Эта серия статей, основанная на выпуске «Стратегия спасения: Последние новости», совместно подготовленном OKX Web3 и BlockSec, посвящена проблемам безопасности, с которыми сталкиваются пользователи DeFi и проектные команды.
Q1: Можете ли вы рассказать о нескольких реальных случаях рисков в DeFi, с которыми столкнулись «киты»?
Команда безопасности BlockSec: Привлекательность DeFi заключается в стабильной высокой доходности активов, что привлекает крупных игроков и побуждает проекты повышать ликвидность, привлекая крупных «китов». Мы часто видим в новостях сообщения о том, как «киты» вносят значительные депозиты в DeFi. Однако эти «киты», пользуясь стабильной доходностью, сталкиваются с неотъемлемыми рисками. Следите за обновлениями: мы подробно разберем публично задокументированные сценарии рисков в DeFi.
Случай первый: Инцидент с PolyNetwork в 2022 году и испытание «Discus Fish» на миллионы долларов
Во время инцидента с безопасностью PolyNetwork в 2022 году было атаковано активов на сумму более 600 миллионов долларов США. Ходили слухи, что «Discus Fish» (соучредитель и генеральный директор Cobo) также потерял 100 миллионов долларов США. Хотя злоумышленник в конечном итоге вернул средства и инцидент был разрешен удовлетворительно, а «Discus Fish» объявил о планах установить памятник в блокчейне в честь этого события, сам процесс, должно быть, был весьма мучительным. Хотя некоторые инциденты безопасности заканчиваются хорошо, большинство из них разрешаются не так удачно.
Случай второй: Потрясение SushiSwap — катастрофическая потеря $3,3 млн 0x Sifu в результате атаки 2023 года
Известная децентрализованная биржа (DEX) SushiSwap подверглась атаке в 2023 году, что привело к значительным потерям для крупного держателя, известного как 0x Sifu, который потерял более 3,3 млн долларов США. Его индивидуальный убыток составил примерно 90% от общей суммы потерь.
Случай третий: Взлом Prisma — 80% потерь с четырех кошельков, 4 млн не возвращены
В инциденте с безопасностью Prisma в марте этого года общая сумма убытков составила 14 миллионов долларов США. Эти убытки возникли с 17 адресов кошельков, со средним убытком в 820 000 долларов США на кошелек. Однако убытки, понесенные четырьмя пользователями, составили 80% от общей суммы. Большая часть украденных активов до сих пор не возвращена.
В конечном счете, DeFi, особенно в основной сети, имеет значительные комиссии за газ (gas fees), поэтому прибыльность зависит от крупных инвестиций в активы, без учета бонусов за аирдропы. Таким образом, основная часть заблокированной стоимости (TVL) в DeFi-проектах обычно обеспечивается «китами», и в некоторых проектах 2% китов обеспечивают 80% TVL. Когда происходят инциденты безопасности, именно эти киты неизбежно несут основной удар убытков. «Нельзя смотреть только на то, как киты пируют; у них тоже бывают моменты, когда они попадают под удар».
Команда безопасности кошелька OKX Web3: С развитием ончейн-мира количество случаев рисков DeFi, с которыми сталкиваются пользователи, также растет, и ончейн-безопасность всегда является самой основной и важной потребностью пользователей.
Случай первый: Взлом PlayDapp — украдено токенов PLA на сумму $32 млн из-за утечки ключей
Утечка закрытого ключа PlayDapp: в период с 9 по 12 февраля 2024 года игровая платформа PlayDapp, работающая на базе Ethereum, подверглась взлому, в ходе которого злоумышленник воспользовался утекшими закрытыми ключами. Злоумышленник несанкционированно сминтил и украл 1,79 миллиарда токенов PLA, что привело к убыткам в размере примерно 32,35 миллиона долларов США. Злоумышленник добавил нового оператора минтинга в токены PLA, сминтил большое количество PLA и распределил их по нескольким ончейн-адресам и биржам.
Случай второй: Взлом Hedgey Finance — потеря $44,7 млн из-за использования уязвимости в смарт-контракте
Инцидент с атакой на Hedgey Finance. 19 апреля 2024 года Hedgey Finance столкнулась с серьезной уязвимостью безопасности в Ethereum и Arbitrum, что привело к убыткам в размере примерно 44,7 миллиона долларов США. Злоумышленник использовал ошибку в контракте, в котором отсутствовала проверка пользовательского ввода, получив доступ к уязвимому контракту и тем самым украв из него активы.
Q2: Можно ли резюмировать основные типы рисков, присутствующих в современном DeFi?
