Хакеры, убытки и возврат средств. Почему участились взломы DeFi-проектов

- КиТ :: Будь в СЕТИ!

Злоумышленники находят уязвимости в смарт-контрактах крупных проектов децентрализованных финансов и используют их для похищения токенов пользователей. Что необходимо знать об индустрии, чтобы обезопасить свои вложения В последнее время значительно участились взломы проектов из сферы децентрализованных финансов (DeFi). Новости о хакерских атаках появляются практически каждый день. Например, 21 сентября стало известно о взломе лендинговой платформы Vee Finance, в ходе которой злоумышленнику удалось похитить около $35 млн. 19 сентября о взломе и потере $12,7 млн сообщил проект pNetwork.

На прошлой неделе хакерам удалось вывести более $3 млн с IDO-платформы MISO протокола SushiSwap и похитить около $3,2 млн у проекта Zabu Finance. Позже злоумышленник вернул все похищенные средства разработчикам платформы MISO тремя транзакциями. В августе произошел крупнейший взлом в истории DeFi: у кросс-чейн протокола PolyNetwork было похищено более $611 в криптовалюте. Хакер вернул все украденные средства, обосновав это тем, что мотивы взлома не носили материального характера.

Как происходят взломы

Обычно взломы DeFi-проектов происходят посредством использования уязвимостей, допущенных в смарт-контрактах разработчиками, пояснил технический директор международной криптобиржи CEX.IO Дмитрий Волков. По его словам, хакеры находят эти уязвимости и используют их для вывода средств, то есть это происходит благодаря возможностям, которые уже заложены в смарт-контрактах.

Эксперт привел в пример взлом проекта BurgerSwap, который произошел весной текущего года. Тогда злоумышленник использовал уязвимость, которая позволяет производить повторные обмены токенов без обновления резервов, необходимых для расчета имеющейся для этого у пользователя ликвидности, объяснил Волков.

Также в ходе атак на DeFi-проекты часто используются протоколы мгновенных займов, отметил эксперт. Они позволяют брать токены и криптовалюты в займ, использовать и возвращать их кредитору в рамках одной транзакции, благодаря чему они называются мгновенными, пояснил Волков. По его словам, мгновенные займы используются для проведения хакерских атак, так как они увеличивают количество протоколов ликвидности, используемых в рамках атаки, что увеличивает вероятность обнаружения уязвимости.

Еще одним распространенным сценарием хакерских атак в DeFi-секторе являются протоколы, позволяющие пользователям пополнять свой баланс в одной монете, а выводить в другой, добавил технический директор международной криптобиржи CEX.IO. Он отметил, что это открывает для хакеров возможность манипулирования ценой токена нерыночными способами, вымывая ликвидность из того или иного токена.

С развитием рынка децентрализованных финансов стоит ожидать роста попыток хакерских атак на новые DeFi-проекты, спрогнозировал Волков. По его словам, в будущем ожидается гонка криптографических вооружений: проекты будут стараться отразить угрозу, наращивая оборонительный потенциал, а хакеры находить все более изощренные методы наступления.

Как защититься от взломов обычному пользователю

Поскольку индустрия децентрализованных финансов никак не регулируется, вся ответственность за сохранность средств в смарт-контрактах лежит на создателях проектов и пользователях, которые в них инвестируют, пояснил технический директор международной криптобиржи CEX.IO. Для проверки надежности DeFi-проекта он посоветовал использовать результаты технического аудита.

«Эту информацию проекты всегда охотно демонстрируют пользователям как одно из конкурентных преимуществ. Поэтому найти ее не составит сложностей. Если же аудит проведен не был, стоит предостеречь себя от вложения денег в такой проект, поскольку он может стать следующей жертвой мошенников», - пояснил Волков.

Также эксперт посоветовал обратить внимание на репутацию команды проекта: если кто-то из ее членов фигурировал в проектах, потерявших деньги инвесторов, это сигнал о ненадежности.

Больше взломов - меньше взломов

С точки зрения развития индустрии большое количество громких взломов - это хорошо, уверен старший аналитик Bestchange.ru Никита Зуборев. По его мнению, ошибки создателей DeFi-проектов позволяют другим разработчикам находить возможные дыры в безопасности и исключать их в будущем.

Если детально подходить к оценке безопасности смарт-контрактов, то при наличии достаточного опыта команды разработчиков такие проекты могут считаться более защищенными, пояснил аналитик. В таких проектах влияние человеческого фактора сведено до минимума, а распространенные варианты социального инжиниринга практически исключены во взломах, добавил Зуборев.

«Как показала практика, от взлома не защищены и крупные протоколы с серьезными командами и долгим сроком работы, поэтому полностью обезопасить себя не получится, даже обращая внимание только на именитые проекты. Единственным вариантом защиты станет диверсификация средств в разных проектах», - резюмировал эксперт.

Высокий риск

Чтобы обезопасить свои вложения от высокого риска не нужно инвестировать их в индустрию DeFi, утверждает директор по развитию криптобиржи EXMO Мария Станкевич. По ее мнению, DeFi-проекты сегодня являются наиболее высокодоходными на рынке, но, чем выше доходность, тем выше риски.

«Если у вас есть некая сумма, с которой вы готовы расстаться, инвестируйте именно ее», - посоветовала эксперт.

Если проект крупный, он обычно возмещает потери, пояснила Станкевич, поэтому она рекомендовала выбирать «громкие» проекты с понятной командой и основателями.

- Убыток на миллиард долларов. Как крипторынок пережил новый обвал

- «Зачистка рынка». Почему Турция объявила войну криптовалютам

Больше новостей о криптовалютах вы найдете в нашем телеграм-канале РБК-Крипто.

Автор Алексей Корнеев Децентрализованные финансы (DeFi) Взломы Мнения Словарь Что такое блокчейн? Что такое криптовалюта? Что такое трейдинг? Другие термины www.adv.rbc.ru Главные материалы Dogecoin, Shiba Inu, Floki. Как растет и падает популярность мем-токенов РБК и Currency.com Ловушка для новичка.

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg