Projekty decentralizovaných financí přišly v důsledku různých hacků o 21 milionů dolarů v průběhu února 2023. Uvedla to analytická platforma DefiLama, která se zabývá shromažďováním dat z útoků na DeFi projekty. Za jeden z největších hacků v únoru můžeme označit napadení projektu Platypus Finance, které vedlo ke ztrátě 8,5 milionů dolarů. Nejedná se ale ani zdaleka o jediný útok na decentralizované projekty v průběhu února 2023.
BonqDAO - 1,7 milionu dolarů
Decentralizovaný protokol na půjčování virtuálních eur oznámil problémy hned 1. února. Svým uživatelům oznámili vývojáři, že jejich protokol byl cílem Oracle útoku. Tento typ hacku umožnil útočníkům manipulovat s cenou nativních tokenů s názvem AllianceBlock. Útočník zvýšil cenu tohoto tokenu a vytvořil si obrovské množství tokenu Bonq Euro. Všechny tokeny následně vyměnil za jiné prostřednictvím Uniswapu. To vedlo ke snížení ceny nativního tokenu Alliance Block téměř na nulu a jeho krachu. Bezpečnostní firma HackShield odhalila, že útočník zřejmě ukradl až 120 milionů dolarů. Nakonec se ale ukázalo, že se podařilo vybrat jen jeden milion dolarů, kvůli nedostatku likvidity na protokolu BonqDAO.
Oracle attack
Kryptoměnový útok tohoto typu cílí na oracle mechanismus, který má za úkol doručovat informace o cenách tokenů do chytrých kontraktů. Při útoku na tento mechanismus využije hacker slabého místa a manipuluje s informacemi, které oracle poskytuje. Typicky se jedná o úpravu ceny tokenu nebo změnu informací o transakcích v daném smart kontraktu. Pokud se například podaří útočníkovi zmanipulovat ceny, může to vést k velkému výkyvu hodnoty daného tokenu. DeFi projekty se smart kontrakty jsou na tyto útoky zvláště náchylné, protože právě oracle mechanismus je jednou z hlavních součástí sítě. Vývojáři se mohou proti útokům bránit například provozováním několika oracle mechanismů, které by si mezi sebou pravidelně kontrolovaly data. Útočník by tak musel najednou napadnout hned několik částí sítě a získání kontroly by tak nebylo vůbec snadné.
Orion protokol - 3 miliony dolarů
Hned na druhý den, tedy 2. února, byla napadena decentralizovaná burza Orion Protocol. Při útoku byly odcizeny přibližně 3 miliony dolarů. Hackeři v tomto případě použili reentrance útok, při kterém použili špatně napsaný chytrý kontrakt k vyvedení finančních prostředků z burzy. Útočníci opakovaně posílali příkazy k výběru prostředků, které v žádném případě nevlastnili. CEO protokolu Alexey Koloskov potvrdil útok ještě ten den a všechny uživatele ujistil, že jejich prostředky jsou v bezpečí. Navíc celý problém svedl na špatný software třetích stran, které v jednom z chytrých kontraktů používali k experimentování s novými funkcemi. Z burzy byly během útoku ukradeny 3 miliony dolarů a útočník je samozřejmě neznámý.
https://twitter.com/alexeykoloskov/status/1621269289234751495
DForce Network - 3,65 milionů dolarů
Další DeFi protokol, který se v únoru stal obětí reentrance útoku se jmenuje dForce Network. Během útoku se z půjčovny tokenů ztratilo 3,65 milionů dolarů. Informace o útoku zveřejnil twitterový kanál tohoto protokolu, záhy ale přišel velký zvrat. Tři dny po útoku se všechny peníze zase vrátily do protokolu a útočník se ukázal být white hat hackerem. Jeho identita samozřejmě nebyla prozrazena, vrátil ale úplně všechny peníze do posledního centu.
https://twitter.com/dForcenet/status/1625002152002310146
Reentrancy attack
Útok tohoto typu cílí na špatně napsaný kód, který zabezpečuje smart kontrakty. Při tomto typu útoku využívá hacker toho, že některé smart kontrakty mohou komunikovat s jinými a vrátit se zpět jako uzavřené bez toho, aby dokončily své vlastní transakce. To umožňuje útočníkovi spustit kód vícekrát, než bylo v původním smart kontraktu zamýšleno. Typicky se jedná o útok, při kterém útočník vytvoří smart kontrakt, který bude emitovat tokeny výměnou za určitý počet etherů. Tento kontrakt ale útočník připraví tak, že tokeny budou emitovány ještě před ověřením zůstatku na účtu hackera. Tato chyba umožní útočníkovi využít reentrancy attack a neustále posílat nové a nové transakce na vytvoření smart kontraktu bez toho, aby měl na svém účtu dostatek etherů. Vývojáři se pro tomuto typu útoků mohou bránit pouze neprůstřelně napsanými smart kontrakty. Uživatelé by si tak měli kontrolovat, zda kód DeFi protokolu, který se rozhodli používat, prošel auditem kódu.
