Březen byl velice bouřlivým měsícem pro kryptoměny i běžné banky. Několik z nich zkolabovalo pod náporem klientů vybírající své peníze, Bitcoin po roce překonal hranici 30 000 dolarů a americké úřady vyrazily do války s kryptoměnami. Může se tedy zdát, že na DeFi sektor se zapomnělo, opak je ale pravdou. Také v březnu zaznamenaly decentralizované projekty řadu útoků a přišly o spoustu peněz.
SafeMoon
V březnu byla napadena decentralizovaná burza SafeMoon provozující také vlastní token na BNB Chainu. Útočníci využili zranitelnosti v poslední aktualizaci protokolu, která přidávala veřejně přístupnou funkci pro pálení SFM tokenů a ukradli 8,9 milionů dolarů. Stejně, jako u Shiba Inu i u SFM má pálení zvyšovat hodnotu těch, které zůstanou v oběhu. Tento útok se zdál být tak nepravděpodobný, že se spekulovalo o kompromitaci privátních klíčů samotné burzy, pomocí kterých mohl být protokol vykraden. Nakonec se ale ozval samotný hacker a uvedl, že využil MEV bota, který manipuluje cenu tokenů. Ukázalo se navíc, že se jednalo o WhiteHat hackera a posléze bylo vyjednáno vrácení všech prostředků do protokolu. To ale nemění nic na skutečnosti, že si burza nechala ukrást prostředky v důsledku špatně napsané aktualizace. Chyby v kódu burz a protokolů jsou nejčastějším problémem a vstupní branou pro hackery snažící se ukrást peníze uživatelů.
https://twitter.com/MoonMark_/status/1640844732082290688?s=20
Euler Finance
Útok na Euler Finance byl jedním z nejsledovanějších v měsíci březnu. Také na BTCTip jsme vás několikrát informali o vývoji událostí ohledně tohoto zajímavého útoku. První útok se odehrál již v únoru, celý případ ale pokračoval až do března. Během útoku bylo ukradeno neuvěřitelných 197 milionů dolarů a opět se jednalo o chybu v aktualizaci smart kontraktu půjčovacího protokolu Euler Finance. Zajímavé je, že tato aktualizace vyšla už v červenci 2022 a až do útoku si nikdo nevšiml chyby, která umožnila útočníkům ukrást téměř 200 milionů dolarů. V aktualizovaném smart kontraktu chyběly ověřovací mechanismy, který by ověřily pravost všech informací ve smart kontraktu při vytváření tokenů. Takto se podařilo útočníkovi vytvořit falešný dluh v jednom smart kontraktu a rychle ho splatit dalším falešným smart kontraktem. Získal ale wrappované tokeny, což mu dovolilo vysát z protokolu takto markantní částku.
Krátce po útoku poslali vývojáři z Euler Finance útočníkovi zprávu skrze ethereový blockchain s výzvou, aby vrátil část prostředků. Toho si všimli uživatelé a sami začali posílat nulové transakce na peněženku s ukradenými prostředky a s prosbami o vrácení peněz. Uživatelé psali, že se jednalo o úspory na nový dům, že je manželka zabije pokud to zjistí a prosí a vrácení alespoň části peněz. Útočník se nakonec slitoval a některým obětem opravdu poslal peníze zpět. Vytvořil tím ale zajímavý precedens, protože okradení uživatelé začali posílat zprávy i během dalších útoků na jiné protokoly ve víře, že jim útočníci peníze vrátí.
Swerve Finance
Technicky vzato se tento útok nepodařil, jedná se ale o zajímavou ukázku toho, jak může být zneužit hlasovací systém v DAO protokolech. Swerve Finance používá tento typ decentralizované správy, která umožňuje uživatelům navrhovat změny v síti a hlasovat o nich. V březnu tohoto roku selhal útok na tento protokol, který se snažil získat 120 tisíc dolarů za administrační poplatky a dalších 1,3 milionů dolarů z protokolu pomocí návrhu na jejich vyplacení. Útočník jednoduše dal hlasovat o tom, zda mají všechny tyto prostředky být vyplaceny na jeho účet. Sám použil nemalé prostředky na prosazení hlasů v jeho prospěch a kupodivu i někteří další uživatelé hlasovali pro. Nakonec však útočník nedokázal získat potřebné hlasy pro vyplacení všech požadovaných prostředků. Jedná se ale o zajímavou ukázku toho, jak může vypadat hackerský útok na DeFi projekt.
Shrnutí
Přestože březen nebyl měsícem s velkým počtem útoků, kvůli 200 milionům dolarů z Euler Finance se jedná o měsíc s desetinásobnou ztrátou peněz oproti lednu a únoru. Dalším velkým útokem mohl být 5 milionový hack na Paraspace, za kterým ale nakonec stále Whitehat hacker a všechny prostředky vrátil. Stejně tomu bylo také u krádeže 1,59 milionu dolarů z protokolu TenderFi, které ale nakonec hacker také vrátil a navíc pomohl s opravou chyby. V porovnání s březnem minulého roku se jedná o daleko menší ztráty, protože v březnu 2022 byl napaden bridge Wormhole Solany, ze kterého bylo ukradeno 326 milionů dolarů.