проект DeFi PancakeBunny стал жертвой этого после того, как злоумышленник добыл большое количество токенов $Bunny, а затем развернулся и сразу же продал их. Таким образом киберпреступники могут не только разбогатеть, но и за считанные минуты обрушить стоимость всего рынка криптовалют.
«Хотя [это] может показаться до боли простым в ретроспективе, это действительно имело место с немалыми последствиями», — говорится в отчете.
Проект PancakeBunny DeFi стал добычей 19 мая. Злоумышленники использовали баг в платформе и флэш-кредит, чтобы вывести пул из равновесия и просчитать обмен в пользу злоумышленника. Что еще хуже, всего через несколько дней два форка (то есть новые сообщества DeFi, разработанные на основе одной и той же цепочки блоков), MerlinLabs и Autoshark, были атакованы с использованием одного и того же кода и методологии атаки.
“Несмотря на то, что команды обоих проектов знали о том, что они скопировали код PancakeBunny с очень небольшими изменениями, они, тем не менее, подверглись одной и той же атаке через пять и семь дней соответственно после первоначального проекта», — говорится в отчете.
Исследователи предупреждают, что серверы
DeFi, на которых хранятся закрытые ключи для криптокошельков, также являются главной мишенью для киберпреступников. В отчете говорится, что в нескольких случаях кошельки были украдены с помощью украденных ключей, иногда с огромными потерями; Например, на одном кошельке было около 60 миллионов долларов.
«Финансовых потерь можно было бы избежать, проведя аудит основных серверов компаний и добавив технические и организационные меры (такие как кошельки с мультиподписью) с принципами нулевого доверия и минимальных привилегий», — говорится в отчете.
Предотвращение DeFi Pwn-apalooza
Что делать с таким большим количеством киберпреступлений? Чтобы ответить на этот вопрос, команда Bishop Fox дала два важных совета пользователям, пытающимся ориентироваться в этом новом цифровом финансовом рубеже. Во-первых, не верьте ни одной системе в ее безопасности; и, во-вторых, признать, что инвестиции могут испариться за секунду.
Риск для пользователей варьируется; в некоторых случаях, таких как взлом PolyNetwork, злоумышленник украл, а затем вернул 610 миллионов долларов в криптовалюте , и все возместили свои потери. В других случаях взломанным платформам DeFi повезло меньше.
Поскольку стандарта ответственности не существует, пользователи должны быть готовы к худшему. «Когда мы говорим о DeFi, мы говорим об инвестировании в молодую финансовую систему криптовалюты, которая еще не научилась на своих ошибках», — говорится в отчете.
Исследователи признают, что с таким количеством частей бизнеса защита платформ DeFi особенно сложна.
«Поскольку поверхность атаки в проектах DeFi больше, чем обычно, — говорится в отчете, — команды должны обеспечить принятие адекватных мер предосторожности для защиты всех активов».
Аналитики говорят, что децентрализованные финансы потеряли 1,8 миллиарда долларов в результате кибератак в прошлом году, и 80% этих событий были результатом уязвимого кода.
Платформы децентрализованного финансирования (DeFi), которые соединяют различные блокчейны криптовалют по созданию децентрализованной инфраструктуры для заимствования, торговли и других транзакций, обещают заменить банки в качестве безопасного и удобного способа инвестировать и тратить криптовалюту. Но киберпреступники почувствовали, что полчища новых пользователей, мечтающих о цифровом богатстве, являются лёгкой добычей.
Аналитики Bishop Fox обнаружили, что платформы DeFi потеряли 1,8 миллиарда долларов в результате кибератак только в 2021 году. Согласно отчету, в котором было зафиксировано 65 событий, 90% потерь были вызваны несложными атаками, что указывает на слабые методы кибербезопасности в этом секторе.
Аналитики обнаружили, что в прошлом году на DeFi в среднем совершалось пять атак в неделю, причем большинство из них (51%) были связаны с использованием ошибок «смарт-контрактов». Смарт-контракты — это, по сути, записи транзакций, хранящиеся в блокчейне.
