Главные взломы 2020 года: DeFi, биржи и снова DeFi
В 2020 году мир изменился. После первого шока, вызванного пандемией и последовавшего за ней обвала рынков, люди стали приспосабливаться к новой «изоляционной реальности». Одним из главных изменений в повседневной жизни стал массовый переход на удаленную работу.
На фоне этого существенно увеличилось количество киберпреступлений. Как прогнозируют исследователи, число атак продолжит расти.
Криптовалютное сообщество и компании давно находятся под прицелом хакеров. Согласно данным аналитиков, по состоянию на октябрь блокчейн-индустрия лишилась свыше $13,6 млрд в результате атак с 2012 года.
К сожалению, взломы биткоин-бирж и кошельков — далеко не новость для индустрии. Однако в этом году на фоне бума излюбленной мишенью хакеров стали DeFi-проекты. По оценкам CipherTrace, к ноябрю злоумышленники украли из DeFi-протоколов почти $100 млн.
Мы расскажем о главных взломах 2020 года, в результате которых пользователи потеряли миллионы долларов, а некоторые компании и вовсе закрылись.
- Самым крупным взломом года стала атака на криптовалютную биржу KuCoin.
- Чаще всего в 2020 году от действий злоумышленников страдали DeFi-протоколы. Сразу несколько подверглись атакам с использованием мгновенного займа.
- Помимо взломов протоколов и платформ, киберпреступники активно торговали данными пользователей.
KuCoin — один из крупнейших взломов в истории (ущерб — $280 млн)
Сентябрьская атака на криптовалютную биржу KuCoin стала одним из самых крупных взломов в истории индустрии.
Изначально ущерб оценивался в $150 млн, но позже аналитики изменили оценку на $280 млн. Взломавшие KuCoin хакеры отмывали средства через миксеры и децентрализованную биржу Uniswap.
К ноябрю KuCoin вернула пользователям большую часть похищенных средств и восстановила ввод и вывод активов.
Незадачливый хакер и dForce (ущерб — $25 млн)
В апреле хакер атаковал DeFi-протокол dForce. На момент кражи сумма составляла почти $25 млн.
Как выяснилось, он воспользовался уязвимостью токена imBTC стандарта ERC-777 и критической уязвимостью в смарт-контрактах платформы Lendf.me, отвечающих за обновление балансов пользователей. Помимо ущерба, нанесенного dForce, хакер вывел все токены с Lendf.me (291 imBTC или $2 млн на момент атаки).
Однако злоумышленник совершил фатальную (для него) ошибку — по неосторожности раскрыл свои идентификационные данные, обратившись к децентрализованным биржам напрямую без использования распределенной файловой системы IPFS.
В результате хакером заинтересовались правоохранители Сингапура и ему пришлось вернуть все похищенные средства.
Harvest Finance: «инженерная ошибка» ценой почти в $20 млн (ущерб — $19,8 млн)
В октябре злоумышленник похитил $19,8 млн с платформы Harvest Finance. На вывод средств у него ушло семь минут. Позже хакер вернул $2,47 млн. Разработчики пообещали распределить их среди пользователей и назначили награду в $1 млн за помощь в возврате средств.
Хакерскую атаку представители проекта объяснили «инженерной ошибкой».
Конец самостоятельной жизни Pickle Finance (ущерб — $19,7 млн)
Крупный ущерб в результате атаки понес еще один DeFi-проект Pickle Finance. Хакеры украли более $19 млн.
Токен проекта обвалился и вскоре после взлома Pickle Finance объявил о слиянии с yEarn.Finance.
Eminence: еще один проект Андрэ Кронье в центре внимания (ущерб — $15 млн)
В сентябре хакер вывел $15 млн из незавершенного DeFi-проекта Eminence. Его запуском занимался известный в секторе децентрализованных финансов разработчик Андрэ Кронье.
Впоследствии злоумышленник вернул Кронье $8 млн.
Серийные атаки на bZx (ущерб — $11,6 млн)
DeFi-платформа bZx подверглась хакерским атакам несколько раз за год. В феврале злоумышленники вывели 1193 ETH. Спустя несколько дней bZx взломали повторно и вывели еще 2388 ETH.
Еще одна атака произошла уже в сентябре. Общая сумма ущерба составила более $11,6 млн по курсу на момент написания.
EXMO без 6% средств (ущерб — $10,5 млн)
В конце декабря хакеры взломали криптовалютную биржу EXMO. Изначально речь шла о потере примерно 5% от общих активов, однако позже биржа уточнила, что лишилась 6% средств.
По предварительным оценкам, ущерб составил $10,5 млн.
