สรุปช่องโหว่การเข้ารหัส DeFi และการโจรกรรมข้อมูลในปี 2020

หมายเหตุบรรณาธิการ: บทความนี้มาจากCybtc Blockchain (รหัส: cybtc_com)พิมพ์ซ้ำโดย Odaily โดยได้รับอนุญาต

หมายเหตุบรรณาธิการ: บทความนี้มาจาก

Cybtc Blockchain (รหัส: cybtc_com)

Cybtc Blockchain (รหัส: cybtc_com)

พิมพ์ซ้ำโดย Odaily โดยได้รับอนุญาต

DeFi เป็นหนึ่งในตัวขับเคลื่อนหลักของโมเมนตัมของตลาด cryptocurrency ในปี 2020 และเป็นเหตุผลที่ภูมิทัศน์ทางการเงินที่เกิดขึ้นใหม่ได้ดึงดูดนักต้มตุ๋นและแฮ็กเกอร์ สัญญาอัจฉริยะที่ไม่ผ่านการตรวจสอบจำนวนมากและรหัสที่ลอกแบบมาได้กลายเป็นสูตรสำหรับช่องโหว่และการหาประโยชน์ ซึ่งมักส่งผลให้เกิดการขโมยสินทรัพย์ดิจิทัลมูลค่าหลายล้านดอลลาร์

รายงาน CipherTrace ประจำเดือนพฤศจิกายน 2020 ระบุว่าในช่วงครึ่งแรกของปี DeFi คิดเป็น 45% ของการโจรกรรมและการแฮ็กทั้งหมด ส่งผลให้สูญเสียมากกว่า 50 ล้านดอลลาร์ ตัวเลขดังกล่าวเพิ่มขึ้นเป็นร้อยละ 50 ของการโจรกรรมและการแฮ็กทั้งหมดในช่วงครึ่งหลังของปี รายงานระบุ

ในการให้สัมภาษณ์กับ Cointelegraph นาย Dave Jevans CEO ของ CipherTrace เตือนว่า DeFi อาจโดนกฎระเบียบ: “ในปี 2020 การแฮ็ก DeFi คิดเป็นมากกว่าครึ่งหนึ่งของการแฮ็ก cryptocurrency ทั้งหมด ซึ่งเป็นแนวโน้มที่ดึงดูดความสนใจจากหน่วยงานกำกับดูแล”

เขาเสริมว่าหน่วยงานกำกับดูแลมีความกังวลมากขึ้นเกี่ยวกับการไม่ปฏิบัติตามกฎหมายต่อต้านการฟอกเงิน: “เงินที่ถูกขโมยในการแฮ็กครั้งใหญ่ที่สุดของปี 2020 — การแฮ็ก KuCoin มูลค่า 280 ล้านดอลลาร์ — ถูกฟอกโดยใช้โปรโตคอล DeFi” Jevons ยังเชื่อด้วยว่าในปี 2021 หน่วยงานกำกับดูแลคาดว่าจะ ชี้แจงสิ่งที่โปรโตคอล DeFi สามารถดำเนินการเพื่อหลีกเลี่ยงผลของการไม่ปฏิบัติตามกฎระเบียบต่อต้านการฟอกเงินของ AML การตรวจสอบความปลอดภัยของรหัส และการลงโทษที่อาจเกิดขึ้น

แลกเปลี่ยนแฮ็กปี 2020

การแฮก KuCoin เกิดขึ้นในช่วงปลายเดือนกันยายน เมื่อ Johnny Lyu ซีอีโอของ Exchange ยืนยันว่าการละเมิดส่งผลกระทบต่อ Bitcoin, Ethereum และกระเป๋าเงินร้อน ERC-20 ของบริษัท หลังจากคีย์ส่วนตัวรั่วไหล

