Имеет ли смысл аудит криптовалютного протокола? 

Взломав десятки криптопроектов в роли так называемого хакера белой шляпы, эксперт из компании Sayfer понял, что аудита смарт-контрактов криптопротоколов недостаточно, чтобы гарантировать безопасность блокчейн-проекта. Специалисты фирмы Coindar поговорили с неназванным программистом и рассказали несколько историй о том, как, данная успешно пройденная процедура, не защитила некоторые стартапы сектора DeFi от взлома.

Взлом BadgerDAO

BadgerDAO — это DAO, нацеленная на внедрение BTC в мир децентрализованных финансов (DeFi) Ethereum в секторе Web3. Согласно данным, 2 декабря 2021 года хакеры украли более $120 млн всего за несколько минут.

Дело в том, что ранее они смогли получить доступ к веб-сайту приложения Badger, используя скомпрометированный ключ API, который был создан без ведома и разрешения инженеров-проектировщиков. Он был использован для внедрения вредоносного кода javascript, который затронул часть клиентов протокола.

Код мгновенно генерировал мошеннические подтверждения транзакций, которые, в случае одобрения пользователями, позволяли хакерам переводить средства на собственные кошельки. Злоумышленники не стали торопиться и ждали, когда большая рыба попадется в ловушку.

И они дождались. Это случилось 1 декабря 2021 года. Пользователь с холдингами альткоинов стандарта ERC-20 на базе Ethereum на сумму $50 млн дал злоумышленникам доступ к своим виртуальным средствам. Хакеры мгновенно отреагировали, выведя все средства жертвы, а затем тут же опустошив доступные счета других клиентов, накопленные за прошедшее время, в результате чего общая прибыль мошенников составила $120 млн.

Взлом протокола Fortress

Fortress Protocol — протокол кредитования DeFi, который работает на Binance Smart Chain. Слабая защита вокруг оракула проекта и небезопасный процесс управления, позволили хакерам внедрить свое мошенническое предложение и начать манипулировать залоговой стоимостью. Они приобрели 400 тыс токенов FTS (токен управления Fortress Protocol), или 4% от общего предложения за 11,4 ETH. Затем злоумышленники создали смарт-контракт для инициации предложения и использовали FTS для голосования за него (4% положительных голосов — это как раз условие для успешного принятия).

Их контракт изменил кредитное плечо для токенов FTS с 0 до 0,7. Это позволило хакерам использовать 70% стоимости токенов FTS с кредитным плечом для заимствования активов в протоколе.

В Fortress Protocol цена каждого токена определяется разными оракулами. Они соединяют блокчейн с внешними системами, тем самым позволяя выполнять смарт-контракты на основе входных и выходных данных из реального мира. В функции submit() от оракула Umbrella Oracle была обнаружена уязвимость и хакеры смогли манипулировать этим, установив высокую цену для FTS для того, чтобы одолжить токены. Все они были выведены и конвертированы в $3 млн..

Ранее Fortress Protocol прошел проверку Hash0x и EtherAuthority однако ни одна из компаний не обнаружила уязвимости оракула в коде.

Другие взломы

Кроме того в этом году пострадали протоколы Blizz Finance и Venus. Они также столкнулись с багом в программном коде оракула. В результате чего первая платформа понесла ущерб в размере $8,5 млн (все средства протокола), а пользователи второй площадки лишились цифровых средств на общую сумму $13,5 млн.

Таким образом, специалисты подчеркнули, что прохождения процедуры аудита смарт-контракта еще не является гарантом безопасности пользовательских средств, как думают многие инвесторы. Дело в том, что здесь замешан человеческий фактор. Программисты частенько ошибаются при написании кода, а обнаружить все потенциальные баги с первого раза не всегда представляется возможным.

Игорь Ко-Ши Исследую криптовалюты с 2016 года.