Cointelegraph Consulting: Подсчет крупнейших инцидентов взлома DeFi в 2021 году
Compound Finance — лишь одна из последних жертв хакерских инцидентов DeFi в 2021 году. 30 сентября его ошибка распределения токенов в рамках предложения 062 выявила недостаток, в результате которого 70-85 миллионов долларов США в избытке токенов COMP были ошибочно распределены среди пользователей.
Еще 65 миллионов долларов были помещены в уязвимое хранилище несколькими днями позже, в результате чего под угрозой оказалось не менее 150 миллионов долларов в токенах COMP. Несмотря на то, что Compound удалось исправить ситуацию, она показывает, насколько уязвимым может быть сектор децентрализованных финансов (DeFi) в силу своей молодости.
В прошлом году общая стоимость заблокированной стоимости (TVL) в DeFi составляла всего 5% от ее нынешней стоимости — $255 млрд. Это изменение ознаменовало взрывной рост на 1686%. Даже после фиаско с Compound и совсем недавно, когда децентрализованная торговая платформа BXH лишилась $139 млн в результате атаки из-за утечки ключа администратора, TVL за последний месяц фактически выросла, увеличившись на 14,27%.
Одна из причин, по которой инвесторы устремились к протоколам DeFi, — поиск более высоких доходов. В условиях низких процентных ставок 2020 года не было четкой основы для их повышения, и это заставило инвесторов искать другие возможности для хранения своих денежных средств. Закрепление криптоактивов за протоколами DeFi и предоставление ликвидности для таких сервисов стало привлекательным вариантом, поскольку он предлагает более привлекательную доходность. В результате в 2020 году начался бум доходности, который продолжается до сих пор.
Подсчет инцидентов
Растущая популярность DeFi является обоюдоострым мечом для молодого сектора и всего криптовалютного пространства в целом. С 2012 года произошло 534 взлома блокчейна, причем 169 инцидентов произойдут только в 2021 году, согласно данным китайской фирмы по кибербезопасности Slow Mist. Взломы становятся все более изощренными и нацелены на различные области пространства.
Тем не менее, самый крупный взлом в истории произошел в 2021 году и был осуществлен неизвестным хакером на межцепочечном протоколе Poly Network. В результате было похищено токенов на сумму, эквивалентную 610 миллионам долларов, что превысило потери MtGox и Coincheck. Атака похитила около $273 млн из сети Ethereum, $85 млн в монетах USD (USDC) из сети Polygon и $253 млн из смарт-цепочки Binance. Она также вывела значительные суммы renBTC, обернутого биткоина (wBTC) и обернутого эфира (wETH)..
Инцидент с Poly Network — один из многих случаев взлома DeFi в 2021 году. Poly Network посчастливилось вернуть все средства. Cream Finance, с другой стороны, не так повезло. Этот децентрализованный кредитный протокол находится на далеком втором месте, и атаки, которым он подвергся — а это было дважды в этом году — уничтожили почти 150 миллионов долларов, которые он до сих пор изо всех сил пытается вернуть. В целом, общая сумма денег, потерянных в результате взлома блокчейна в этом году, составляет почти 7 миллиардов долларов, что на 2,5 миллиарда долларов больше, чем в прошлом году.
Calls for audits
Poly Network, Compound и Cream Finance вошли в тройку лидеров по количеству пострадавших средств (на общую сумму 906 миллионов долларов). Подобно Cream Finance, есть и другие заметные протоколы, в которых эксплойты происходили более одного раза в один и тот же год, например THORChain и Value DeFi.
Также, хотя и с незначительной суммой в 1,5 миллиона долларов по сравнению с пострадавшими средствами остальных жертв, Merlin Labs, оптимизатор доходности, построенный на BSC, был атакован трижды — сначала дважды за одну неделю и еще раз месяц спустя. Более того, удивительно то, что она была проверена Хакеном за 11 дней до атаки.
Эксперты по безопасности рекомендуют проводить аудит смарт-контракта, обычно с помощью независимых аудиторов. Аудит может помочь обнаружить и, возможно, устранить уязвимости в коде смарт-контракта, а также проверить надежность взаимодействия смарт-контракта.
Генеральный директор Kava Labs Брайан Керр сказал нашему сайту в мае 2020 года, что для всех, кто хочет использовать протокол DeFi, крайне важно сначала проверить аудиты и экспертные оценки. Но даже после этого он предупреждает о сопутствующих технических и рыночных рисках, поскольку сектор, опять же, все еще новый.
Download the 34thissueof the our site Consulting Bi-weekly Newsletter in full, complete with charts and market signals, as well as news and overviews of fundraising events.
Среди проектов, ставших жертвами атак в этом году, только около 15 из 40 затронутых протоколов DeFi прошли аудит. Но стоит отметить, что пострадавшие средства для проверенных протоколов были значительно меньше, чем для тех, которые не были проверены. Для каждой компании, прошедшей аудит, сумма потерь была почти на 60% меньше, чем для тех, которые не прошли аудит. В целом, 20,3% пострадавших средств во всех протоколах, взломанных в этом году, были из протоколов, прошедших аудит, в то время как 79,67%, или около 1,3 млрд долларов, были из протоколов, не прошедших аудит.
Четыре основные причины взлома протоколов DeFi включают ошибки кодирования, некомпетентность разработчиков, неправильное использование сторонних протоколов и ошибки бизнес-логики. Наиболее распространенной среди этих причин и, возможно, самой опасной является некомпетентность разработчика, которая также является прямым следствием ошибок кодирования. Недостаточно квалифицированные разработчики, спешащие запустить проект без тщательной проверки третьими сторонами, могут привести к тому, что протоколы будут более восприимчивы к эксплойтам.
Именно поэтому в отрасли постоянно предпринимаются дополнительные меры по улучшению протоколов безопасности. Аудиты, в частности аудит безопасности смарт-контрактов и вторичный аудит, являются лишь двумя способами достижения этой цели. Как сказал Керр, техническое усердие инвестора также оправдано при тщательном изучении протокола DeFi перед инвестированием.
Тем не менее, свет в конце тоннеля заключается в том, что эти взломы могут сыграть важную роль в развитии сектора DeFi. Главный финансовый аналитик CipherTrace Джон Джеффрис сказал нашему сайту в августе, что подобные преступления приведут к ускорению принятия процедуры «знай своего клиента», или KYC, особенно на децентрализованных биржах, или DEX, поскольку это может иметь решающее значение для получения разрешения регулятора.
По мере развития DeFi, особенно с появлением одноуровневых блокчейнов, конкурирующих с Ethereum, хакерские события последнего времени, возможно, являются лишь верхушкой айсберга, и плохо разработанные и не прошедшие аудит протоколы могут повлечь за собой целый ворох проблем.
Вестник Market Insights нашего сайта делится нашими знаниями об основах, которые движут рынком цифровых активов. В бюллетене рассматриваются последние данные о настроениях в социальных сетях, метриках цепочки и деривативах.
Мы также рассматриваем самые важные новости отрасли, включая слияния и поглощения, изменения в нормативно-правовой базе и корпоративные блокчейн-интеграции. Подпишитесь сейчас, чтобы первыми получать эти новости. Все прошлые выпуски Market Insights также доступны на нашем сайте..