เมื่อต้นเดือนตุลาคม KuCoin กล่าวว่าได้ระบุตัวผู้ต้องสงสัยและได้นำการบังคับใช้กฎหมายเข้าสู่การสืบสวนอย่างเป็นทางการแล้ว ภายในกลางเดือนพฤศจิกายน การแลกเปลี่ยนในสิงคโปร์ประกาศว่าได้กู้คืน 84 เปอร์เซ็นต์ของ cryptocurrency ที่ถูกขโมยและคืนค่าบริการเต็มรูปแบบสำหรับสินทรัพย์ส่วนใหญ่ที่ซื้อขายได้

มีการแฮ็กการแลกเปลี่ยนอื่น ๆ ในปีนี้ แต่ KuCoin เป็นเหยื่อแฮ็กรายใหญ่ที่สุด Altsbit การแลกเปลี่ยนของอิตาลีสูญเสียเงินเกือบทั้งหมดในการแฮ็ก $ 70,000 ในเดือนกุมภาพันธ์ และยังมีการละเมิดการแลกเปลี่ยน cryptocurrency เล็กน้อยอื่น ๆ อีกมากมาย ในเดือนตุลาคม 2020 การแลกเปลี่ยน crypto แบบรวมศูนย์มากถึง 75 รายการถูกปิดเนื่องจากสาเหตุหลายประการ โดยการแฮ็กกลายเป็นสาเหตุหลัก

ชื่อเรื่องรอง

ช่องโหว่และการแฮ็กใน DeFi 2020

ด้วยเงินหลายพันล้านดอลลาร์ที่หลั่งไหลเข้าสู่โปรโตคอล DeFi และฟาร์มเข้ารหัสลับที่ผุดขึ้นมา พื้นที่ใหม่นี้จึงกลายเป็นแหล่งเพาะสำหรับแฮ็กเกอร์ การละเมิดหลักครั้งแรกของปี 2020 เกิดขึ้นบนแพลตฟอร์มการให้ยืม DeFi bZx ในเดือนกุมภาพันธ์ เมื่อมีการใช้ประโยชน์จากเงินกู้แบบแฟลช 2 ครั้ง ส่งผลให้เงินของผู้ใช้หายไปเกือบ 1 ล้านดอลลาร์ สินเชื่อแฟลชเป็นสถานการณ์ที่หลักประกันการเข้ารหัสลับถูกยืมและชำระคืนในธุรกรรมเดียวกัน

bZx หยุดการทำงานของแพลตฟอร์มเพื่อป้องกันการสูญเสียเพิ่มเติม แต่สิ่งนี้ทำให้เกิดเสียงวิพากษ์วิจารณ์จากผู้สังเกตการณ์ในอุตสาหกรรม ซึ่งอ้างว่าท้ายที่สุดแล้วมันเป็นแพลตฟอร์มรวมศูนย์ และอาจเป็น “จุดจบของ DeFi”

ตลาดพังในเดือนมีนาคม ส่งผลให้เกิดการชำระบัญชีจำนวนมาก โดยเฉพาะอย่างยิ่งสำหรับโทเค็น MKR ของ Maker แต่สิ่งนี้ไม่ได้เกิดจากแฮ็กเกอร์ เดือนต่อมาคือเมื่อ imBTC ซึ่งใช้วิธีการ reentrancy มาตรฐานของโทเค็น ERC-777 เวอร์ชันห่อ bitcoin ถูกโจมตี ผู้โจมตีสามารถใช้มูลค่าเต็มของ Uniswap เพื่อถอนสภาพคล่อง ซึ่งตอนนั้นมีมูลค่าประมาณ 300,000 ดอลลาร์

ในเดือนเมษายน dForce แพลตฟอร์มการให้ยืมคริปโตของจีนใช้ประโยชน์จากสภาพคล่องทั้งหมดโดยใช้ช่องโหว่เดียวกัน แฮ็กเกอร์ได้เพิ่มความสามารถในการให้ยืมกับสินทรัพย์อื่น ๆ ซ้ำแล้วซ้ำอีก และทำกำไรได้ประมาณ 25 ล้านดอลลาร์จากมัน

