10 DeFi Hack 2022
Merkezi olmayan finans (DeFi), bazen kripto endüstrisinin “vahşi batısı” olarak eleştirildi. Bu yıl şimdiye kadar birden fazla protokolden çalınan 2.32 milyar dolar, bugün DeFi’nin durumunun doğru bir açıklaması olarak kullanılabilirse, o zaman son gülen eleştirmenler oluyor.
2009’da Bitcoin’in piyasaya sürülmesiyle başladığı iddia edilen DeFi, 2020’de Compound Finance’in sözde “verim çiftçiliği” yatırım stratejisinin lansmanı ile gerçekten başarılı oldu.
Artık binlerce merkezi olmayan uygulama veya dApp kullanımda. DeFiLlama, toplam değerin 53,73 milyar dolardan fazlasının DeFi’de kilitli olduğunu bildiriyor – rakamlar o kadar sulu ki istenmeyen aktörlerin – bilgisayar korsanlarının dikkatini çekti.
Sistemi hacklemek
DeFi, Bitcoin’in ademi merkeziyetçilik ve mahremiyet konusundaki temel değerlerine geniş ölçüde sadık kalan ve hükümet gözetiminden alaycı ayrılmayı sürdüren kripto para biriminin bir parçasıdır. Bununla birlikte, kontrol edilmediğinde, bu tür özgürlükler büyük risk taşır.
Blockchain güvenlik firması PeckShield’e göre, bilgisayar korsanları bu yıl şimdiye kadar DeFi endüstrisinden 135’den fazla istismarda 2.32 milyar dolardan fazla çaldı. Rakam, 2021’in tamamı için tüm sektörden çalınandan %50 daha yüksek.
Yıllar boyunca, çevrimiçi hırsızlar işlerini yürütmek için çeşitli taktikler kullandılar. REKT Veritabanı, en çok kullanılan saldırı yöntemlerinin bal küpü, çıkış dolandırıcılığı, istismar, erişim kontrolü ve flaş krediyi içerdiğini söylüyor. PeckShield’ın küratörlüğünü yaptığı 2022’nin şimdiye kadarki en büyük on DeFi istismarı.
Ronin Network: Kayıp – 620 milyon dolar
Kripto oyunu Axie Infinity için Ethereum tabanlı yan zincir olan Ronin Network, Mart ayında ETH ve USDC’de 620 milyon doların üzerinde dolandırıldı. Saldırgan, iki işlemde Ronin köprü sözleşmesinden “sahte para çekme işlemleri yapmak için saldırıya uğramış özel anahtarlar kullandı”.
23 Mart’ta meydana gelen istismar, ancak bir hafta sonra bir kullanıcı 5.000 ether çekmeyi başaramadığında keşfedildi. Toplamda, bilgisayar korsanı, o sırada 620 milyon dolardan fazla değere sahip 173.600 ETH ve 25.5 milyon USDC ile kaçtı.
Ronin Network hack’i, tarihin en büyük DeFi hack’i olarak kabul ediliyor. PeckShield, bu yılın şimdiye kadarki en büyüğü olmaya devam ettiğini söylüyor.
Wormhole Bridge: Kayıp – 320 milyon dolar
2 Şubat’ta bir saldırgan, Solana, Ethereum, Avalanche ve diğerleri arasında popüler bir çapraz zincir kripto köprüsü olan Wormhole protokolünden 320 milyon doların üzerinde sarılı ETH sifonu çekti.
Solucan deliği kullanıcılarının, ethereum fiyatına sabitlenmiş bir kripto türü olan nane sarılı ETH’ye ethereum vermeleri gerekiyor.
Analitik firması Elliptic, Wormhole’un “koruyucu” hesapları doğrulamamasındaki istismarı suçladı. saldırganın hiçbir ethereum desteklemeden 120.000 wETH basmasına izin verir. Bilgisayar korsanı daha sonra 93.750 wETH’yi ethereum ile takas etti ve kalanını Solana ile değiştirdi. Zararın toplam değeri o sırada 320 milyon doların üzerindeydi.
Nomad Bridge: Kayıp – 190 milyon dolar
2 Ağustos’ta bilgisayar korsanları, kullanıcıların bir blok zincirinden diğerine jetonları değiştirmesine izin veren bir araç olan Nomad’dan yaklaşık 190 milyon dolarlık kripto para birimini boşalttı.
Saldırı, Nomad’ın kodunun yükseltilmesiyle başladı. Akıllı sözleşmenin bir bölümü, kullanıcılar her işlem yaptığında geçerli olarak işaretlendi. Bu, kötü oyuncuların platforma yatırılandan daha fazla varlık çekmesine izin verdi. Bilgisayar korsanları, köprüden 190 milyon dolarlık kripto taşınana kadar süreci tekrarladı. Nomad çok geç olana kadar asla öğrenmedi.
