Уязвимость криптопроектов: кто и сколько потерял от хакерских атак

По данным CipherTrace, с начала 2020 года в результате хакерских атак на криптовалютные проекты было похищено $468 млн. Около $100 млн из них приходится на рынок децентрализованных финансов (DeFi) – это 21% от общего объема незаконно выведенных средств.

Объем средств, похищенных хакерами в 2020 году. Данные CipherTrace

При этом на DeFi-проекты пришлась почти половина от общего количества атак, проведенных злоумышленниками. Такой результат стал следствием бурного роста рынка децентрализованных финансов в уходящем году – с начала января объем заблокированных на нем средств вырос с $675 млн до $13,5 млрд.

Большая часть атак на криптопроекты пришлась на вторую половину года, о самых громких из них – в обзоре Bloomchain.

KuCoin

Ущерб: от $150 млн до $280 млн.

Что произошло. 26 сентября с горячих кошельков китайской криптовалютной биржи KuCoin были выведены BTC, ETH и другие токены формата ERC-20 стоимостью более $150 млн. Аналитик The Block Ларри Чермак предположил, что сумма ущерба может быть почти вдвое большей, оценив ее в $280 млн.

KuCoin – централизованная биржа, но ее взлом тоже оказался связан с DeFi. Хакеры начали отмывать украденные токены с помощью сервисов децентрализованного обмена, в том числе через биржу Uniswap. Служба Whale Alert зафиксировала сразу несколько таких транзакций с DeFi-токенами проекта Synthetix (SNX), альткоинами Chainlink (LINK) и токенами блокчейн-платформы Ocean Protocol (OCEAN). Для ликвидации похищенных активов мошенники использовали тестовые транзакции и TWAP-ордеры, основанные на средневзвешенной по времени цене актива.

Последствия. Уже в первые часы после атаки KuCoin заявила, что намерена возместить пострадавшим пользователям все их средства из своего резервного фонда. Часть средств удалось вернуть при помощи партнеров компании, прежде всего Bitfinex и Tether, которые заморозили на своих счетах часть украденного, – таким образом были возвращены $64 млн.

В начале октября биржа сообщила, что в сотрудничестве с полицией удалось идентифицировать похитителей. В середине ноября CEO компании Джонни Лю сообщил, что KuCoin вернула 84% от общей суммы похищенных средств. По его словам, это оказалось реальным благодаря отслеживанию транзакций, обновлению смарт-контрактов и взысканию в правовом порядке. К 22 ноября биржа обещает вернуться к нормальному режиму работы.

Стоимость токена FARM. Данные CoinMarketCap

bZx 

Ущерб: $8 млн

Что произошло: В ночь на 13 сентября в результате кибератаки было выведено около $8 млн из DeFi-протокола bZx. Хакеры использовали уязвимость в смарт-контракте протокола, которая позволяла дублировать токены iToken – один из ключевых элементов системы кредитования bZx. 

Злоумышленникам удалось продублировать 101 778 iETH общей стоимостью примерно $1,74 млн, 219 200 токенов LINK ($2,6 млн), 1 756 351 USDT, 1 412 048 USDC и 667 989 DAI (примерно $680 тыс.). Инцидент с хищением средств из bZx стал третьим для проекта за год: в результате двух предыдущих атак, проведенных в феврале, хакерам удалось вывести еще около $1 млн.

Читайте также: уязвимость позволила хакерам вывести из DeFi-протокола bZx более $8 млн

Последствия: в bZx заявили, что средства пользователей находятся в безопасности, а убытки полностью покрывает страховой фонд платформы. Полноценная работа протокола была восстановлена через три дня после атаки. 

Origin Dollar

Ущерб: $7 млн

Что произошло. В ночь на 17 ноября злоумышленникам удалось вывести средства на сумму более $7 млн из сети стейблкоина Origin Dollar (OUSD). Хакеры воспользовались уязвимостью смарт-контракта проекта, которая позволила им использовать процесс ребалансировки стоимости стейблкоина в свою пользу.

Инициаторы атаки получили доступ к активам и искусственно завысили предложение OUSD, после чего смогли выгодно продать полученную криптовалюту на децентрализованных биржах Uniswap и Sushiswap за Ethereum, USDT и DAI.

