Рассказываем о пяти проектах DeFi, которые восстановились после взлома и продолжили работать.
Сообщество DeFi снова поставило под сомнение подход «тестирования в деле» после того, как проекты Alpha Finance Labs и CREAM Finance потеряли 37,5 млн долларов в результате хакерской атаки.
Compound (COMP)
COMP — это децентрализованная платформа для кредитования. Пользователи COMP берут и дают друг другу взаймы без участия посредников.
Сейчас в протоколе заблокированы активы на сумму более $5,25 млрд. Это третий по величине DeFi-протокол после Aave (AAVE) и Maker (MKR).
В ноябре прошлого года хакер воспользовался уязвимостью в коде оракула Coinbase, который платформа использовала для определения стоимости стейблкоина dai (DAI). Ошибка или атака взвинтили стоимость стейблкоина до $1,30.
Чтобы получить кредит на Compound, нужно предоставить обеспечение, превышающее сумму кредита. Когда курс dai вырос, стоимость обеспечения многих заемщиков оказалась меньше требуемого, поэтому их позиции были ликвидированы.
Yearn Finance (YFI)
Пятого февраля 2021 года в хранилище yDAI Yearn Finance была обнаружена уязвимость, которая привела к потере 11 миллионов долларов.
Злоумышленники украли деньги через серию флеш-кредитов из пулов dYdX и Aave. Затем хакер использовал полученные таким образом деньги в качестве обеспечения для других займов на DeFi-платформе Compound.
По сути, он попытался заработать на разнице в ценах в хранилищах Yearn, чтобы накопить токен Curve DAO (CRV) и обменять его на стейблкоины.
Аналитики считают, что чистая прибыль злоумышленника не превысила трех млн долларов, поскольку около $8,5 млн ушло на расходы, связанные с атакой.
We have noticed the v1 yDAI vault has suffered an exploit. The exploit has been mitigated. Full report to follow.
— yearn.finance (@iearnfinance) February 4, 2021
SushiSwap (SUSHI)
SushiSwap — это автоматизированный маркет-мейкер (AMM), форк популярной платформы Uniswap.
В январе этого года пользователь SUSHI обнаружил лазейку, которая позволила ему украсть 81 ETH (на тот момент чуть больше 100 тыс. долларов).
Эксплойт включал транзакцию с использованием токена DICG. Он попытался преобразовать небольшую сумму комиссий в пуле DICG / WBTC через пул DICG / ETH.
Чрезвычайно низкая ликвидность в последнем (и, соответственно, высокое проскальзывание), обусловили высокие комиссии. Хакер попытался забрать себе комиссии стейкеров, используя ошибку в коде.
Однако похищенная сумма невелика, и пользователи считают, что эта лазейка не повлияла на работу протокола.
Old loopholes opened up give a hacker a small reward.
24 hours of DIGG/WBTC swap fees snatched by an opportunist.
It ain't much, but is it honest work?
We spoke to the @SushiSwap team to find out what went wrong.https://t.co/mSTTXTtarg
— rekt (@RektHQ) January 26, 2021
Протокол Cover (COVER)
Больше всех из этого списка пострадал Cover Protocol. Белый хакер из Grap Finance (хотя в то время об этом ничего не было известно) воспользовался уязвимостью, чтобы отчеканить 40 квинтиллионов токенов COVER.
Эти токены находились под непосредственным контролем хакера, который быстро вывел их на Binance. Резкий рост предложения, а также «сброс» на рынках COVER/ETH привели к тому, что цена COVER упала более чем на 50% за считаные минуты.
Когда участники рынка начали понимать, что произошло, обвал достиг катастрофических масштабов. Токен упал с $720 ниже $100. Криптобиржа Binance приостановила торговлю, а команда Cover Protocol — заморозила токен.
К счастью, хакер вернул средства, а Binance даже возместила убытки трейдерам, которые «купили на спаде» из собственного фонда SaFu.
Alpha Finance Labs (ALPHA)
Накоенц, недавно жертвами хакеров стали Homora v2 Alpha Finance Lab и Iron Bank от CREAM Finance.
В результате эксплойта хакеру удалось украсть 37,5 млн долларов. Впоследствии выяснилось, что злоумышленники использовали займы на Homora v2, размещенные в Iron Bank протокола CREAM.
Пользователи ALPHA, знакомые с ситуацией, указали, что за атакой стоит человек, знающий о том, как работает протокол больше остальных.
Анализ ситуации постфактум это подтвердил. Он заявил, что конкретный пул финансирования, использованный в эксплойте, находился на уровне контракта на HomoraBankV2 в рамках подготовки к предстоящему запуску.