ru
Назад к списку

Киберпреступники атакуют DeFi

source-logo  ethereumnews.ru 25 Май 2022 08:20, UTC

Аналитики говорят, что децентрализованные финансы потеряли 1,8 миллиарда долларов в результате кибератак в прошлом году, и 80% этих событий были результатом уязвимого кода.

Платформы децентрализованного финансирования (DeFi), которые соединяют различные блокчейны криптовалют по созданию децентрализованной инфраструктуры для заимствования, торговли и других транзакций, обещают заменить банки в качестве безопасного и удобного способа инвестировать и тратить  криптовалюту. Но  киберпреступники почувствовали, что полчища новых пользователей, мечтающих о цифровом богатстве, являются лёгкой добычей.

Аналитики Bishop Fox обнаружили, что платформы DeFi потеряли 1,8 миллиарда долларов в результате кибератак только в 2021 году. Согласно отчету, в котором было зафиксировано 65 событий, 90% потерь были вызваны несложными атаками, что указывает на слабые методы кибербезопасности в этом секторе.

Аналитики обнаружили, что в прошлом году на DeFi в среднем совершалось пять атак в неделю, причем большинство из них (51%) были связаны с использованием ошибок «смарт-контрактов». Смарт-контракты — это, по сути, записи транзакций, хранящиеся в блокчейне.

Другие основные векторы атак DeFi включают в себя криптокошельки, недостатки дизайна протоколов и так называемые мошеннические схемы (когда инвесторов заманивают в новый криптовалютный проект, который затем закрывают, оставляя потерпевших с бесполезной валютой). Но вместе взятые, согласно отчету, 80% всех этих событий были вызваны использованием (или повторным использованием) ошибочного кода.

«Желание развиваться быстро и сэкономить время или, зачастую, просто ленивое нежелание пересматривать или переделывать собственный код очень часто приводит к использованию непроверенного и, следовательно, крайне уязвимого кода», — говорится в отчете.

И действительно, поскольку пользователи и сами платформы DeFi пытаются заново изобрести банковское дело — и сложную новую инфраструктуру для его поддержки — администраторы не должны упускать из виду важность основ безопасности, — сказал Dark Reading Дилан Дубейф, старший консультант по безопасности в Bishop Fox.

«Независимо от того, насколько инновационным или сложным является ваш проект, не забывайте о безопасности, игнорируя то, что кажется второстепенным или элементарным», — говорит он. «Тривиальная уязвимость может в конечном итоге стоить вам больше всего».

Уязвимости смарт-контрактов DeFi
Ярким примером является нарушение DeFi, связанное со смарт-контрактом BurgerSwap Dex 28 мая 2021 года, которое привело к убыткам в размере 7,2 миллиона долларов. Согласно отчету, эта атака использовала уязвимости, которые настолько хорошо известны, что их использование в данном случае может вызывать только НЕДОУМЕНИЕ. Согласно отчету, к ним относятся использование отсутствующей проверки x*y≥k** и усиление атак с повторным входом. Слабые места позволили злоумышленникам использовать известные тактики, такие как злоупотребление мгновенными кредитами и использование поддельных токенов.

«Мы не можем не подчеркнуть — важно поддерживать повторяющийся процесс аудита и тестировать каждый фрагмент кода, прежде чем он будет запущен в производство», — говорится в отчете. «В децентрализованных финансах даже самая короткая строка уязвимого кода может привести к полной потере токенов проекта и краху проекта».

В августе прошлого года  Cream Finance сильно пострадал от рук киберпреступников, потеряв почти 29 миллионов долларов до того, как атака была обнаружена (418 311 571 в Amp Coin и 1 308,09 в криптовалюте Ethereum).

Взлом стал возможен из-за ошибки повторного входа в функцию смарт-контрактов, вызванной токенами $AMP, используемыми биржей.

«… Взлому платформы Cream Finance способствовала последняя из длинной цепочки уязвимостей смарт-контрактов, вызванных человеческим фактором (или, возможно, внутренними атаками)», — отметил в то время Джо Стюарт, исследователь из PhishLabs. «Очень легко выстрелить себе в ногу, просто не включив в свой код правильный модификатор функции — именно это и произошло с автором смарт-контракта Cream Finance».

Стюарт добавил, что смарт-контракты становятся сложнее для проверки кода после того, как они начинают взаимодействовать друг с другом.

