V dubnu dosáhly ztráty z hackerských útoku na DeFi 103 milionů dolarů

V průběhu měsíce jsme vás informovali o nejrůznějších hackerských útocích na DeFi protokoly a burzy. V dubnu proběhlo jen několik velkých útoků, všechny ale vedly ke ztrátám desítek milionů dolarů. Celkově přišli investoři o 103 milionů dolarů, které padly do rukou hackerů. Uvádí to ve své nejnovější zprávě auditorská firma CertiK, specializující se na kontrolu kódu smart kontraktů a burz. I přes veškerou snahu provozovatelů i auditorů si hackeři vždycky najdou slabé místo, kde mohou na daný protokol zaútočit. Navíc do kryptoměnového světa přichází stále více nováčků, kteří se často nechají oklamat phishingovou stránkou nebo mailem. Všechny tyto aspekty přispěly k více než 100 milionům dolarů ukradených prostřednictvím nejrůznějších hackerských technik. 

Flash Loan útoky byly nejčastější taktikou hackerů

Navzdory snahám o zajištění bezpečnosti pro své uživatele, stále přicházejí burzy a nejrůznější protokoly o peníze v důsledků hackerských útoků. Došlo k velkému nárůstu případů, kdy hackeři použili taktiku Flash Loan útoků. Dalším velkým problémem jsou MEV boti, pomocí kterých se nečestným investorům podařilo “ukrást” 25 milionů dolarů. O problému s MEV boty jsme již psali podrobější článek. Jedná se o nečestnou techniku, kdy nastavení boti vybírají nejlepší nabídky na burze. Nejedná se úplně o krádež, rozhodně ale jde o problém připravující řadu běžných investorů o peníze. Další velká loupež se udála na krypto burze Bitrue, která musela na několik dní zastavit veškeré výběry. Hackeři nakonec ukradli 22 milionů dolarů z hot wallety burzy, na které bylo uloženo přibližně 5 % prostředků burzy. Bitrue se podařilo uklidnit své uživatele a nedošlo k velkému odlivu prostředků, což by burzu jistě velmi poškodilo.

#CertiKSkynetAlert 🚨 Combining all the incidents in April we’ve confirmed ~$103.6M lost to exploits, hacks, and scams. Exit scams were ~$9.3M. Flash loans were ~$19.8M. See the details below 👇 pic.twitter.com/jflvMPiJGQ

— CertiK Alert (@CertiKAlert) April 30, 2023

Mezi největšími incidenty za duben samozřejmě nesmí chybět ani Yearn Finance. Zde hackeři pomocí Flash Loan útoku ukradli 10 milionů dolarů. S problémem Flash Loan útoku se potýkal také půjčovací protokol Hundred Finance, který přišel o 7,5 milionů dolarů. O čtyři miliony dolarů přišla také platforma Terraport, běžící na Terra Classic síti. Z platformy zmizely 2 miliony dolarů hned 10 dní po spuštění prostřednictvím hacknuté liquidity wallety. Platforma Terraport nabízí uživatelům výměnu jejich Terra a UST tokenů za Terra Luna Classic. Problémům se nevyhnula ani decentralizovaná burza SushiSwap. V tomto případě se jednalo o chybu ve smart kontraktu, kterou využili hackeři k odcizení 3,3 milionu dolarů. Útok potvrdil šéf Jared Gray záhy po krádeži a doporučil všem uživatelům, aby přerušili interakce se všemi smart kontrakty SushiSwapu.

V dubnu se odehrál také jeden Exist Scam

Zajímavý Exit Scam se odehrál na decentralizované burze Merlin, která přišla kvůli svým zaměstnancům o 2,7 milionů dolarů. Stalo se tak jen pár dnů poté, co auditorská firma CertiK dokončila kontrolu kódu a smart kontraktů této burzy. Burza Merlin i firma CertiK začali okamžitě pracovat na odhalení zaměstnanců stojících za útokem. Stopy je zavedly do Evropy, kde aktuálně spolupracují s místními úřady na vypátrání zlodějů. Na vlastní vývojáře ukázala také burza Merlin, která obvinila některé back-end vývojáře. V tomto případě se podařilo zaměstnancům dostat k privátním klíčům uživatelů, pomocí kterých získali kontrolu nad kryptoměnami na účtech. Takto velký Exit Scam se v decentralizovaných vodách neobjevil opravdu dlouho. 

Za zmínku stojí také vychytralý scammer, který vytvořil přes 114 meme tokenů, které prodával naivním investorům. Přišel si takto na opravdu pěkné peníze, přičemž většina těchto meme coinů už jsou dávno na nulových hodnotách. Tento scammer využil situace, kdy některé altcoiny pumpují o desítky procent během několika dnů. V té době zároveň nekontrolovatelně rostla cena meme tokenu PEPE, což mohlo řadu investorů přesvědčit, že koupě meme coinu může být zajímavá investice. V dubnu se také opět objevily phishingové stránky okrádající nepozorné uživatele. Řada těchto podvodných stránek navíc prochází kontrolami Google Ads a můžete tak na ně narazit ve formě reklam. Tvůrcům těchto stránek se daří obcházet kontrolní mechanismy Googlu a úspěšně propagovat stránky přes Google Ads. 

Lze zamezit hackerským útokům?

Miliony ukradené z decentralizovaných protokolů každý měsíc jsou drsnou připomínkou rizik spojených s investováním do kryptoměn. Ve většině případů bohužel za krádež nemohou samotní uživatelé, ale o peníze přijde jejich burza nebo půjčovací protokol. Úspěšné útoky následně vedou ke značným finančním ztrátám na straně investorů i firem. Ty jsou navíc často odsouzeny k zániku, kvůli poškozené reputaci a nedůvěře v jejich bezpečnostní systém. Firma Chainalysis uvádí, že jedinou cestou ke snížení rizik je pravidelné auditování kódu a smart kontraktů. Díky auditům mohou firmy identifikovat problém a vyřešit ho dříve, než by se mohl stát potenciální příležitostí pro hackery. Řada uživatelů ale ráda nese tato rizika vyvážená možným vysokým ziskem z altcoinů a meme tokenů. Jako jediná bezpečné kryptoměna se nakonec vždy ukáže být Bitcoin. Nemá žádné smart kontrakty a další slabá místa, která by mohli hackeři využít. Hlavním kritériem je ale samozřejmě zodpovědné chování dané burzy či jiné platformy starající se o prostředky svých uživatelů. 

Další cestou k omezení hackerských útoků by mohla být transparentnost jednotlivých firem. O stavu kryptoměn a jejich uložení se uživatelé často dozví až ve chvíli, kdy přijdou o své prostředky. Burzy a další platformy by tak mohly dokládat svým uživatelům, jak mají zabezpečeny kryptoměny a zda jsou správně uloženy. Například burzy držící všechny své prostředky na hot walletě vystavují riziku sebe i všechny své uživatele. Na grafu výše lze vidět, že nejhorším rokem z pohledu hacků byl rok 2021. Tehdy bylo za jeden rok ukradeny téměř 3 miliardy dolarů, zatímco o rok později číslo kleslo na 1,3 miliardy. Aktuální rok má ale dobře nakročeno k překonání 3 miliard z roku 2021.