Beanstalk Farms: 182 milyon $ zarar
Nisan ayında bir saldırgan, farklı kripto varlıklarının arz ve talebini dengelemeyi amaçlayan bir DeFi protokolü olan Beanstalk Farms’tan 182 milyon dolarlık kriptoyu boşalttı.
PeckShield, saldırganın Beanstalk’ın çoğunluk oyu yönetim sisteminden yararlandığını ve kendilerine 182 milyon dolar göndermek için oy kullandığını söyledi. Firma, saldırganın protokolde kontrol hissesi elde etmek için bir flaş kredi kullandığını, ancak gerçek kârlarının yalnızca 80 milyon dolar civarında olduğunu söyledi.
Wintermute: 160 milyon dolar zarar
Wintermute, platformun merkezi olmayan finans bölümünden 160 milyon dolar kazanan bilgisayar korsanlarının kurbanı olan en son DeFi protokolüdür. CEO, Evgeny Gaevoy, saldırının Ethereum makyaj adresi oluşturma aracı Profanity’deki kritik bir hatayla bağlantılı olduğunu söyledi.
Wintermute, aracı asla “boşluk” için işlem maliyetlerini azaltmak için benzersiz bir adres oluşturmak için kullandığını söyledi. Bu özel saldırının arkasında insan hatası var gibi görünüyor.
Elrond: Kayıp – 113 milyon dolar
Haziran ayında, bilgisayar korsanları, Elrond blok zincirinin yerel belirteci olan yaklaşık 1.65 milyon elrond egold (EGLD) çalmak için merkezi olmayan borsa Maiar’daki bir boşluktan yararlandı. Araştırmacılar, saldırganın akıllı bir sözleşme kullandığını ve borsadan tahmini 113 milyon dolar değerinde EGLD çalmak için üç cüzdan kullandığını söyledi.
Bilgisayar korsanları tokenin 800.000’ini hemen aynı DEX’te 54 milyon dolara sattı ve geri kalanı merkezi borsalarda satıldı veya ethereum ile takas edildi.
Horizon Bridge: Kayıp – 100 milyon dolar
Elrond istismarından sadece birkaç gün sonra, bilgisayar korsanları 23 Haziran’da tekrar saldırdı ve Horizon köprüsüne neredeyse 100 milyon dolara ulaştı. Horizon, Ethereum, Binance Smart Chain ve Harmony blok zinciri ağları arasında bir çapraz zincir birlikte çalışabilirlik platformudur.
PeckShield, Harmony tarafından yönetilen platformdan 98 milyon dolardan fazla tokenin çekildiğini ve eterle değiştirildiğini açıkladı. 50.000’den fazla kullanıcı cüzdanı etkilendi. Bilgisayar korsanları daha sonra Tornado Cash aracılığıyla 35 milyon dolar aktardı.
Qubit Finance: Zarar – 80 milyon dolar
DeFi protokolü 28 Ocak’ta QBridge protokolünden 206.809 binance coin (BNB) çalan bir saldırgan tarafından istismar edildiğini söyledi. Toplamda, jetonlar 80 milyon dolar değerindeydi.
Güvenlik şirketi Certik’e göre saldırgan, QBridge sözleşmesinde 77.162 qXETH’yi (Qubit üzerinden köprülenmiş ethereumu temsil etmek için kullanılan bir tür kripto) basmak için bir para yatırma seçeneğinden yararlandı. Saldırgan, platformu para yatırdıklarına inandırdı. İşlemi yeterince tekrarladıktan sonra varlıkları BNB’ye çevirdiler ve ortadan kayboldular.
Cashio: Zarar – 48 milyon dolar
Solana’da bir stabilcoin protokolü olan Cashio, ekibin Mart ayında “sonsuz nane arızası” olarak adlandırdığı istismardan muzdaripti. Hackerlar protokolden 48 milyon dolar çekti ve Cashio’nun CASH stabilcoin’inin çökmesine neden oldu.
Cashio, kullanıcıların faiz getiren likidite sağlayıcı jetonları tarafından desteklenen tüm mevduatlarla CASH stabilcoini basmasına olanak tanır. Saldırgan milyarlarca NAKİT bastı ve bunları USDC ve UST ile takas etti, DEX Sabre ile geri çekilmeden önce kendisi çöktü.
Dolar sabitlenmiş CASH, saldırıdan sonra 0 dolara düştü. Saldırgan, 100.000 doların altındaki hesaplara parayı iade etti ve geri kalanını hayır kurumlarına bağışlayacağına söz verdi. Bunu duyduğumuz son şey, Cashio ganimeti. NAKİT öldü.
Scream: Kayıp – 38 milyon dolar
Fantom tabanlı borç verme platformu Scream, protokol güvenliği açısından bu yıl DeFi’deki belki de en dikkatsiz istismarlardan birine maruz kaldı. Scream, değeri 1 dolara sabitlenen stabilcoinler Fantom USD (fUSD) ve DEI’nin sabit para kaybetmesinin ardından 38 milyon dolarlık bir borç aldı.