Другие основные векторы атак DeFi включают в себя криптокошельки, недостатки дизайна протоколов и так называемые мошеннические схемы (когда инвесторов заманивают в новый криптовалютный проект, который затем закрывают, оставляя потерпевших с бесполезной валютой). Но вместе взятые, согласно отчету, 80% всех этих событий были вызваны использованием (или повторным использованием) ошибочного кода.
«Желание развиваться быстро и сэкономить время или, зачастую, просто ленивое нежелание пересматривать или переделывать собственный код очень часто приводит к использованию непроверенного и, следовательно, крайне уязвимого кода», — говорится в отчете.
И действительно, поскольку пользователи и сами платформы DeFi пытаются заново изобрести банковское дело — и сложную новую инфраструктуру для его поддержки — администраторы не должны упускать из виду важность основ безопасности, — сказал Dark Reading Дилан Дубейф, старший консультант по безопасности в Bishop Fox.
«Независимо от того, насколько инновационным или сложным является ваш проект, не забывайте о безопасности, игнорируя то, что кажется второстепенным или элементарным», — говорит он. «Тривиальная уязвимость может в конечном итоге стоить вам больше всего».
Уязвимости смарт-контрактов DeFi
Ярким примером является нарушение DeFi, связанное со смарт-контрактом BurgerSwap Dex 28 мая 2021 года, которое привело к убыткам в размере 7,2 миллиона долларов. Согласно отчету, эта атака использовала уязвимости, которые настолько хорошо известны, что их использование в данном случае может вызывать только НЕДОУМЕНИЕ. Согласно отчету, к ним относятся использование отсутствующей проверки x*y≥k** и усиление атак с повторным входом. Слабые места позволили злоумышленникам использовать известные тактики, такие как злоупотребление мгновенными кредитами и использование поддельных токенов.
«Мы не можем не подчеркнуть — важно поддерживать повторяющийся процесс аудита и тестировать каждый фрагмент кода, прежде чем он будет запущен в производство», — говорится в отчете. «В децентрализованных финансах даже самая короткая строка уязвимого кода может привести к полной потере токенов проекта и краху проекта».
В августе прошлого года Cream Finance сильно пострадал от рук киберпреступников, потеряв почти 29 миллионов долларов до того, как атака была обнаружена (418 311 571 в Amp Coin и 1 308,09 в криптовалюте Ethereum).
Взлом стал возможен из-за ошибки повторного входа в функцию смарт-контрактов, вызванной токенами $AMP, используемыми биржей.
«… Взлому платформы Cream Finance способствовала последняя из длинной цепочки уязвимостей смарт-контрактов, вызванных человеческим фактором (или, возможно, внутренними атаками)», — отметил в то время Джо Стюарт, исследователь из PhishLabs. «Очень легко выстрелить себе в ногу, просто не включив в свой код правильный модификатор функции — именно это и произошло с автором смарт-контракта Cream Finance».
Стюарт добавил, что смарт-контракты становятся сложнее для проверки кода после того, как они начинают взаимодействовать друг с другом.
«Растущая сложность контрактов DeFi, которые взаимодействуют друг с другом (возможно, даже в разных блокчейнах), затрудняет прогнозирование всех возможных путей кода, которые могут привести к повышению привилегий и потере средств, заблокированных в контракте», — сказал Стюарт.
Внешние атаки DeFi
Код, используемый для создания цифровых кошельков DeFi и интерфейсов веб-сайтов, также оказался удобным вектором атаки для мошенников.
В одной из атак на BadgerDAO в декабре прошлого года аналитики заявили, что злоумышленники использовали уязвимость CloudFlare , чтобы получить ключ API, который затем позволил им настроить исходный код сайта для перенаправления средств на кошельки, находящиеся под их контролем, поясняется в отчете.
«В конце сентября пользователи на форуме поддержки сообщества Cloudflare сообщили, что неавторизованные пользователи могли создавать учетные записи, а также могли создавать и просматривать (глобальные) ключи API (которые нельзя удалить или деактивировать) до завершения проверки электронной почты», — сказал Бэджер. говорится в посмертном заявлении о нарушении. «Было отмечено, что злоумышленник может дождаться проверки электронной почты и завершения создания учетной записи, после чего он получит доступ к API».
