Tóm lại
- Theo Peckshield, các nền tảng DeFi đã khai thác được tổng cộng 2,32 tỷ đô la cho đến nay trong năm nay.
- Các cầu chuỗi khối đã chứng minh là liên kết yếu nhất, với vụ trộm 620 triệu đô la của Ronin Network đứng đầu danh sách.
- Khoảng 50% số tiền bị đánh cắp được rửa qua Tornado Cash.
Tài chính phi tập trung (DeFi ) đôi khi bị chỉ trích là “miền tây hoang dã” của ngành công nghiệp tiền điện tử. Nếu 2,32 tỷ đô la bị đánh cắp từ nhiều giao thức cho đến nay trong năm nay có thể được sử dụng như một mô tả chính xác về tình trạng củaDeFi hôm nay, sau đó các nhà phê bình đang có tiếng cười cuối cùng.
Được cho là đã bắt đầu với sự ra mắt củaBitcoin vào năm 2009, DeFi thực sự cất cánh vào năm 2020 với việc ra mắt cái gọi là chiến lược đầu tư “canh tác năng suất” của Compound Finance.
Giờ đây, hàng nghìn ứng dụng phi tập trung hay còn gọi là dApps đang được sử dụng. DeFiLlamabáo cáo rằng tổng giá trị hơn 53,73 tỷ đô la bị khóa trong DeFi — những con số hấp dẫn đến mức chúng đã thu hút sự chú ý của những kẻ không mong muốn — tin tặc.
Hack hệ thống
DeFi là một phần của tiền điện tử nói chung vẫn đúng với các đặc điểm cơ bản của Bitcoin về phân cấp và quyền riêng tư, duy trì sự tách biệt yếm thế khỏi sự giám sát của chính phủ. Tuy nhiên, không được kiểm soát, các quyền tự do như vậyđi kèm với rủi ro lớn .
Theo đến chuỗi khốibảo vệ công ty PeckShield, tin tặc đã đánh cắp hơn 2,32 tỷ đô la trong hơn 135 lần khai thác, từ ngành DeFi cho đến nay trong năm nay. Con số này cao hơn 50% so với những gì đã bị đánh cắp từ toàn bộ lĩnh vực trong cả năm 2021.
Trong những năm qua, những tên trộm trực tuyến đã sử dụng nhiều chiến thuật khác nhau để thực hiện công việc của chúng. Các phương thức tấn công được sử dụng nhiều nhất bao gồm honeypot, exit scam, khai thác, kiểm soát truy cập và cho vay nhanh.Cơ sở dữ liệu THẲNG . Dưới đây là mười khai thác DeFi hàng đầu năm 2022 cho đến nay, do PeckShield tuyển chọn.
Mạng lưới Ronin: Lỗ – 620 triệu USD
Mạng Ronin, mạngEthereum sidechain dựa trên trò chơi tiền điện tử Axie Infinity, vào tháng 3bị lừa đảo với hơn 620 triệu đô la ETH và USDC. Kẻ tấn công “đã sử dụng các khóa cá nhân bị tấn công để thực hiện các giao dịch rút tiền giả mạo” từ hợp đồng cầu nối Ronin trong hai giao dịch.
Vụ khai thác xảy ra vào ngày 23 tháng 3, chỉ được phát hiện một tuần sau đó khi một người dùng không rút được 5.000 ether. Tổng cộng, tin tặc đã kiếm được 173.600 ETH và 25,5 triệu USDC, trị giá hơn 620 triệu USD vào thời điểm đó.
Vụ hack Ronin Network được coi là vụ hack DeFi lớn nhất trong lịch sử. PeckShield cho biết nó vẫn là lớn nhất cho đến nay trong năm nay.
Cầu Wormhole: Lỗ – 320 triệu USD
Vào ngày 2 tháng 2, một kẻ tấn côngbị hút hơn 320 triệu đô la ETH được bọc ngoài giao thức Wormhole, một cầu nối tiền điện tử chuỗi chéo phổ biến giữasolana , Ethereum,tuyết lở , và những người khác.
Người dùng lỗ sâu được yêu cầu đặt cọc ethereum để đúc ETH được bao bọc, một loại tiền điện tử được chốt với giá của ethereum.