Protokol iki stablecoin’in değerini sabit kodladığından, Scream’de varlıkların değerinde bir düşüş görülmedi. Balinalar, sabitlenmemiş fUSD ve DEI’yi yatırırken diğer tüm değerli stablecoin’lerin protokolünü boşaltmak için bu boşluktan yararlandı.
FRAX, USDT, USDC ve MIM stabilcoinlerinde toplam 38 milyon dolar ağdan çekildi. Olaydan sonra Scream, sert fiyatlandırmayı terk etti ve gerçek zamanlı fiyatlandırma verileri için Chainlink oracles’a geçti. Balinalar ganimetlerini korudu. Degens için iyi bir ödeme günü!.
Çalınan milyarlara ne oldu?
Kayboldu.
PeckShield, yukarıdaki protokollerden çalınan paranın yaklaşık %50’sinin veya 1,16 milyar dolarının ABD hükümeti tarafından Ağustos ayında onaylanan Ethereum tabanlı kripto para birimi karıştırıcısı Tornado Cash ile yıkandığını ve kripto topluluğundan güçlü bir tepki uyandırdığını söyledi.
Tornado Cash, kripto kullanıcılarının finansal işlemlerinin geçmişini gizlemesine izin vererek, izlemeyi zorlaştırıyor. ABD güvenlik ajansı FBI’a göre, karıştırıcı, Kuzey Kore bağlantılı hacker grubu Lazarus’un beğenileri tarafından 2019’dan bu yana 7 milyar doların üzerinde kripto para aklamak için kullanılıyor.
Bilgisayar korsanları milyarlarca dolar ile ortadan kaybolurken, etkilenen DeFi protokolleri paralarını geri kazanmak için çok az başarı ile bir dizi girişimde bulundu. Bunu yapmanın bir yolu, saldırgandan, bir tür teşvik karşılığında, haksız elde edilen ganimeti iade etmesini istemektir. Ya da hiçbiri.
Qubit Finance bunu denedi ve sözde beyaz korsanlık iddiası için sunabileceği maksimum 2 milyon dolarlık ödül teklif etti. Çalışmadı. Harmony de aynı fikirle oynadı. Horizon köprüsünden çalınan 100 milyon doların iadesi için 1 milyon dolar ödül teklif etti ve suç duyurusunda bulunmayacağına söz verdi. Hackerlar aramayı görmezden geldi. Hiçbir şey kurtarılmadı.
Ancak, benzer bir strateji Poly Network için Ağustos 2021’de çalıştı ve saldırgan çaldığı 600 milyon doların çoğunu geri verdi.
Bu şans Ronin’e kadar uzanır. Bu ayın başlarında ağ, kripto güvenlik şirketi Chainalysis, ABD Hazinesi ve FBI’ın yardımıyla kaybettiği paranın 30 milyon dolarını geri aldı. Ancak bu, hack sırasında çalınan 620 milyon doların sadece %5’i. FBI, saldırgan olduğu iddia edilen Lazarus Group tarafından Tornado Cash aracılığıyla yaklaşık 455 milyon doların yıkandığını tahmin ediyor.
Nomad Bridge’in bilgisayar korsanları, çapraz zincir köprünün 190,4 milyon dolara çıkarılmasından bir gün sonra platforma 9 milyon dolar geri gönderdi. Geri dönen fonlar için %10’luk bir ödülden sonra, beyaz bilgisayar korsanları toplam yağmalanan 32 milyon doları daha hacklediler ve çapraz zincir köprüsüne geri verdiler. Geri kalanların çoğu, çalınan servetlerini umutsuzca elinde tutmaya çalıştıkları için hacker tarafından farklı adresler arasında karıştırıldı. Onlar yaptı.
Solucan deliği 320 milyon dolarını asla geri alamadı. Kurtarılması gerekiyordu. Protokolde hissesi olan Jump Trading Group, güvenlik açığı giderildikten sonra çalınan 120.000 ETH’nin yerine atladı.
Nasıl Hacklenmez?
Açıkçası, blockchain köprüleri DeFi’deki en zayıf halka gibi görünüyor. Bireylerin ve protokollerin güvende kalmasının yolları vardır.
Blockchain güvenlik firması Smart State’in kurucusu Alex Belets, Be[In]Crypto’ya “Projeler geliştirirken net referans koşulları hazırlamak, mantıksal hatalardan kaçınmak için projelerin işlevselliğini mümkün olduğunca testlerle kapsamak gerekiyor” dedi.
“Otomatik güvenlik açığı tarayıcıları kullanın, kütüphanelerin olduğu şeyleri uygulamaya çalışmayın Denetimler yapın ve özel anahtarlarınızı güvende tutun. Özel anahtarlar oluşturmak için Profanity gibi üçüncü taraf uygulamaları kullanmayın (Wintermute’nin hack nedeni), ”diye ekledi.
