DeFi: 10 cele mai mari furturi din istorie

Finanțele descentralizate (DeFi) se referă la aplicațiile blockchain care exclud intermediarii de la produse și servicii financiare, cum ar fi: împrumuturi, economii și schimburi. În timp ce DeFi aduce recompense ridicate, prezintă și o mulțime de riscuri.

Din motiv că aproape oricine poate crea un protocol DeFi și poate scrie niște contracte inteligente, defectele de cod sunt comune. În DeFi, există mulți răufăcători capabili să exploateze orice defect. Când se întâmplă acest lucru, milioane de dolari sunt în pericol, deseori fără niciun recurs pentru utilizatori.

Utilizatorii DeFi au pierdut 10,5 miliarde de dolari din cauza furtului în 2021, potrivit unui raport din noiembrie publicat de Elliptic. De atunci, această cifră a crescut foarte mult.

10. Vee Finance – 35 de milioane de dolari

Avalanche a cunoscut o creștere a activității în 2021. În consecință, blockchain-ul a atras și pe cei înfometați să exploateze ecosistemul în curs de dezvoltare.

În septembrie 2021, la doar o săptămână după ce platforma de creditare Vee Finance a sărbătorit 300 de milioane de dolari în active totale blocate, a suferit cel mai mare atac asupra rețelei Avalanche.

Atacul a fost posibil în mare parte deoarece caracteristica de tranzacționare cu efect de levier a Vee Finance s-a bazat pe prețurile simbolurilor furnizate de principalul protocol de lichiditate DeFi al Avalanche, Pangolin.

Pentru a abuza de acest lucru, atacatorul a creat șapte perechi de tranzacționare pe Pangolin, a furnizat lichiditate și, în cele din urmă, a plasat tranzacții cu efect de levier pe Vee. Acest lucru i-a permis să scurgă 35 de milioane de dolari în criptomonede din protocol.

Într-un tweet adresat lui „0x**95BA”, protocolul cerea ca atacatorul să returneze fondurile ca parte a unui program de recompense, care ar permite atacatorului să păstreze o parte. Dar hackerul Vee nu a arătat nicio dorință de a returna fondurile.

9. PancakeBunny – 45 de milioane de dolari

Binance Smart Chain (acum doar BNB Chain) a fost cea mai mare tendință în DeFi în primăvara anului 2021. În special pentru utilizatorii retail, datorită taxelor sale mici de rețea.

Dar BSC a fost, de asemenea, gazdă a multor escrocherii și hack-uri, dintre care cea mai mare a fost o exploatare din mai 2021, care a vizat protocolul de creștere a randamentului PancakeBunny.

Un hacker a manipulat algoritmul de preț al lui PancakeBunny printr-o serie de opt atacuri de împrumut flash, umflând prețul tokenului nativ al protocolului $Bunny. Hackerii au câștigat 45 de milioane de dolari cumpărând BUNNY la un preț scăzut de piață și vânzându–l la un preț umflat artificial.

8. bZx – 55 de milioane de dolari

Protocolul DeFi de împrumut multi-chain bZx a fost atacat de hackeri în noiembrie 2021, după ce o „cheie privată” a fost compromisă. Protocolul, implementat pe Binance Smart Chain și Polygon, a pierdut 55 de milioane de dolari.

Dar bZx a mai experimentat atacuri similare de două ori înainte.

În timp ce atacurile DeFi de împrumut flash sunt o tactică comună de atac DeFi astăzi, bZx este un „OG” în acest sens. Protocolul a suferit un atac de împrumut rapid pe platforma sa de tranzacționare în marjă Fulcrum în februarie 2020. Hackerul a scăpat cu 1.300 ETH, în valoare de 366.000 de dolari la acea vreme.

Într-un alt atac DeFi din septembrie 2020, bZx a pierdut 30% din fondurile blocate în seifurile sale, în valoare de 8 milioane de dolari la acea vreme. Cu toate acestea, utilizatorii care dețineau poziții deschise în marjă nu au suferit pierderi, deoarece fondurile au fost deduse din fondul de asigurări bZx, după cum a raportat ulterior protocolul în raport.

7. Badger DAO – 120 de milioane de dolari

Nu este întotdeauna o vulnerabilitate de contract inteligent care evaporă milioane dintr-un proiect DeFi.

Badger DAO a suferit o pierdere de 120 de milioane de dolari în decembrie 2021, după ce escrocii i-au convins pe membrii Badger DAO să aprobe tranzacții rău intenționate, ceea ce le-a permis să controleze fondurile securizate ale utilizatorilor și să le mute.

6.Cream Finance – 130 de milioane de dolari

Protocolul de împrumut DeFi Cream Finance a pierdut 130 de milioane de dolari într-un atac de împrumut flash în octombrie 2021, marcând al treilea atac suferit de protocol.

Împrumuturile flash vă permit să contractați un împrumuturi instant, cu condiția să le rambursați în aceeași tranzacție. Deși sunt utile pentru tranzacționarea prin arbitraj, acestea sunt implementate pe scară largă de către actori rău intenționați pentru a exploata vulnerabilitățile din protocoalele DeFi. 

În cazul Cream Finance, un hacker de împrumut flash a reușit să exploateze diferența de preț făcând în mod repetat împrumuturi flash pe diferite adrese Ethereum.