Công ty phân tích Elliptic đổ lỗi cho việc khai thác lỗ hổng này là do Wormhole không xác thực được các tài khoản “người giám hộ”. cho phép kẻ tấn công đào 120.000 wETH mà không có ethereum hỗ trợ. Sau đó, tin tặc đã đổi 93.750 wETH lấy ethereum và đổi phần còn lại lấy Solana. Tổng giá trị thiệt hại vào thời điểm đó là hơn 320 triệu USD.
Cầu Nomad: Lỗ – 190 triệu USD
Vào ngày 2 tháng 8, tin tặc đã rút khoảng 190 triệu đô la tiền điện tử từ Nomad, một công cụ cho phép người dùng hoán đổi mã thông báo từ chuỗi khối này sang chuỗi khối khác.
Cuộc tấn công bắt đầu bằng việc nâng cấp mã của Nomad. Một phần của hợp đồng thông minh được đánh dấu là hợp lệ mỗi khi người dùng thực hiện giao dịch. Điều này cho phép những kẻ xấu rút nhiều tài sản hơn số tài sản được gửi trên nền tảng. Tin tặc lặp lại quy trình cho đến khi 190 triệu đô la tiền điện tử bị chuyển ra khỏi cây cầu. Nomad không bao giờ phát hiện ra cho đến khi quá muộn.
Nông trại Beanstalk: Lỗ $182 triệu
Vào tháng 4, một kẻ tấn công đã rút 182 triệu đô la tiền điện tử từ Beanstalk Farms, một giao thức DeFi nhằm cân bằng cung và cầu của các tài sản tiền điện tử khác nhau.
PeckShield cho biết kẻ tấn công đã khai thác hệ thống quản lý phiếu bầu đa số của Beanstalk và đã bỏ phiếu để gửi cho mình 182 triệu đô la. Công ty cho biết kẻ tấn công đã sử dụng một khoản vay chớp nhoáng để có được cổ phần kiểm soát trong giao thức, nhưng lợi nhuận thực tế của chúng chỉ ở mức 80 triệu đô la.
Wintermute: Lỗ 160 triệu USD
Wintermute làmuộn nhất Giao thức DeFi trở thành nạn nhân của tin tặc, những kẻ đã kiếm được 160 triệu đô la từ phần tài chính phi tập trung của nền tảng. Giám đốc điều hành, Evgeny Gaevoy cho biết vụ hack có liên quan đến một lỗi nghiêm trọng trong công cụ tạo địa chỉ ảo Ethereum Profanity.
Anh ấy cho biết Wintermute đã sử dụng công cụ này để tạo một địa chỉ duy nhất nhằm cắt giảm chi phí giao dịch, không bao giờ vì “sự phù phiếm”. Lỗi của con người dường như là nguyên nhân đằng sau cuộc tấn công đặc biệt này.
Elrond: Lỗ – 113 triệu USD
Vào tháng 6, tin tặc đã khai thác lỗ hổng trên sàn giao dịch phi tập trung Maiar để đánh cắp khoảng 1,65 triệu elrond egold (EGLD), token gốc của chuỗi khối Elrond. Các nhà nghiên cứu cho biết kẻ tấn công đã triển khai một hợp đồng thông minh và sử dụng ba ví để đánh cắp EGLD trị giá ước tính 113 triệu USD từ sàn giao dịch.
Các tin tặc đã ngay lập tức bán 800.000 mã thông báo với giá 54 triệu đô la trên cùng một DEX và phần còn lại được bán trên các sàn giao dịch tập trung hoặc đổi lấy ethereum.
Cầu Horizon: Lỗ – 100 triệu USD
Chỉ vài ngày sau khi khai thác Elrond, tin tặc lại tấn công vào ngày 23 tháng 6,đánh cầu Horizon với giá gần 100 triệu đô la. Horizon là một nền tảng khả năng tương tác chuỗi chéo giữa Ethereum,sàn giao dịch Chuỗi khối thông minh và chuỗi khối Harmony.
PeckShield tiết lộ hơn 98 triệu đô la dưới nhiều loại mã thông báo khác nhau đã bị rút khỏi nền tảng do Harmony quản lý và đổi thành ether. Hơn 50.000 ví của người dùng đã bị ảnh hưởng. Các tin tặc sau đó đã chuyển 35 triệu đô la thông qua Tornado Cash.