Команда безопасности кошелька OKX Web3: Основываясь на реальных инцидентах, мы выделили четыре наиболее распространенных типа рисков в текущей сфере DeFi.
Первый тип: Фишинговые атаки.
Фишинговые атаки — это распространенный тип кибератак, которые обманом заставляют жертв предоставлять конфиденциальную информацию, такую как закрытые ключи, пароли или другие личные данные, выдавая себя за законные организации или лиц. В сфере DeFi фишинговые атаки обычно осуществляются следующими способами:
· Поддельные веб-сайты: злоумышленники создают фишинговые сайты, похожие на реальные DeFi-проекты, обманом заставляя пользователей подписывать авторизации или совершать транзакции.
· Социальная инженерия: в Twitter (X) злоумышленники используют аккаунты, имитирующие реальные, или похищают аккаунты Twitter или Discord команд проектов для публикации ложных рекламных акций или информации об аирдропах (которые на самом деле являются фишинговыми ссылками) для проведения атак на пользователей.
· Вредоносные смарт-контракты: злоумышленники выпускают внешне привлекательные смарт-контракты или DeFi-проекты, обманом заставляя пользователей авторизовать права доступа, тем самым крадя средства.
Второй тип: Rugpull (выдергивание ковра).
Rugpull — это уникальное мошенничество в сфере DeFi, означающее ситуацию, когда разработчики проекта внезапно выводят средства и исчезают после привлечения большого количества инвестиций, в результате чего средства инвесторов полностью исчезают. Rugpull обычно происходит на децентрализованных биржах (DEX) и в проектах по майнингу ликвидности. Основные проявления включают:
· Вывод ликвидности: разработчики предоставляют большое количество ликвидности в пул ликвидности, чтобы привлечь инвестиции пользователей, а затем внезапно выводят всю ликвидность, в результате чего цена токена резко падает, а инвесторы несут тяжелые убытки.
· Поддельные проекты: разработчики создают DeFi-проект, который кажется законным, обманывая пользователей, заставляя их инвестировать с помощью ложных обещаний и высокой доходности, но на самом деле в проекте нет реальных продуктов или услуг.
· Манипулирование правами доступа к контракту: разработчики используют бэкдоры или права доступа в смарт-контрактах, чтобы изменять правила контракта или выводить средства в любое время.
Третий тип: Уязвимости смарт-контрактов.
Смарт-контракты — это самоисполняющийся код, который работает в блокчейне и является неизменяемым после развертывания. Если в смарт-контрактах есть уязвимости, это может привести к серьезным проблемам с безопасностью. Распространенные уязвимости смарт-контрактов включают:
· Уязвимости повторного входа (Reentrancy): злоумышленники многократно вызывают уязвимый контракт до завершения предыдущего вызова, вызывая проблемы с внутренним состоянием контракта.
· Логические ошибки: логические ошибки в проектировании или реализации контракта, приводящие к неожиданному поведению или уязвимостям.
· Переполнение целых чисел: контракты неправильно обрабатывают операции с целыми числами, что приводит к переполнению или потере значимых разрядов.
· Манипулирование ценой: злоумышленники манипулируют ценами, поступающими от оракулов, для проведения атак.
· Потеря точности: ошибки вычислений из-за проблем с точностью чисел с плавающей запятой или целых чисел.
· Недостаточная проверка ввода: отсутствие должной проверки пользовательского ввода, что ведет к потенциальным проблемам безопасности.
Четвертый тип: Риски управления (Governance Risks).
Риски управления связаны с основными механизмами принятия решений и контроля проекта. Если ими злоупотребляют, они могут привести к отклонению проекта от намеченных целей и даже к серьезным экономическим потерям и кризису доверия. Распространенные типы рисков включают:
· Утечка закрытых ключей
- Привилегированные аккаунты некоторых DeFi-проектов управляются с помощью EOA (внешне принадлежащих аккаунтов) или мультисиг-кошельков (кошельков с мультиподписью). Если эти закрытые ключи будут скомпрометированы или украдены, злоумышленники смогут манипулировать контрактами или средствами по своему усмотрению.
· Атаки на управление (Governance Attacks)
-
Хотя некоторые DeFi-проекты используют схемы децентрализованного управления, они по-прежнему сталкиваются со следующими рисками:
-
Манипулирование токенами: злоумышленники манипулируют результатами голосования, заимствуя большое количество токенов управления на короткий период.
-
Концентрация власти: если токены управления сильно сконцентрированы в руках немногих лиц, эти лица могут контролировать принятие всех решений по проекту, сосредоточив право голоса в своих руках.
