AnitaS 
A defibe rengeteg pénz áramlik be, és néha, a nagy hekkelések és rablások után, rengeteg pénz megy kifelé is. A defi a decentralizált pénzügyek közkedvelt megnevezése.
Ez olyan blokkláncos applikációkat takar, ahol a felhasználók harmadik felek, közvetítők nélkül vehetnek igénybe pénzügyi szolgáltatásokat. Ide értendők a hitelek, megtakarítási megoldások, de a tokencserék is. A defiben nagy hozamokat lehet elérni, de ehhez mérhetően nagy a kockázat is.
A defi-szektorban bárki kidobhat egy appot, írhat egy okos szerződést, ezért a kódhibák, programhibák mindennaposnak számítanak. Ezeket a hibákat pedig rengeteg, kevésbé jó szándékú felhasználó keresi, hogy kihasználhassa. Amikor sikerrel járnak, sokszor milliókkal léphetnek le, olyan felhasználók pénzével, akik sosem látják viszont ezeket a milliókat.
2021-ben a defi-felhasználók összesen 10,5 milliárd dollárt vesztettek, ez derül ki az Elliptic által végzett felmérésből. Az azóta eltelt hónapok alatt ez a szám további százmilliókkal nőtt, összegyűjtöttük hát a 12 legnagyobb támadást, amely a defit sújtotta eddig.
12. Grim Finance – 30 millió dollár
A dappok néha valamilyen szintű inspirációt merítenek a blokkláncból, amely hálózatán működnek. Így az Avalanche ökoszisztémája tele van havas vonatkozásokkal, mint amilyen a Snowtrace, a Blizz, vagy a Defrost. A Fantom rendszere viszont egyfajta halloween-bulira emlékeztet. Ez különösen sötét árnyalatú tréfává válik, mikor a dolgok rosszra fordulnak, ahogyan az a Grim Finance esetében is történt.
2021 decemberében a projekt támadást szenvedett, egy hekker meg tudta hamisítani a letétek tranzakcióit úgy, hogy az előző befizetések még nem lettek hitelesítve. Ezzel viszont be tudta csapni a protokoll okosszerződését, amely így 30 millió dollárnyi Fantom tokent juttatott neki.
A defi projektek alapesetben több intézkedést is alkalmaznak, amelyek pontosan az ilyen típusú támadásokat hivatottak megelőzni. A Grim Finance egyik auditja is azt állította, hogy rendelkeznek ilyen típusú védelemmel, ez viszont valótlannak bizonyult. Az eset rávilágít arra, hogy a felülvizsgálatok sem garantálják a védelem tényleges meglétét, sem pedig azt, hogy ez a védelem ténylegesen működni fog, mikor próbára teszik.
11. Meerkat Finance – 31 millió dollár
Néha nem kell sok idő ahhoz, hogy egy defi protokoll elszenvedje az első támadását. A Binance Smart Chain hálózatán indult Meerkat rögtön egy nappal a debütálás után 31 millió dollárnyi kriptót vesztett egy kódhiba miatt. A hiba lehetővé tette, hogy a támadó elhitesse a szerződéssel, hogy ő a projekt széfjének a jogos tulajdonosa, így ki tudott utalni belőle mindent.
Ez a minden összesen 13,96 millió BUSD token, és 73 ezer BNB, körülbelül 17,4 millió dollár értékben, akkori árfolyamon számolva. Számos felhasználó gyanúsította meg a projektet, hogy belső munka áldozata lett, és a fő fejlesztő felelős a támadásért. A Meerkat ezeket a vádakat értelemszerűen tagadta.
10. Vee Finance – 35 millió dollár
2021 nyarán nagyot nőtt az Avalanche népszerűsége, és ezzel együtt az aktivitás is. Ez pedig a könnyű prédát keresők között is növelte az érdeklődést. 2021 szeptemberében, egy héttel a hitelezési platform, a Vee Finance elindulása után nagy örömmel jelentették be, hogy a lekötött tőke átlépte a 300 milliós mérföldkövet.
Ezután szinte azonnal el is szenvedték az Avalanche ökoszisztéma eddigi legnagyobb támadását. Az eset során a támadó a az Avalanche egy másik protokollja, a Pangolin segítségével kereskedési párokat hozott létre. A Pangolin közreműködésével lehet használni a Vee tőkeáttételes kereskedési szolgáltatásait.
A plusz párok esetén a rendszernek biztosított likviditás után nagy áttételes kötéseket lehetett megnyitni, így ezek segítségével 35 millió dollárnyi kriptót sikerült kivonni a platformról.
A csapat ezután megkérte az elkövetőt, hogy adja vissza az ellopott kriptót, megtartva annak egy részét, mint fejpénzt, a sebezhetőség felderítéséért. Eddig viszont a támadó úgy tűnik, nem igazán szeretné visszaadni a lopott tokeneket.
Dear Mr/Ms 0x**95BA,
— vee.finance🔺 (@VeeFinance) September 21, 2021
This is VEE Finance team, we’re willing to launch a bounty program for the bug you identified. Please connect us via email or other contact you prefer.https://t.co/24R5XuSDDS pic.twitter.com/HwSNRi838g
9. Pancake Bunny – 45 millió dollár
A kriptó esetében gyakori a gyors, látványos felemelkedés és kifáradás. 2021 tavaszán, nyarán a Binance Smart Chain rendszere számított az egyik legnépszerűbbnek a felhasználók között, köszönhetően a rendkívül alacsony jutalékoknak.
De a BSC emellett a csalók és a hekkerek gyűjtöhelyének is számított, az egyik legnagyobb eset pedig a 2021 májusi PancakeBunny-támadás. A hekker a gyorshitelek kódját tudta a saját elképzelése szerint kihasználni, és ezzel manipulálni a platform saját tokenje, a BUNNY árfolyamát.
Az olcsó vásárlással, és a mesterségesen felpumpált áron való értékesítéssel a támadó közel 45 millió dolláros profitot szerz
8. bZx – 55 millió dollár
A több különböző blokkláncot is támogató bZx 2021 novemberében lett meghekkelve, miután a privát kulcsai kompromittálódtak. A BSC és a Polygon hálózatán tartott kriptókból 55 millió dollár értékben vesztettek. Ez előtt a protokoll viszont már kétszer is elszenvedett hasonló támadást.
A gyorshitelek kihasználása népszerű a hekkerek között, de a defiben a bZx ezen a téren igazi veteránnak számít. 2020 februárjában egy ilyen eset során 366 ezer dollárnyi ethert vesztett, a Fulcrum platformon keresztül, amely egy kereskedelmi dapp az ökoszisztémájában.
Ugyanabban az évben szeptemberben is áldozattá vált, akkor a tőkéjük 30%-át vesztették el, nagyjából 8 millió dollár értékben. Érdekesség, hogy azok a felhasználók, akik ekkor tőkeáttételes pozícióval rendelkeztek, nem szenvedtek kárt, mivel a protokoll ezeket az ügyleteket a saját biztosításuk terhére nyitja meg.
7. Badger DAO – 120 millió dollár
Nem mindig egy kódhiba az, amely egy-egy protokoll vesztét okozhatja, és milliós kárt eredményezhet a csapat vagy a felhasználók számára. 2021 decemberében a Bitcoin és a defi közötti hidat működtető Badger DAO felhasználóit egy támadó sikeresen megtévesztette, és rosszindulatú engedélyeket fogadtatott el velük.
Ennek eredményeképpen hozzáférést szerzett a projekt széfjéhez, a benne tárolt javakhoz, amelyeket ki is utalt magának.
A PeckShield, egy blokkláncos biztonsági cég elmondta, a protokoll szerződései jól vannak megírva, biztonságosak. A támadás a felhasználói felületet érintette, más rendszer-elem nem lett kompromittálva ennek során.
6. Cream Finance – 130 millió dollár
2021 októberében a Cream is egy gyorshitellel végrehajtott támadás célpontjává vált, ezzel ők is harmadjára lettek áldozatok. A gyorshitelek olyan kölcsön-konstrukciók, ahol a hitelfelvétel és annak visszafizetése ugyanabban a blokkban történik meg.
Ezért nem kell mögé fedezet, hiszen ha nem érkezik meg a visszafizetés ugyanabba a blokkba, akkor eleve meg sem történik a hitel kiutalása. Ez a megoldás az arbitrázs-kereskedők között népszerű, valamint a defi szektorban számos hekker kedvence. A Cream esetében a támadó azt tudta kihasználni, hogy az árfolyam manipulálhatóvá vált, ha több különböző Ethereum-cím használatával vette fel ezeket a gyorshiteleket.
2021 augusztusában is ez történt, akkor 25 milliót lovasított meg tőlük valaki, az AMP token segítségével, és 2021 februárjában pedig 37,5 milliót bukott a protokoll, szintén ilyen típusú támadás során.
5. Vulcan Forged – 140 millió dollár
A play-to-earn új trendnek számít a kriptóban, de ettől függetlenül a régi trükkök ugyanúgy működnek, főleg azok, amelyek egy-egy centralizált sebezhetőséget használnak ki. A Polygon hálózatán működő Vulcan Forged játékplatform első kézből tapasztalta ezt meg, mikor tavaly decemberben 140 milliós kárt szenvedtek a felhasználói egy támadás során.
A csapat saját elemzése szerint a weboldalon biztosított centralizált tárcaszolgáltatás egyes privát kulcsait sikerült megszereznie a támadóknak, és ezzel 96 tárcához fértek hozzá. Ezeket a kulcsokat a projekt saját portfóliókezelő alkalmazásába importálva pedig a rajtuk lévő, összesen 4,5 millió PYR tokent a sajátjaként tudta kiküldeni.
A vállalat ügyvezetője, Jamie Thomson, miután minden felhasználót 100%-ban kártalanítottak, elmondta, hogy teljesen decentralizált tárcaszolgáltatás használatára térnek át, így a továbbiakban nem kell ilyen típusú kockázattal számolniuk.
4. Compound – 150 millió dollár
Ahogyan a legtöbb defi protokoll, a Compound is rendelkezik saját governance tokennel. A COMP bizonyos feltételek alapján kerül kiosztásra a platform felhasználói között. 2021 októberében viszont találtak egy bugot, amely lehetővé tette, hogy a felhasználók több tokent igényeljenek, mint amennyi járt volna nekik.
Egy programfrissítés után a tokenek kiosztását végző szerződést be lehetett csapni, így az automatikusan helytelen címekre kezdte el kiküldeni a COMP jutalmakat. 80 millió dollárnyi token került rossz helyre, mielőtt a csapat ki tudta volna javítani a hibát.
A javítás élesítéséhez viszont a tokentulajdonosoknak szavazással kellett hozzájárulni, és amíg a vita ment, közel egy héten keresztül, a projekt további 68,8 millió dollárnyi pénzt vesztett ilyen módon.
Robert Leshner, az alapító egy tweetben kérte vissza a tokeneket a címzettektől:
Anyone who returns COMP to the community is an alien giga-chad; and if a squad of alien giga-chads ever summon me, I will appear https://t.co/EZLb7g91Ew
— Robert Leshner (@rleshner) October 1, 2021
”Bárki, aki visszaküldi a COMP tokeneket a közösségnek, hatalmas jó arc. Márpedig ha egy csapat hatalmas jó arc valamikor is hívna engem, én mennék.”
Hogy ez kinek mennyire vicces, az szubjektív dolog, mindenesetre a tokenek nagyjából a fele vissza lett küldve a Compound tárcáiba.
Compound Proposal 62 Damage Assessment
— banteg (@bantg) October 4, 2021
Excess awarded: 1,264,863 COMP ($403m)
Total vulnerable (initial + drip): 507,185 COMP ($162m)
Excess claimed: 357,777 COMP ($114m)
Returned to timelock: 163,337 COMP (45.6%, $52m)https://t.co/bcq4Yf52oH
3. Wormhole – 326 millió dollár
Mivel egyre több blokklánc létezik, amelyen defi protokollok találhatók, egyre nagyobb a felhasználói igény, hogy átjárás is létezzen ezek között. Ezt láncok közötti hidakkal lehet megoldani, és ez az új módszer új típusú sebezhetőségek megjelenéséhez vezetett.