Хакер-шантажист и основатель Nexus Mutual Хью Карп (ущерб — $8 млн)
Помимо бирж и DeFi-проектов в поле зрения хакеров попадали и отдельные личности. В декабре злоумышленник вывел из личного кошелька основателя Nexus Mutual Хью Карпа более $8 млн в токенах NXM.
Карп обратился к хакеру через Twitter с предложением награды в $300 000 и прекращения расследования за возврат средств. Последний ответил. Правда, просто так вернуть средства он не согласился. Хакер заявил, что не будет продавать токены до момента роста курса или пока Карп не переведет на его адрес 4500 ETH.
«Черный четверг» для MakerDAO (ущерб — $8 млн)
На фоне мартовского обвала рынка злоумышленники вывели из системы MakerDAO более $8 млн.
Инвесторы подали групповой иск против Maker Foundation и нескольких аффилированных с ней организаций. Maker Foundation опубликовала отчет об инциденте, но держатели токенов MKR отказались компенсировать убытки владельцам залогов в MakerDAO.
В сентябре групповой иск передали в арбитражное производство.
Атака на стейблкоин Origin Dollar (ущерб — $7 млн)
В ночь на 17 ноября хакер взломал сеть стейблкоина Origin Dollar и вывел средства на сумму более $7 млн.
Для отмывания и перемещения средств он использовал миксер Tornado Cash и монеты renBTC.
К декабрю команда Origin Protocol представила план возмещения убытков пользователям.
Here’s our detailed compensation plan for $OUSD holders. We appreciate everyone’s patience as we worked to develop a detailed plan for providing compensation equal to 100% of the value deposited to OUSD at the time of the exploit.
👉 https://t.co/x0NLrBduFP pic.twitter.com/64tcRUcnk2
— Origin Protocol (@OriginProtocol) December 12, 2020
Value DeFi и добропорядочный хакер (ущерб — $6 млн)
В результате атаки на хранилище MultiStables неизвестный вывел $6 млн в стейблкоинах DAI и USDC из проекта Value DeFi. Он воспользовался мгновенным займом. С подобными атаками в этом году столкнулись DeFi-проекты Akropolis, Cheese Bank и warp.finance. Эксперты полагают, что хакеры продолжат использовать мгновенные займы для взломов DeFi-проектов в дальнейшем.
Разработчики предложили хакеру оставить себе монеты на сумму $1 млн и вернуть остальное. Злоумышленник проигнорировал предложение, однако частично компенсировал потери пользователям.
К примеру, хакер вернул 50 000 DAI медсестре, утверждавшей, что она потеряла все свои сбережения.
Взломанная Eterbase (ущерб — $5,3 млн)
В начале сентября хакеры взломали словацкую криптовалютную биржу Eterbase. Площадка заявила о потере пользовательских средств в биткоинах, Ethereum, Tron, XRP, Tezos и Algorand на сумму более $5,3 млн.
Большую часть средств хакеры перевели на Binance, Huobi и HitBTC.
Биткоин-кошельки под угрозой — атака на Cashaa (ущерб — $3,1 млн)
Один из биткоин-кошельков оператора криптовалютной биржи Cashaa взломали в июле. Хакер вывел 336 BTC. На момент взлома ущерб оценивался в $3,1 млн, что к декабрю 2020 года эквивалентно более $7,5 млн.
***
Это не полный список произошедших в 2020 году хакерских атак, нацеленных на криптовалютную индустрию.
В феврале взломали криптовалютную биржу Altsbit. И хотя обозначенная сумма ущерба кажется сравнительно небольшой ($285 000), биржа была вынуждена закрыться.
Летом взломам подверглись DeFi-проекты Balancer и Opyn. Хакеры также атаковали криптовалютные платформы на хостинге GoDaddy, похитили 1400 BTC у инвестора, использовав старую версию кошелька Electrum и, по сообщениям СМИ, взломали 2000 аккаунтов дружественной к криптовалютам платформы Robinhood.
Злоумышленники активно торговали данными пользователей — в конце года в открытый доступ попали сведения миллиона пользователей биткоин-кошельков Ledger. До этого хакеры его пользователи подверглись фишинг-атаке.
Усилят ли киберпреступники атаки на криптовалютную отрасль в 2021 году? Эксперты считают, что да.
Однако ведущие криптовалютные проекты не ждут взломов смиренно — они все больше времени уделяют своим системам безопасности, а специалисты выпускают отчеты и рекомендации касательно методов защиты и противодействия.
В итоге большую рыночную долю займут те компании, которые ставят безопасность средств и данных пользователей в приоритет.
Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!