Последствия. В первые часы после информации о взломе стоимость OUSD рухнула на 85%. Соучредитель проекта Мэттью Ли заявляет, что команда проекта работает над полным восстановлением похищенных средств, а также предлагает хакерам сдаться и получить должности консультантов по безопасности в компании.

Читайте также: криптобиржи уязвимы по своей природе

Harvest Finance

Ущерб: $25 млн

Что произошло. В конце октября хакеры атаковали протокол доходного фермерства Harvest Finance. Злоумышленники вывели из пулов $25 млн, но больше $2 млн они затем вернули. Для атаки использовали крупный флэш-кредит, с помощью которого был проведен арбитраж. Флэш-кредиты позволяют занять столько, сколько нужно без залога, – главное, чтобы хватило ликвидности в пуле. Затем можно использовать полученные активы для совершения иных операций.  

Злоумышленники использовали полученные активы для манипуляции ценами стейблкоинов в DeFi-протоколе Curve Finance, с которым взаимодействует Harvest. В течение семи минут они вывели средства из пулов Harvest, после чего обменяли их на токены renBTC, часть из которых впоследствии была пропущена через миксер Tornado Cash. 

Последствия. После появления информации о взломе стоимость собственного токена проекта FARM упала с $232 до $112. Цена актива не восстановилась до сих пор.

Разработчики взяли на себя ответственность за произошедшее, назвав причиной взлома собственную «инженерную ошибку». По их словам, они работают над планом по возвращению пользователям похищенных средств и занимаются обновлением протоколов.

Обвал стоимости стейблкоина OUSD после атаки 17 ноября. Данные CoinMarketCap

Value DeFi

Ущерб: $6 млн

Что произошло. 15 ноября хакерам удалось вывести $6 млн в DAI и USDC после атаки на хранилище проекта Value DeFi. Разработчики сообщили, что средства были похищены при помощи мгновенного займа на 80 000 ETH, взятого на лендинговой платформе Aave. 

Последствия: Спустя сутки Value DeFi сообщила, что хакеры вернули около $2 млн из похищенных средств, работа над возвратом остальных активов продолжается. Платформа возобновила работу.

Eterbase

Ущерб: $5 млн

Что произошло. В самом начале осени хакерской атаке подверглась зарегистрированная в Словакии криптовалютная биржа Eterbase. Преступники взломали криптовалютные кошельки, на которых хранились Bitcoin, XRP, Tron, Tezos, Algorand, а также Ethereum и токены формата ERC-20. Аналитики The Block считают, что ущерб от действий злоумышленников составил $5,32 млн.

Последствия. Сразу же после инцидента Eterbase приостановила работу и начала отслеживать адреса, на которые были переведены похищенные средства. По данным биржи, большая их часть оказалась на счетах в Binance, Huobi и HitBTC. При этом многие участники сообщества считают, что ETH и токены формата ERC-20, на которые пришлась большая часть украденных активов, были перемещены на децентрализованную биржу Uniswap. 

Удалось ли бирже восстановить похищенные средства, пока неизвестно. Eterbase планирует восстановить свою работу 15 декабря.

Читайте также: исследователи рассказали, как чаще всего взламывают криптовалютные биржи

Akropolis

Ущерб: $2 млн

Что произошло. 13 ноября неизвестный атаковал протокол доходного фермерства Akropolis. Используя мгновенные займы и уязвимость в смарт-контрактах, преступник вывел из сберегательных пулов $2 млн в стейблкоине DAI. 

По данным аналитика Стивена Чжена, хакер выводил токены несколькими траншами по 50 тыс. DAI. Атака длилась 7 часов до тех пор, пока преступник полностью не опустошил пул.

Последствия. Спустя сутки после атаки Akropolis опубликовала открытое письмо на Medium, в котором предложила хакеру вернуть похищенные средства за вознаграждение в $200 тыс., однако вскоре оно было удалено. В настоящее время команда разработчиков восстанавливает работоспособность платформы и продолжает расследование преступления вместе с полицией.

← Назад Поделиться: