Tổng hợp lỗ hổng mã hóa DeFi và hack trộm năm 2020
Lưu ý của biên tập viên: Bài viết này đến từChuỗi khối Cybtc (ID: cybtc_com), được in lại bởi Odaily với sự cho phép.
Lưu ý của biên tập viên: Bài viết này đến từ
Chuỗi khối Cybtc (ID: cybtc_com)
Chuỗi khối Cybtc (ID: cybtc_com)
, được in lại bởi Odaily với sự cho phép.
DeFi là một trong những động lực chính của động lực thị trường tiền điện tử vào năm 2020 và lý do là bối cảnh tài chính mới nổi đã thu hút những kẻ lừa đảo và tin tặc. Sự phong phú của các hợp đồng thông minh chưa được kiểm tra và mã nhân bản đã trở thành công thức cho các lỗ hổng và cách khai thác, thường dẫn đến hành vi trộm cắp hàng triệu đô la tài sản kỹ thuật số.
Báo cáo CipherTrace tháng 11 năm 2020 cho biết rằng trong nửa đầu năm nay, DeFi chiếm 45% tổng số vụ trộm và hack, dẫn đến thiệt hại hơn 50 triệu đô la. Báo cáo cho biết con số đó đã tăng lên 50% trong tất cả các vụ trộm và hack trong nửa cuối năm.
Trong một cuộc phỏng vấn với Cointelegraph, Giám đốc điều hành CipherTrace, Dave Jevans, đã cảnh báo rằng DeFi có thể bị ảnh hưởng bởi quy định: “Vào năm 2020, các vụ hack DeFi hiện chiếm hơn một nửa số vụ hack tiền điện tử, một xu hướng đã thu hút sự chú ý của các nhà quản lý.”
Ông nói thêm rằng các cơ quan quản lý quan tâm nhiều hơn đến việc thiếu tuân thủ chống rửa tiền: “Số tiền bị đánh cắp trong vụ hack lớn nhất năm 2020 – vụ hack KuCoin trị giá 280 triệu đô la – đã được rửa bằng giao thức DeFi.” Jevons cũng tin rằng vào năm 2021, các cơ quan quản lý dự kiến sẽ làm rõ những hành động mà các giao thức DeFi có thể thực hiện để tránh hậu quả của việc không tuân thủ các quy định chống rửa tiền AML, kiểm tra bảo mật mã và các biện pháp trừng phạt có thể có.
Trao đổi Hacks năm 2020
Vụ hack KuCoin xảy ra vào cuối tháng 9, khi Giám đốc điều hành của sàn giao dịch Johnny Lyu xác nhận rằng vi phạm đã ảnh hưởng đến ví nóng Bitcoin, Ethereum và ERC-20 của công ty sau khi khóa riêng tư bị rò rỉ.
Đến đầu tháng 10, KuCoin cho biết họ đã xác định được nghi phạm và đã chính thức đưa cơ quan thực thi pháp luật vào cuộc điều tra. Vào giữa tháng 11, sàn giao dịch có trụ sở tại Singapore thông báo rằng họ đã thu hồi được 84% số tiền điện tử bị đánh cắp và khôi phục đầy đủ dịch vụ cho hầu hết các tài sản có thể giao dịch của mình.
Đã có các vụ hack sàn giao dịch khác trong năm nay, nhưng KuCoin là nạn nhân bị hack lớn nhất. Sàn giao dịch Altsbit của Ý đã mất gần như toàn bộ số tiền của mình trong một vụ hack trị giá 70.000 đô la vào tháng 2 và đã có một số vụ vi phạm trao đổi tiền điện tử nhỏ khác. Tính đến tháng 10 năm 2020, có tới 75 sàn giao dịch tiền điện tử tập trung đã bị đóng cửa vì nhiều lý do, trong đó lý do chính là do hack.
tiêu đề phụ
Các lỗ hổng và hack trong DeFi 2020
Với hàng tỷ đô la đổ vào các giao thức DeFi và các trang trại tiền điện tử mọc lên, không gian non trẻ đã trở thành điểm nóng cho tin tặc. Vụ vi phạm lớn đầu tiên của năm 2020 xảy ra trên nền tảng cho vay DeFi bZx vào tháng 2, khi hai vụ khai thác khoản vay chớp nhoáng dẫn đến việc mất gần 1 triệu USD tiền của người dùng. Khoản vay chớp nhoáng là tình huống trong đó tài sản thế chấp bằng tiền điện tử được vay và hoàn trả trong cùng một giao dịch.
bZx đã tạm dừng hoạt động của nền tảng để ngăn chặn tổn thất tiếp theo, nhưng điều này đã thu hút sự chỉ trích từ các nhà quan sát trong ngành, những người cho rằng cuối cùng nó vẫn là một nền tảng tập trung và có thể là “sự kết thúc của DeFi”.
Thị trường sụp đổ vào tháng 3, dẫn đến việc thanh lý tài sản thế chấp lớn, đặc biệt là đối với mã thông báo MKR của Maker, nhưng điều này không phải do tin tặc gây ra. Lần tiếp theo là vào tháng sau, khi imBTC, sử dụng phiên bản gói bitcoin của phương thức đăng nhập lại tiêu chuẩn mã thông báo ERC-777, đã bị tấn công. Kẻ tấn công có thể sử dụng toàn bộ giá trị của Uniswap để rút thanh khoản, ước tính khoảng 300.000 đô la vào thời điểm đó.
Vào tháng 4, nền tảng cho vay tiền điện tử của Trung Quốc dForce đã khai thác tất cả tính thanh khoản của nó bằng cách sử dụng cùng một lỗ hổng. Các tin tặc đã nhiều lần nâng cao khả năng cho vay đối với các tài sản khác và kiếm được khoảng 25 triệu đô la lợi nhuận từ nó.