Balancer เป็นโปรโตคอล DeFi ตัวถัดไปที่จะขโมย Ethereum ที่ห่อหุ้มด้วย Ethereum จากแหล่งสภาพคล่องในการโจมตีเก็งกำไรที่มีการวางแผนมาอย่างดี โดยใช้ประโยชน์จากโปรโตคอลได้มากถึง $500,000 ชุดการแลกเปลี่ยนโทเค็นสำหรับสินเชื่อแฟลชและการเก็งกำไรเกิดขึ้นกับช่องโหว่ที่ทีม Balancer ทราบดี

bZx เป็นการแฮ็คมากกว่าการแสวงประโยชน์อื่น ๆ แต่ในเดือนกรกฎาคม bZx ได้พาดหัวข่าวอีกครั้งด้วยการขายโทเค็นที่น่าสงสัยซึ่งถูกสั่งโดยบอทในบริเวณเดียวกันซึ่งเป็นจุดเริ่มต้นของเหตุการณ์การสร้างโทเค็นการจัดการคำสั่งซื้อ ผู้โจมตีทำกำไรได้เกือบล้านดอลลาร์จากราคาที่เพิ่มขึ้น

โปรโตคอลตัวเลือก DeFi Opyn เป็นเหยื่อรายต่อไปในเดือนสิงหาคม เมื่อแฮ็กเกอร์ทำเงินได้มากกว่า $370,000 โดยใช้ตัวเลือก ETH Put การใช้ประโยชน์ช่วยให้ผู้โจมตีสามารถ "ฝึกฝนสองครั้ง" Ethereum เพื่อเดิมพันโทเค็นและขโมยหลักประกัน Opyn กู้เงินได้ประมาณ 440,000 USDC จากห้องนิรภัยที่ยอดเยี่ยมโดยใช้การแฮ็กหมวกสีขาว และส่งคืนให้กับผู้ขายออปชั่น Put

อีกครั้ง ไม่ใช่การแฮ็กทั้งหมด แต่เป็นข้อบกพร่องของโค้ดในสัญญาอัจฉริยะของ Yam Finance ที่ยังไม่ผ่านการตรวจสอบซึ่งส่งผลต่อการกำหนดราคาของโทเค็นการกำกับดูแล ซึ่งนำไปสู่การพังทลายของราคาในช่วงกลางเดือนสิงหาคม โปรโตคอลถูกบังคับให้เรียกปลาวาฬ DeFi เพื่อเก็บไว้โดยการลงคะแนนใหม่เป็นเวอร์ชัน 2

ชื่อเรื่องรอง

การเกิดขึ้นของ SushiSwap

เทพนิยาย SushiSwap เริ่มต้นเมื่อปลายเดือนสิงหาคมและบัญญัติคำว่า "การขุดแวมไพร์" และ "การขุด" ผู้สร้างโปรโตคอลที่ไม่ระบุชื่อและผู้ดูแลระบบที่รู้จักกันในชื่อ “เชฟโนมิ” ได้ขายโทเค็น SUSHI มูลค่า 8 ล้านดอลลาร์ ทำให้ราคาของโทเค็นดิ่งลง ไม่กี่วันต่อมา Sam Bankman-Fried CEO ของการแลกเปลี่ยน FTX ได้ช่วยเหลือโปรโตคอลซึ่งถูกควบคุมโดยกลุ่มปลาวาฬ DeFi ผ่านสัญญาอัจฉริยะแบบหลายลายเซ็น ในที่สุด เงินทั้งหมดก็ถูกส่งกลับคืนสู่กองทุนผู้พัฒนา

ในช่วงที่ altcoin บูมครั้งสุดท้ายในปี 2560 ผู้คนจะดึงพรมหรือ “ปั๊มแล้วทิ้ง” ตามที่พวกเขาเรียก และดำเนินการต่อด้วยโคลน DeFi มากมายเช่น Pizza และ Hotdog ราคาของโทเค็นฟาร์มธัญพืชเหล่านี้พุ่งสูงขึ้นและลดลงภายในไม่กี่ชั่วโมงหรือแม้แต่ไม่กี่นาที

ในช่วงกลางเดือนตุลาคม พยุหะของ “เกษตรกรผู้เสื่อมโทรม” หรือกลุ่มคนที่พวกเขาถูกเรียกว่าได้รวมเงินเข้าไปในบัญชีที่ไม่ผ่านการตรวจสอบและไม่ปลอดภัยของ Andre Cronje ผู้ก่อตั้งโปรโตคอล DeFi Yearn Finance ในสัญญาอัจฉริยะที่เผยแพร่ สัญญา Eminence Finance สูญเสียเงิน 15 ล้านดอลลาร์หลังจากถูกแฮ็กภายในไม่กี่ชั่วโมงหลังจาก Cronje ทวีตทีเซอร์เกี่ยวกับ "ลิขสิทธิ์เกมใหม่" แฮ็กเกอร์คืนเงินประมาณ 8 ล้านดอลลาร์ แต่ยังคงเงินที่เหลือไว้ ทำให้เทรดเดอร์ที่ไม่พอใจยื่นฟ้องทีม Yearn สำหรับเงินที่หายไป

เดือนพฤศจิกายนเป็นเดือนที่เจ็บปวดเป็นพิเศษสำหรับ Akropolis โดยต้อง “หยุดโปรโตคอลชั่วคราว” หลังจากที่แฮ็กเกอร์ขโมย DAI Stablecoin มูลค่า 2 ล้านดอลลาร์ โปรโตคอล Value DeFi สูญเสียเงินไป 6 ล้านดอลลาร์จากการหาประโยชน์จากเงินกู้แฟลชทั่วๆ ไป โครงการเหรียญ Stablecoin ที่สร้างผลตอบแทน Origin Dollar ถูกเอาเปรียบเป็นเงิน 7 ล้านดอลลาร์ และ Pickle Finance ประสบกับ "'ขวดปีศาจ" ที่ซับซ้อนที่ขูดรีดเงิน 20 ล้านดอลลาร์จากความเสียหายโดยไม่ตั้งใจ

กิจกรรมหนึ่งที่ขัดขวางรูปแบบการแสวงประโยชน์จากระบบคือการโจมตีทางกายภาพต่อบุคคลในกลางเดือนธันวาคม Hugh Karp ผู้ก่อตั้งโปรโตคอล Nexus Mutual DeFi สูญเสียเงิน 8 ล้านดอลลาร์จากกระเป๋าสตางค์ MetaMask ของเขา เมื่อแฮ็กเกอร์พยายามแทรกซึมเข้าไปในคอมพิวเตอร์ของเขาเพื่อปลอมแปลงธุรกรรม การโจมตีประเภทนี้มักพบได้น้อยเนื่องจากเกี่ยวข้องกับวิศวกรรมสังคมในระดับหนึ่ง

จนถึงตอนนี้ การโจมตีสินเชื่อแฟลชที่มีการรายงานครั้งล่าสุดของปีนี้คือการละเมิด Warp Finance มูลค่า 8 ล้านดอลลาร์เมื่อวันที่ 18 ธันวาคม

ผู้ค้ารายย่อยและนักลงทุนจำนวนมากก็ล้มเหลวในความพยายามฟิชชิ่ง โดยเจ้าของกระเป๋าสตางค์ฮาร์ดแวร์บัญชีแยกประเภทก็ตกเป็นเป้าหมายในปี 2563 หลังจากที่ข้อมูลส่วนบุคคลของผู้ซื้อบัญชีแยกประเภท 272,000 รายถูกแฮ็ก