Platypus Finance - 9,1 milionů dolarů
Další únorový útok byl veden na DeFi protokol Platypus Finance. Jednalo se o flash loan útok, který vedl k odcizení 8,5 milionů dolarů. Následný audit, který si nechala půjčovací služba vyhotovit ukázal, že útok byl možný kvůli špatnému pořadí příkazů v kódu. Tento špatně napsaný kód umožnil hackerům ukrást v několika vlnách útoků 9,1 milionů dolarů. Devět dnů po útoku zatkla francouzská policie dva podezřelé spojené s hackem a zabavila přibližně 220 000 dolarů v kryptoměnách. Jednalo se ale jen o zlomek uloupených prostředků a dalších téměř 9 milionů dolarů se nepodařilo vystopovat.
https://twitter.com/Platypusdefi/status/1631573948147306497
Flash loan attack
Útok známý jako flash loan attack využívá konceptu rychlé půjčky v kryptoměnách. Útočník využije smart kontraktu na decentralizované platformě, aby si půjčil velké množství kryptoměn v rámci jedné transakce. Daný smart kontrakt pak obsahuje podmínky této transakce, které musí být splněny pro přijetí prostředků. V rámci této transakce útočník manipuluje s těmito podmínkami, případně upravuje hodnotu aktiv ve svůj prospěch. Typicky si tedy útočník půjčí velký velký obnos v daném tokenu za nízkou cenu, aby následně zmanipuloval cenu tokenu na vyšší hodnoty a token prodal. Využití tohoto typu útoku je poměrně náročné, protože vyžaduje pokročilé znalosti blockchainu a smart kontraktů. Kromě dobrých znalostí musí mít hacker také velké množství prostředků, aby mohl vytvořit potřebný tlak na trh. Zejména u menších projektů v podstatě neexistuje způsob, jak se tomuto typu útoku bránit.
Hope Finance: 1,86 milionů dolarů
Ke konci února se uživatelé projektu Hope Finance vydávající vlastní stablecoin na Arbitrumu stali oběťmi podvodníka. Ten upravil smart kontrakty a postupně vybral téměř 2 miliony dolarů. Všechny vybrané stablecoiny skončily ve službe Tornado Cash. Bezpečnostní firma CertiK zaměřená na Web3 projekty upozornila na incident 21. února. Samotný účet Hope Finance informoval uživatele jen chvíli předtím a zároveň poradil, jak stakované prostředky rychle vybrat.
https://twitter.com/Hope_fin/status/1627941848206516224
O útoku se ví jen tolik, že hacker upravil smart kontrakt pro výběr a prostředky uživatelů z různých transakcí chodily přímo na účet hackera. Pro technicky zdatnější můžeme doplnit, že útočník upravil TrandingHelper kontrakt. Pokud pak zavolal funkci OpenTrade na GenesisRewardPoolu a všechny prostředky byly přeneseny na peněženku útočníka.
Dexible: 2 miliony dolarů
Multichainová směnárna Dexible je další v řadě, která se stala cílem kvůli svým smart kontraktům. Útočníci se tentokrát zaměřili na funkci selfSwap a podařilo se jim ukrást 2 miliony dolarů v kryptoměnách. Směnárna na útok upozornila až následující den a uvedla, že útočníkům se podařilo využít slabého místa v nově přidaném smart kontraktu. To umožnilo útočníkům ukrást peníze jakékoliv peněženky, která měla nějakou platbu ve schvalovacím procesu. Napadeni ale mohli být jen uživatelé, kteří povolili nativní aplikaci směnárny manipulovat s jejich tokeny. Pomocí přesměrování smart kontraktu tak útočníci vybrali přes 2 miliony dolarů, které zmizely přes Tornado Cash.
https://twitter.com/DexibleApp/status/1626575966003757056
[twitter-follow username="btctip_cz" scheme="dark"]