«Растущая сложность контрактов DeFi, которые взаимодействуют друг с другом (возможно, даже в разных блокчейнах), затрудняет прогнозирование всех возможных путей кода, которые могут привести к повышению привилегий и потере средств, заблокированных в контракте», — сказал Стюарт.

Внешние атаки DeFi
Код, используемый для создания цифровых кошельков DeFi и интерфейсов веб-сайтов, также оказался удобным вектором атаки для мошенников.

В одной из атак на BadgerDAO в декабре прошлого года аналитики заявили, что злоумышленники использовали уязвимость CloudFlare , чтобы получить ключ API, который затем позволил им настроить исходный код сайта для перенаправления средств на кошельки, находящиеся под их контролем, поясняется в отчете.

«В конце сентября пользователи на форуме поддержки сообщества Cloudflare сообщили, что неавторизованные пользователи могли создавать учетные записи, а также могли создавать и просматривать (глобальные) ключи API (которые нельзя удалить или деактивировать) до завершения проверки электронной почты», — сказал Бэджер. говорится в посмертном заявлении о нарушении. «Было отмечено, что злоумышленник может дождаться проверки электронной почты и завершения создания учетной записи, после чего он получит доступ к API».

Атаки DeFi с флэш-займом
Как упоминалось ранее, другой тип атаки DeFi включает в себя флэш-кредиты. Флэш-кредит — это необеспеченный кредит на покупку, а затем продажу определенной криптовалюты; его можно запросить, создав смарт-контракт на блокчейне. Затем контракт выполняет кредит и торги, все в одно мгновение.

При атаке киберпреступники могут использовать эту функцию для манипулирования ценами. Например, в мае прошлого года проект DeFi PancakeBunny стал жертвой этого после того, как злоумышленник добыл большое количество токенов $Bunny, а затем развернулся и сразу же продал их. Таким образом киберпреступники могут не только разбогатеть, но и за считанные минуты обрушить стоимость всего рынка криптовалют.

«Хотя [это] может показаться до боли простым в ретроспективе, это действительно имело  место с немалыми последствиями», — говорится в отчете.

Проект PancakeBunny DeFi стал добычей 19 мая. Злоумышленники использовали баг в платформе и флэш-кредит, чтобы вывести пул из равновесия и просчитать обмен в пользу злоумышленника. Что еще хуже, всего через несколько дней два форка (то есть новые сообщества DeFi, разработанные на основе одной и той же цепочки блоков), MerlinLabs и Autoshark, были атакованы с использованием одного и того же кода и методологии атаки.

“Несмотря на то, что команды обоих проектов знали о том, что они скопировали код PancakeBunny с очень небольшими изменениями, они, тем не менее, подверглись одной и той же атаке через пять и семь дней соответственно после первоначального проекта», — говорится в отчете. 

Исследователи предупреждают, что серверы
DeFi, на которых хранятся закрытые ключи для криптокошельков, также являются главной мишенью для киберпреступников. В отчете говорится, что в нескольких случаях кошельки были украдены с помощью украденных ключей, иногда с огромными потерями; Например, на одном кошельке было около 60 миллионов долларов.

«Финансовых потерь можно было бы избежать, проведя аудит основных серверов компаний и добавив технические и организационные меры (такие как кошельки с мультиподписью) с принципами нулевого доверия и минимальных привилегий», — говорится в отчете.

Предотвращение DeFi Pwn-apalooza
Что делать с таким большим количеством киберпреступлений? Чтобы ответить на этот вопрос, команда Bishop Fox дала два важных совета пользователям, пытающимся ориентироваться в этом новом цифровом финансовом рубеже. Во-первых, не верьте ни одной системе в ее безопасности; и, во-вторых, признать, что инвестиции могут испариться за секунду.

Риск для пользователей варьируется; в некоторых случаях, таких как взлом PolyNetwork, злоумышленник украл, а затем вернул 610 миллионов долларов в криптовалюте , и все возместили свои потери. В других случаях взломанным платформам DeFi повезло меньше.

Поскольку стандарта ответственности не существует, пользователи должны быть готовы к худшему. «Когда мы говорим о DeFi, мы говорим об инвестировании в молодую финансовую систему криптовалюты, которая еще не научилась на своих ошибках», — говорится в отчете.

Исследователи признают, что с таким количеством частей бизнеса защита платформ DeFi особенно сложна.

«Поскольку поверхность атаки в проектах DeFi больше, чем обычно, — говорится в отчете, — команды должны обеспечить принятие адекватных мер предосторожности для защиты всех активов».

ethereumnews.ru