Новый удар по DeFi: Warp Finance теряет 7,7 миллиона долларов
Мир децентрализованных финансов (DeFi) снова стал жертвой атаки на мгновенные кредиты. Кредитный протокол Warp Finance стал жертвой злоумышленника, который украл почти 8 миллионов долларов в стейблкоинах.
DeFi: новое Эльдорадо для хакеров?
В Warp Finance заподозрили, что в их системе есть аномалии, и команда предупредила пользователей, рекомендуя не вносить активы на свои счета:
«Warp Finance подвергся комплексной атаке на мгновенные ссуды, которая позволила злоумышленнику занять сумму, превышающую его залоговую стоимость, что привело к потере средств от кредиторов стабильных монет», — сообщила команда в Twitter. В частности, было украдено 3,85 миллиона DAI и 3,92 миллиона долларов США.
Сложность атаки заключалась в том, что она включала несколько флеш-свопов в 3 пула ликвидности на децентрализованной бирже Uniswap на общую сумму 180 млн. долл., а также 2 займа на платформе dYdX, на общую сумму 51 млн. долл. Эти средства затем были использованы для обхода системы Warp Finance.
Аналитик Ник Чонг рассказал, что злоумышленнику удалось провести эту операцию с 1 ETH через Tornado Cash — микшер Ethereum, не связанный с хранением.
По оценкам группы экспертов компании, из потерянных 7,7 миллиона долларов, они могут вернуть около пяти с половиной миллиона, хранящихся в залоговом хранилище. Эти средства теоретически будут перераспределены между держателями, которые понесли финансовые убытки в результате хака.
Warp Finance еще не прошел аудит в HackenClub, компании, специализирующаяся на безопасности протоколов DeFi. Сообщество протоколов, признанное за его надежность в мире криптовалют, пытается понять, почему такой недостаток не был обнаружен, а затем исправлен заранее.
Это еще раз доказывает, что протоколы DeFi далеко не безупречны, даже если они прошли аудит специализированными компаниями. Мир децентрализованных финансов все еще молод, и эта еще одна крупная атака напоминает нам об этом.
Запущенная 8 декабря, Warp Finance уже вышла из игры, и будет бороться за то, чтобы вернуть доверие новых пользователей. Команда планирует опубликовать подробный анализ атаки и остальных операций в ближайшие дни.
Количество атак, связанных с DeFi резко возросло
В новом отчете CipherTrace отмечается, что в этом году количество преступлений, связанных с децентрализованным финансированием растет, по сравнению с 2019 годом.
Согласно отчету CipherTrace, «общие» крипто-атаки, не связанные с DeFi, принесли ущерб на 51,5 млн. $ в первой половине 2020 года. Во второй половине года эта тенденция сохраняется: 292 млн. $ — взломы и другие кражи.
Однако сектор также растет. Согласно отчету, на децентрализованное финансирование приходилось 45% всех краж и взломов (51,5 млн. долл., или 40% от взломанного объема). Во второй половине года — 50% всех краж и взломов (47,7 млн. долл., или 14% от общего объема).
Согласно CipherTrace, объем взломов был «почти незначительным» для сектора в 2019 году. Таким образом, тенденция появилась совсем недавно: за прошедшее лето эта область сильно выросла. Более того, средства от «классических» атак теперь можно отмывать благодаря DeFi.
В отчете напоминается, что именно взлом KuCoin привел к увеличению объемов продаж во второй половине года. Он позволил злоумышленникам уйти с 281 миллионом долларов. Если мы удалим эту конкретную атаку, атаки DeFi получат преимущество с точки зрения объема за тот же период. Средства, украденные из KuCoin, частично прошли через Uniswap, что связывает эту атаку с децентрализованными финансами.
Неудивительно, что аналитическая компания пришла к выводу, что меры по борьбе с отмыванием денег, применяемые в протоколах, «ошибочны». CipherTrace объясняет следующее:
«Протоколы открыты по своей природе, что означает, что им часто не хватает инструмента соответствия. Любой человек в любой стране может получить к нему доступ практически без информации о KYC. В результате DeFi может легко стать убежищем для отмывания денег.»
CipherTrace исторически выступает против анонимности, поэтому такая интерпретация не вызывает особого удивления. Это дебаты такие же старые, как Биткойн, которые регулярно волнуют крипто-сообщество. Создание децентрализованных финансовых систем часто допускает большую анонимность, и позволяет средствам течь без контроля со стороны традиционных регуляторов.
Следует ли рассматривать это как положительный момент и как способ для пользователей восстановить контроль над своим капиталом? Или нам следует беспокоиться о возможностях, которые это открывает для злоумышленников? Споры продолжаются.