Урожайный взлом: как хакеры запутывали следы после атаки на Harvest Finance

В 2020 году DeFi-проекты стали невероятно популярны. Объем замороженных в секторе средств уже превысил $100 млрд, а число проектов перевалило за 200. Но в бочке меда часто находится и ложка дегтя.

Стремительное развитие DeFi привлекло внимание злоумышленников, атакующих уязвимости в существующих проектах и создающих собственные мошеннические инициативы под ширмой децентрализованных финансов.

Пулы ликвидности на DEX в комбинации с миксерами начали также использовать для запутывания следов с целью отмывания денег.

Специально для ForkLog аналитическая компания Crystal Blockchain подробно разобрала взлом проекта Harvest Finance, ставший самым крупным инцидентом в сегменте DeFi в конце 2020 года.

Хронология взлома

Harvest Finance – это протокол с возможностью доходного фермерства, который аккумулирует доходность по различным протоколам кредитования, оптимизируя ее для извлечения максимальной прибыли.

26 октября неизвестный хакер путем манипулирования с арбитражем вывел на свой адрес около $25 млн (13 млн USDC и 11 млн USDT).

Хакер вывел $19,8 млн с платформы Harvest Finance. Курс FARM упал на 50%

В первый же день злоумышленник отправил 13 млн USDC на децентрализованную биржу Uniswap. В результате обмена он получил на свой счет более 30 377 ETH.

Данные: Crystal Blockchain.

Затем в результате 12 транзакций хакер обменял 11 млн USDT на более чем 26 500 ETH.

51 315 ETH из этой суммы он за 11 транзакций перевел в токенизированый биткоин – Wrapped BTC (WBTC), получив в общей сложности более 1519 монет.

Данные: Crystal Blockchain.

Crystal Blockchain также обнаружил перевод 300 ETH на миксер Tornado.

WBTC был направлен на еще один DeFi-протокол – Ren, благодаря взаимодействию с которым злоумышленник перевел токены в биткоины, распределив их на семи адресах.

Данные: Crystal Blockchain.

Следом за этим половина полученных биткоинов отправилась на миксер Wasabi и частично на централизованные биржи, включая Binance и Huobi. Вторая половина биткоинов пока что лежит без движения. Crystal Blockchain продолжит следить за движением средств.

Данные: Crystal Blockchain.

Насколько эффективен взлом DeFi-протоколов?

Очевидно, что хакер пытался запутать расследование посредством перемещения средств через несколько DeFi-протоколов. Однако с учетом того, что протоколы Uniswap (включая форки) и Ren предоставляют информацию об участвующих в обмене токенах и конечных адресах получателей, такой способ запутывания нельзя считать эффективным.

Сложность таких кейсов заключается в необходимости дополнительных ресурсов для «развертывания» swap-транзакций.

Crystal Blockchain помечает все адреса, которые потенциально принадлежат преступнику, что в дальнейшем поможет поставщикам услуг в сфере виртуальных активов [virtual asset service provider, VASP] предотвратить отмывание средств. Чтобы действительно запутать следы, злоумышленникам приходится пропускать средства через слабо регулируемые биржи и традиционные «миксеры».

Исходя из текущей ситуации можно утверждать, что сектор децентрализованных финансов продолжит развиваться, но стоит отметить основные особенности и отличия DeFi-протоколов:

• Децентрализованные биржи (DEX) не требуют от пользователей верификации;
• Средства участника DEX всегда остаются под контролем пользователя, в то время как централизованные VASP имеют полный контроль над ними;
• Хакеры находят уязвимости в самих децентрализованных протоколах, за счет чего и выводят средства. Бреши централизованных платформ в основном находят в защите;
• Средства пользователей в децентрализованном секторе никак не защищены с точки зрения страхования и покрытия убытков в результате взлома, так как эти средства остаются под контролем пользователей. В то же время некоторые централизованные биржи формируют страховые пулы и выплачивают компенсации;
• У DEX нет возможности выводить нативные токены в фиат. Для этого пользователям (в том числе и злоумышленникам) зачастую приходится переводить токены в популярные криптовалюты (биткоин, ETH и другие) и затем отправлять их на централизованные биржи.

Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости, инфографика и мнения.