Загрози DeFi-хаків: Чому протоколи кредитування залишаються основними цілями атак

Ландшафт зломів у DeFi став більш складним і витонченим, причому протоколи кредитування виявляються найчастотніше скомпрометованим сектором у децентралізованих фінансах. Останній аналіз безпеки показує, що застосунки для кредитування становлять приблизно 25% усіх інцидентів у DeFi, що є непропорційним рівнем атаки порівняно з іншими категоріями протоколів. Така концентрація ризиків зумовлена значним обсягом капіталу, заблокованого у цих платформах, та їхньою внутрішньою технічною складністю.

Економіка за векторами зломів у DeFi у протоколах кредитування

Протоколи кредитування приваблюють зловмисників через кілька векторів атак. Ці платформи зазвичай мають великі резерви стабільних монет і заставних активів, таких як ETH і BTC, що робить їх привабливими цілями для досвідчених зловмисників. Відкритий характер on-chain кредитування у поєднанні з автоматизацією смарт-контрактів підвищує рівень вразливості. Три основні механізми експлуатації домінують у моделі загроз зломів у DeFi:

Flash loan атаки використовують атомарні властивості транзакцій у блокчейні, дозволяючи зловмисникам маніпулювати ринковими умовами в межах одного блоку. Ці тимчасові ін’єкції капіталу можуть дестабілізувати цінові механізми та спричинити непередбачені ліквідації у взаємопов’язаних протоколах. Вразливості цінових оракулів є ще одним критичним вектором — як показано у випадку Moonwell, задокументованому Cryptopolitan, недоліки у даних цінових стрічок можуть дозволити прямий вивід коштів. Крім того, деякі протоколи кредитування випускають нові токени як механізм відсотків, створюючи можливості для зловживань з мінінгом токенів, що розширює поверхню атаки понад традиційні смарт-контракти.

Вразливості смарт-контрактів як головна причина втрат

Аналіз інцидентів безпеки показує, що технічні дефекти є основною причиною втрат у DeFi. За останні 12 місяців у 48 випадках було зафіксовано збитки приблизно на 526 мільйонів доларів через помилки у смарт-контрактах. Ця категорія технічних збоїв стала найбільшим драйвером втрат, поступаючись за цим приватними ключами та зломами мульти-підписних гаманців.

Дані викликають тривогу: протоколи кредитування наразі забезпечують понад 53 мільярди доларів у загальній заблокованій цінності, але залишаються під постійною загрозою. Цікаво, що навіть протоколи з завершеними аудитами безпеки зазнавали значних зломів, зазнавши сумарних втрат близько 515 мільйонів доларів. Вразливості, що виникли поза межами аудиту, спричинили збитки на 193 мільйони доларів, а неаудовані смарт-контракти — ще 77 мільйонів у 24 інцидентах. Історичний аналіз топ-30 зломів у DeFi показує, що 58.4% випадків пов’язані з уразливістю неаудованого коду. Атаки на цінову маніпуляцію стали окремою високоризиковою категорією, з 13 інцидентами, що спричинили втрати на 65 мільйонів доларів за останній період.

Багаторівневі виклики безпеки понад аудити

Стандартні процеси аудиту, хоча й важливі для зменшення ризиків, не здатні усунути всі вектори зломів у DeFi. Складність застосунків на блокчейні виникає через кілька джерел даних і складні взаємодії смарт-контрактів, що виходять за межі одного аудиту. Багато менших протоколів і конкретних реалізацій сейфів залишаються ціллю саме через обмежений рівень безпекового контролю.

Другий рівень загроз спрямований безпосередньо на кінцевих користувачів. Нові клони DEX іноді маскуються під децентралізовані платформи, але фактично зберігають депозити користувачів у централізованій формі, а потім стягують комісії за виведення, що експлуатують довіру користувачів. Це окрема категорія компрометацій, що доповнює технічні зломи.

Щоб зрозуміти ці багаторівневі ризики зломів у DeFi, необхідно постійно слідкувати за безпекою. Розробники протоколів мають впроваджувати надійні системи моніторингу, підтримувати механізми аварійної зупинки та забезпечувати прозоре повідомлення про вразливості та процеси їхнього розкриття.