Qubit Finance: Lỗ – 80 triệu USD
Giao thức DeFinói vào ngày 28 tháng 1, nó đã bị khai thác bởi một kẻ tấn công đã đánh cắp 206.809 binance coin (BNB) từ giao thức QBridge của nó. Tổng cộng, các mã thông báo được định giá 80 triệu đô la.
Theo công ty bảo mật Certik, kẻ tấn công đã tận dụng tùy chọn tiền gửi trong hợp đồng QBridge để đúc 77.162 qXETH – một số loại tiền điện tử được sử dụng để đại diện cho ethereum bắc cầu qua Qubit. Kẻ tấn công đã đánh lừa nền tảng khiến họ tin rằng họ đã gửi tiền. Sau khi lặp lại quy trình đủ số lần, họ đã đổi tài sản thành BNB và biến mất.
Cashio: Lỗ – 48 triệu USD
tiền mặt, mộtstablecoin giao thức trên Solana, đã phải chịu cái mà nhóm gọi là khai thác “trục trặc bạc hà vô hạn” vào tháng 3. tin tặcbị hút 48 triệu đô la từ giao thức, dẫn đến sự sụp đổ của stablecoin TIỀN MẶT của Cashio.
Cashio cho phép người dùng đúc TIỀN ổn định với tất cả các khoản tiền gửi được hỗ trợ bởi mã thông báo của nhà cung cấp thanh khoản chịu lãi suất. Kẻ tấn công đã đúc hàng tỷ TIỀN MẶT và đổi chúng lấy USDC và UST, chính nó đã sụp đổ trước khi rút tiền qua DEX Sabre.
TIỀN MẶT được chốt bằng đô la đã giảm xuống còn 0 đô la sau vụ hack. kẻ tấn côngtrả lại tiền vào các tài khoản nắm giữ ít hơn 100.000 đô la và hứa sẽquyên tặng phần còn lại để làm từ thiện. Đó là lần cuối cùng chúng tôi nghe nói về nó, chiến lợi phẩm Cashio. TIỀN đã chết.
Scream: Lỗ – 38 triệu USD
Nền tảng cho vay dựa trên Fantom Screamchịu đựng có lẽ là một trong những cách khai thác bất cẩn nhất trong DeFi năm nay, từ góc độ bảo mật giao thức. Scream đã nhận khoản nợ 38 triệu đô la sau stablecoin,ma USD (fUSD) và DEI, có giá trị được cố định ở mức 1 đô la, đã mất chốt.
Do giao thức đã mã hóa cứng giá trị của hai loại tiền ổn định, nên sự sụt giảm giá trị của tài sản không hiển thị trên Scream. Các cá voi đã sử dụng lỗ hổng này để rút cạn giao thức của bất kỳ loại tiền ổn định có giá trị nào khác trong khi gửi fUSD và DEI đã được gỡ chốt.
Tổng cộng 38 triệu đô la trong các stablecoin FRAX, USDT, USDC và MIM đã bị xóa khỏi mạng. Sau sự cố, Scream đã giảm giá mạnh và chuyển sangChuỗi liên kết oracles cho dữ liệu định giá theo thời gian thực. Cá voi giữ chiến lợi phẩm của họ. Ngày trả lương tốt cho degens!.
Điều gì đã xảy ra với hàng tỷ đồng bị đánh cắp?
Chà, nó đã bị mất. Phần lớn là vĩnh viễn.
PeckShield cho biết khoảng 50%, tương đương 1,16 tỷ đô la, số tiền bị đánh cắp từ các giao thức trên đã được rửa qua Tornado Cash, bộ trộn tiền điện tử dựa trên Ethereum đã bị chính phủ Hoa Kỳ xử phạt vào tháng 8, gây ra phản ứng mạnh mẽ từ cộng đồng tiền điện tử.
Tornado Cash cho phép người dùng tiền điện tử che giấu lịch sử giao dịch tài chính của họ, khiến việc theo dõi khó khăn hơn. Theo cơ quan an ninh Hoa Kỳ FBI, máy trộn đã được tận dụng bởi nhóm tin tặc Lazarus có liên kết với Bắc Triều Tiên để rửa hơn 7 tỷ đô la tiền điện tử kể từ năm 2019.
Trong khi tin tặc biến mất cùng với hàng tỷ đô la, các giao thức DeFi bị ảnh hưởng đã thực hiện một loạt nỗ lực để lấy lại tiền của họ nhưng không mấy thành công. Một cách để làm như vậy là chỉ cần cầu xin kẻ tấn công trả lại chiến lợi phẩm bất chính để đổi lấy một số hình thức khuyến khích. Hoặc không có gì cả.
Qubit Finance đã thử điều đó và đưa ra khoản tiền thưởng trị giá 2 triệu đô la, mức tối đa mà nó có thể cung cấp cho bất kỳ cái gọi là lời bào chữa nào như vậy. Nó không hoạt động. Harmony cũng đùa giỡn với ý tưởng tương tự. Nó cung cấp mộttiền thưởng 1 triệu đô la để trả lại 100 triệu đô la bị đánh cắp từ cầu Horizon và hứa sẽ không buộc tội hình sự. Tin tặc bỏ qua cuộc gọi. Không có gì đã được phục hồi.
Tuy nhiên, một chiến lược tương tự đã có tác dụng với Poly Network vào tháng 8 năm 2021, với việc kẻ tấn công trả lại phần lớn số tiền 600 triệu đô la mà chúng đã đánh cắp.
May mắn đó kéo dài đến Ronin. Đầu tháng này, mạngphục hồi 30 triệu đô la trong số tiền bị mất, với sự giúp đỡ từ công ty bảo mật tiền điện tử Chainalysis, Kho bạc Hoa Kỳ và FBI. Nhưng đó chỉ là 5% trong số 620 triệu đô la bị đánh cắp trong vụ hack. FBI ước tính rằng khoảng 455 triệu đô la đã được rửa qua Tornado Cash bởi Lazarus Group, kẻ tấn công bị cáo buộc.
Các hacker của Nomad Bridge cũng đã gửi lại 9 triệu đô la cho nền tảng một ngày sau khi cầu xuyên chuỗi được khai thác với giá 190,4 triệu đô la. Sau khi tiền thưởng 10% cho bất kỳ khoản tiền nào được trả lại, tin tặc trắng đã lấy lại 32 triệu đô la khác trong tổng số tiền bị cướp và trả lại cho cây cầu xuyên chuỗi. Phần còn lại, phần lớn, đã bị tin tặc xáo trộn giữa các địa chỉ khác nhau, khi chúng cố gắng hết sức để giữ tài sản bị đánh cắp của mình. Họ đã làm.
Lỗ sâu không bao giờ lấy lại được 320 triệu đô la của nó. Nó phải được giải cứu. Jump Trading Group, công ty có cổ phần trong giao thức, đã nhảy vào để thay thế 120.000 ETH bị đánh cắp, sau khi lỗ hổng đã được vá.
Làm sao để không bị hack
Rõ ràng, cầu nối blockchain dường như là yếu nhấtliên kết trong DeFi. Có nhiều cách để các cá nhân và giao thức giữ an toàn.
Alex Belets, người sáng lập công ty bảo mật blockchain Smart State, nói với Be[In]Crypto: “Cần soạn thảo các điều khoản tham chiếu rõ ràng khi phát triển dự án, bao gồm các chức năng của dự án bằng các bài kiểm tra càng nhiều càng tốt để tránh các lỗi logic.
“Sử dụng trình quét lỗ hổng tự động, đừng cố triển khai những thứ đã có thư viện Thực hiện kiểm tra và giữ an toàn cho khóa riêng tư của bạn. Không sử dụng các ứng dụng của bên thứ ba như Profanity để tạo khóa riêng (lý do hack của Wintermute)”, anh ấy nói thêm.
từ chối trách nhiệm
Tất cả thông tin trên trang web của chúng tôi được xuất bản với thiện ý và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào mà người đọc thực hiện đối với thông tin tìm thấy trên trang web của chúng tôi đều có nguy cơ của riêng họ.
Zoey
Hui Xin
Snake
Clement
Beincrypto
Coinlive 
CryptoSlate
Bitcoinist
Cointelegraph