Balancer là giao thức DeFi tiếp theo đánh cắp ether bao bọc Ethereum khỏi nhóm thanh khoản của nó trong một cuộc tấn công chênh lệch giá được lên kế hoạch tốt, khai thác giao thức này với giá lên tới 500.000 đô la. Một loạt các giao dịch hoán đổi mã thông báo cho các khoản vay chớp nhoáng và chênh lệch giá đã diễn ra đối với một lỗ hổng mà nhóm Balancer rõ ràng đã biết về nó.
bZx là một vụ hack hơn là một cách khai thác khác, nhưng vào tháng 7, bZx lại gây chú ý với việc bán mã thông báo đáng ngờ của nó được đặt hàng bởi các bot trong cùng khu vực đánh dấu sự khởi đầu của sự kiện tạo mã thông báo Thao túng đơn đặt hàng. Những kẻ tấn công đã kiếm được gần một triệu đô la tiền lãi tăng giá.
Giao thức tùy chọn DeFi Opyn là nạn nhân tiếp theo vào tháng 8, khi tin tặc kiếm được hơn 370.000 đô la bằng cách sử dụng tùy chọn Đặt ETH của nó. Việc khai thác cho phép những kẻ tấn công “thực hành gấp đôi” Ethereum để đặt cược mã thông báo và đánh cắp tài sản thế chấp. Opyn đã thu hồi khoảng 440.000 USDC từ kho tiền xuất sắc bằng cách sử dụng hack mũ trắng và trả lại cho người bán quyền chọn Bán.
Một lần nữa, không phải là một vụ hack hoàn toàn, mà là một lỗ hổng mã trong hợp đồng thông minh Yam Finance chưa được kiểm tra đã ảnh hưởng đến việc định giá lại mã thông báo quản trị, dẫn đến sự cố giá vào giữa tháng 8. Giao thức buộc phải kêu gọi cá voi DeFi giữ nó bằng cách bỏ phiếu lại dưới dạng phiên bản 2.
tiêu đề phụ
Sự xuất hiện của SushiSwap
Câu chuyện SushiSwap bắt đầu vào cuối tháng 8 và đặt ra các thuật ngữ “khai thác ma cà rồng” và “rugging”. Quản trị viên và nhân bản giao thức ẩn danh được gọi là “Chef Nomi” đã bán mã thông báo SUSHI trị giá 8 triệu đô la, khiến giá của mã thông báo giảm mạnh. Vài ngày sau, Giám đốc điều hành sàn giao dịch FTX Sam Bankman-Fried đã giải cứu giao thức được kiểm soát bởi một tập đoàn cá voi DeFi thông qua các hợp đồng thông minh đa chữ ký. Cuối cùng, tất cả số tiền đã được trả lại cho quỹ nhà phát triển.
Trong đợt bùng nổ altcoin cuối cùng vào năm 2017, mọi người sẽ kéo tấm thảm hoặc “bơm và đổ” như cách gọi của chúng và tiếp tục với nhiều bản sao DeFi như Pizza và Hotdog. Giá của các mã thông báo trang trại ngũ cốc này tăng vọt và giảm mạnh trong vòng vài giờ hoặc thậm chí vài phút.
Vào giữa tháng 10, một đám “nông dân thoái hóa” hay một nhóm người như họ được gọi, đã đổ tiền vào tài khoản không được kiểm toán và không bảo mật của người sáng lập giao thức DeFi Yearn Finance, Andre Cronje, trong hợp đồng thông minh đã xuất bản. Hợp đồng Eminence Finance đã mất 15 triệu đô la sau khi bị hack chỉ trong vài giờ sau khi Cronje tweet một đoạn giới thiệu về "đa vũ trụ trò chơi" mới. Các tin tặc đã trả lại khoảng 8 triệu đô la nhưng vẫn giữ số tiền còn lại, khiến các nhà giao dịch bất mãn đệ đơn kiện nhóm Yearn vì số tiền bị mất.
Tháng 11 là một tháng đặc biệt khó khăn đối với Akropolis, khi phải “tạm dừng giao thức” sau khi tin tặc đánh cắp 2 triệu đô la trong DAI stablecoin. Giao thức DeFi giá trị đã mất 6 triệu đô la trong một vụ khai thác khoản vay chớp nhoáng rất phổ biến, dự án stablecoin tạo ra lợi nhuận Origin Dollar đã bị khai thác với giá 7 triệu đô la và Pickle Finance phải chịu thiệt hại ngẫu nhiên trong một vụ khai thác "'bình ác" phức tạp trị giá 20 triệu đô la.
Một hoạt động đã phá vỡ mô hình khai thác hệ thống là các cuộc tấn công vật lý vào các cá nhân vào giữa tháng 12. Người sáng lập giao thức Nexus Mutual DeFi Hugh Karp đã mất 8 triệu đô la từ ví MetaMask của mình khi một hacker xâm nhập được vào máy tính của anh ấy để giả mạo một giao dịch. Những kiểu tấn công này thường ít phổ biến hơn vì chúng liên quan đến kỹ thuật xã hội ở một mức độ nào đó.
Cho đến nay, vụ tấn công flash loan cuối cùng được báo cáo trong năm cho đến nay là vụ vi phạm 8 triệu đô la của Warp Finance vào ngày 18 tháng 12.
Nhiều nhà giao dịch và nhà đầu tư bán lẻ cũng mắc phải các nỗ lực lừa đảo, với chủ sở hữu ví phần cứng Ledger cũng là mục tiêu vào năm 2020 sau khi thông tin cá nhân của khoảng 272.000 người mua Ledger bị hack.