Атаки DeFi с флэш-займом
Как упоминалось ранее, другой тип атаки DeFi включает в себя флэш-кредиты. Флэш-кредит — это необеспеченный кредит на покупку, а затем продажу определенной криптовалюты; его можно запросить, создав смарт-контракт на блокчейне. Затем контракт выполняет кредит и торги, все в одно мгновение.
При атаке киберпреступники могут использовать эту функцию для манипулирования ценами. Например, в мае прошлого года проект DeFi PancakeBunny стал жертвой этого после того, как злоумышленник добыл большое количество токенов $Bunny, а затем развернулся и сразу же продал их. Таким образом киберпреступники могут не только разбогатеть, но и за считанные минуты обрушить стоимость всего рынка криптовалют.
«Хотя [это] может показаться до боли простым в ретроспективе, это действительно имело место с немалыми последствиями», — говорится в отчете.
Проект PancakeBunny DeFi стал добычей 19 мая. Злоумышленники использовали баг в платформе и флэш-кредит, чтобы вывести пул из равновесия и просчитать обмен в пользу злоумышленника. Что еще хуже, всего через несколько дней два форка (то есть новые сообщества DeFi, разработанные на основе одной и той же цепочки блоков), MerlinLabs и Autoshark, были атакованы с использованием одного и того же кода и методологии атаки.
“Несмотря на то, что команды обоих проектов знали о том, что они скопировали код PancakeBunny с очень небольшими изменениями, они, тем не менее, подверглись одной и той же атаке через пять и семь дней соответственно после первоначального проекта», — говорится в отчете.
Исследователи предупреждают, что серверы
DeFi, на которых хранятся закрытые ключи для криптокошельков, также являются главной мишенью для киберпреступников. В отчете говорится, что в нескольких случаях кошельки были украдены с помощью украденных ключей, иногда с огромными потерями; Например, на одном кошельке было около 60 миллионов долларов.
«Финансовых потерь можно было бы избежать, проведя аудит основных серверов компаний и добавив технические и организационные меры (такие как кошельки с мультиподписью) с принципами нулевого доверия и минимальных привилегий», — говорится в отчете.
Предотвращение DeFi Pwn-apalooza
Что делать с таким большим количеством киберпреступлений? Чтобы ответить на этот вопрос, команда Bishop Fox дала два важных совета пользователям, пытающимся ориентироваться в этом новом цифровом финансовом рубеже. Во-первых, не верьте ни одной системе в ее безопасности; и, во-вторых, признать, что инвестиции могут испариться за секунду.
Риск для пользователей варьируется; в некоторых случаях, таких как взлом PolyNetwork, злоумышленник украл, а затем вернул 610 миллионов долларов в криптовалюте , и все возместили свои потери. В других случаях взломанным платформам DeFi повезло меньше.
Поскольку стандарта ответственности не существует, пользователи должны быть готовы к худшему. «Когда мы говорим о DeFi, мы говорим об инвестировании в молодую финансовую систему криптовалюты, которая еще не научилась на своих ошибках», — говорится в отчете.
Исследователи признают, что с таким количеством частей бизнеса защита платформ DeFi особенно сложна.
«Поскольку поверхность атаки в проектах DeFi больше, чем обычно, — говорится в отчете, — команды должны обеспечить принятие адекватных мер предосторожности для защиты всех активов».
Антон Эльстон: технологии
Предлагаем вашему вниманию интервью с IT-предпринимателем Антоном Эльстоном, CEO метавселенной DEXART, сооснователем и
Перспективные блокчейны
Пожалуй, самый крупный (за исключением Bitcoin) блокчейн-проект в мире, Ethereum пользуется спросом у юридических и
Преступность в сфере криптовалют
Chainalysis опубликовал большое исследование об использовании криптовалют в мошеннических операциях. Мошенничество в
Рейтинг из топ-50 блокчейнов по
Популярный журнал Forbes составил рейтинг ТОП-50 блокчейнов, получивших применение в разных сферах жизнедеятельности
Трехуровневая схема работы DeFi
Оглавление 1 Введение 2 Нижний уровень – блокчейн 2.1 Отступление – транзакции 3 Средний уровень – смарт-контракты 4
Курс криптовалют
BTC
ETH
EOS
XRP
LTC