Az egyik legnagyobb kár idén januárban esett meg, mikor a Wormhole híd-szolgáltatásból 320 millió dollárnyi ethert vontak ki. A támadó a Solana oldalról érkezett, ahol a Solana-kompatibilis WETH tokenhez először ugyanannyi ETH-t kell lekötni.
Valahogy sikerült megtéveszteni a protokollt, így anélkül került a Solana rendszerére a WETH token, hogy előtte a fedezetként szolgáló ethert le kellett volna kötni a Wormhole szerződésében. A Wormhole fejlesztését végző cég egyik részvényese, a Jump Trading Group saját tőkéből pótolta vissza az elvesztett pénzt, így az Ethereum-tárcából most nem hiányzik semennyi.
2. Ronin – 552 millió dollár
A Ronin egy Ethereum oldallánc, amely kifejezetten az Axie Infinity játékhoz lett létrehozva. Az NFT-s, play-to-earn játék fejlesztését végző Sky Mavis vállalat idén március végén az egyik legnagyobb támadást szenvedte el a kriptó történetében, elvesztett privát kulcsok miatt.
Ezek használatával a támadók a Ronin saját híd-szolgáltatásából tudtak 552 millió dollárnyi kriptót kiutalni maguknak. A csapat viszont csak egy héttel később vette észre a támadást, és addig a hekkerek 622 millió dollárig növelték a zsákmányukat.
Az eset felderítése során arra jutottak, hogy a hálózat validátoraihoz fért hozzá a támadó, amelyeket 2021 novemberében azért vezettek be, hogy a felhasználóknak ne kelljen díjat fizetniük a játékon belüli tranzakciókért. Sikeresen megszerezték az Axie DAO digitális aláírását, amely önállóan engedélyezhetett tranzakciókat.
Ezt a megoldást tavaly decemberben leállították, az engedélyek viszont aktívak maradtak. Ezt tudta kihasználni a támadó, és érvényes tranzakcióként tudott aláírni bármit, amit szeretett volna. Így utalt ki magának 173600 WETH tokent, és 25,5 millió USDC-t.
Mivel ez a támadás a defi történetének a legnagyobbjai közé tartozik, a projekt egyik alapítója, Jeff Zirlin úgy fogalmazott, reményei szerint az elkövetőt sikerül azonosítani és bíróság elé állítania a hatóságoknak.
1. Poly Network – 611 millió dollár
A Poly meghekkelése nem csak a defi, hanem a teljes kriptoipar esetében is kifejezetten nagynak számít. A 2021 augusztusában kezdődött történet szerencsére hamar, alig három nap alatt véget is ért. A rabláshoz a projektet működtető egyik okos szerződés hibáját használták ki, így rendkívül gyorsan jutott a támadó összesen 611 millió dollárnyi kriptopénzhez.
A csapat elismerte a hibáját, és „Kedves Hacker!” megszólítással nyílt levelet írt az elkövetőnek. A kapcsolat-felvételi próbálkozások végül többszöri alkalom után, de sikerrel jártak. A projekt félmillió dollár jutalmat ajánlott a hekkernek, valamint egy vezető biztonsági tanácsadói pozíciót a cégben.
— Poly Network (@PolyNetwork2) August 10, 2021
De egy, a láncon, nyilvánosan lefojtatott beszélgetés során a támadó elmondta, a hekkelés valójában csak egy lecke volt a protokoll számára, mindig is a terv részének számított a pénz visszaküldése.
A SlowMist, egy kiberbiztonságra specializálódott vállalat a saját bevallása szerint sikeresen azonosította az elkövető módszereit, és elmondásuk szerint, a támadás egy gondosan kitervelt, hosszan tervezett, és kifogástalanul végrehajtott műveletnek számított. A hekker elmondta, hogy nem számít belső embernek a protokoll tekintetében, de „sokan mégis valamiféle összeesküvést gyanítanak, az igazságot pedig senki sem tudja”.
forrás:decrypto.co
Ezeket olvastad már?
Szerző