Cream a mai fost atacat de hackeri în trecut. În august 2021, un hacker a furat aproximativ 25 de milioane de dolari într-un alt atac DeFi de împrumut flash care vizează în primul rând tokenul nativ al Flexa Network, AMP. Într-un alt atac de împrumut flash din februarie 2021, hackerii au extras 37,5 milioane de dolari din fondul protocolului.

5. Vulcan Forged – 140 de milioane de dolari

Play-to-earn este una dintre cele mai recente tendințe în industria cripto, dar nu este lipsită de trucuri și capcane vechi, în special de cele care exploatează puterea centralizată. Vulcan Forged, o platforma play to earn de pe Polygon, a învățat din greu această lecție când utilizatorii săi au pierdut 140 de milioane de dolari.

Hackerii au obținut acreditările portofelelor centralizate ale utilizatorilor platformei Venly, pentru a obține cheile private a 96 de portofele cripto. Mai târziu, hackerii le-au folosit pentru a obține cheile private din funcția portofoliului de active a platformei MyForge și, în cele din urmă, a reușit să obțină 4,5 milioane de tokenuri PYR.

4. Compound – 150 de milioane de dolari

La fel ca majoritatea protocoalelor DeFi, protocolul de creditare Compound are un token de guvernare, numit COMP. Protocolul distribuie token-uri utilizatorilor în anumite condiții.

În octombrie 2021, o eroare de protocol a permis debitorilor să revendice mai mult decât cota lor din COMP. Bug-ul a implicat două dintre seifurile sale.

După ce 80 de milioane de dolari în COMP au fost trimise persoanelor nepotrivite, echipa s-a grăbit să remedieze eroarea. Dar înainte ca orice remediere să poată fi implementată, protocolul necesita o propunere de guvernare pentru a fi aprobată. Propunerea a fost creată pe 2 octombrie și acceptat în cele din urmă pe 9 octombrie. În timp ce comunitatea a dezbătut propunerea, seifurile au pierdut încă 68,8 milioane de dolari.

Cum a încercat fondatorul Compound, Robert Leshner, să recupereze banii? Via Twitter, declarând:

 „Oricine returnează COMP în comunitate este un extraterestru gica-chad și, dacă mă va chema vreodată o echipă de extratereștri giga-chads voi apărea.” 

Aproape jumătate din fonduri au fost returnate.

3. Wormhole – 326 de milioane de dolari

Pe măsură ce există din ce în ce mai multe blockchain-uri de nivel 1 cu DeFi integrat, există o nevoie tot mai mare ca utilizatorii să transfere fonduri între lanțuri.

 Podurile Cross-chain răspund acestor nevoi, dar aduc și noi vulnerabilități. Cel mai dăunător incident a avut loc în ianuarie 2022, când Wormhole, un pod popular, a pierdut 320 de milioane de dolari în Wrapped Ethereum (wETH.) WETH este o criptomonedă legată de prețul Ethereum.

2. Ronin – 552 de milioane de dolari

Axie Infinity, jocul play to earn alimentat de NFT, este una dintre cele mai de succes istorii din industria criptomonedelor. În 23 martie 2022, jocul a devenit victima unuia dintre cele mai mari hack-uri din spațiul cripto, cu „chei private” în valoare estimată la 552 de milioane de dolari furate.

O săptămână mai târziu, când dezvoltatorul Axie Infinity, Sky Mavis, a dezvăluit exploit-ul, valoarea fondurilor furate a crescut la 622 de milioane de dolari.

Atacatorii au folosit „o ușă din spate prin nodul nostru RPC, de care a abuzat pentru a obține semnătura validatorului Axie DAO, potrivit unui raport al Sky Mavis.

Folosind vulnerabilitatea atacatorul a reușit apoi să semneze tranzacții de la cinci dintre cele nouă noduri validatoare din rețeaua Ronin, inclusiv nodul AxieDAO și patru dintre nodurile proprii Sky Mavis. Acest lucru le-a permis atacatorilor să facă tranzacții și să revendice 173.600 WETH (Wrapped Ethereum) și 25,5 milioane USDC, însumând aproximativ 622 milioane de dolari.

Numind hack-ul ca „unul dintre cele mai mari hack-uri din istorie”, co-fondatorul Axie Infinity, Jeff Zirlin, a remarcat că „există șansa ca hackerul să poată fi identificat și adus în fața justiției”.

1. Poly Network – 611 de milioane de dolari

Hackul asupra Poly Network rămâne cel mai mare din cripto – nu doar DeFi. Din fericire, însă, saga care a început pe 10 august 2021 s-a încheiat fericit trei zile mai târziu, după o serie de întorsături ciudate.

Furtul a început când un hacker a exploatat o vulnerabilitate în „apelurile contractuale” ale Poly Network – bucăți de cod care alimentează protocolul. Hackerul a câștigat rapid 611 de milioane de dolari în diverse criptomonede, ceea ce a determinat Poly să publice o scrisoare de disperare cu salutul „Dragă Hacker”.

Această încercare de comunicare și eforturile ulterioare de comunicare au funcționat în cele din urmă. Protocolul a oferit o recompensă de 500.000 de dolari și oportunitatea ca hackerul să devină consilierul său principal de securitate.

 În timpul unei sesiuni de întrebări și răspunsuri, hackerul a explicat că vulnerabilitatea a fost folosită doar pentru a preda o lecție Poly Network. Returnarea fondurilor furate a fost „întotdeauna planul”, a spus el.