Май стал не самым удачным месяцем для отрасли DeFi. В особенности, для децентрализованной платформы одной из крупнейших криптобирж — Binance Smart Chain. За месяц хакерам удалось взломать более десяти проектов на базе BSC, суммарно украв почти 300 миллионов долларов в криптовалютном эквиваленте.
Помимо очевидного человеческого фактора в виде “дыр” в системе безопасности и коде проектов, DeFi становятся желанной целью для злоумышленников из-за отсутствия грамотного аудита. Только на май пришлось 14 из 27 инцидентов, случившихся с начала этого года. Мы постарались вспомнить самые крупные из них.
1) Spartan
Суммарные убытки: 30 миллионов долларов
2 мая был взломан протокол Spartan Pools V1 на базе BSC, вследствие наличия лазейки при определении доли ликвидности SPARTA/WBNB в пуле. Хакер вывел избыточное количество активов, увеличивая баланс пула перед сжиганием монет.
Для атаки использовался займ в протоколе PancakeSwap на сумму 100 000 BNB, который после вернул, оплатив комиссию в 260 BNB.
2) Value DeFi
Суммарные убытки: 27 миллионов долларов
Первая атака данного проекта произошла еще в ноябре 2020 года. Тогда в ходе “комплексной атаки” на хранилище MultiStables злоумышленнику удалось украсть 7 миллионов долларов.
В этом же году взломов было несколько. 5 мая хакеру удалось украсть 10 миллионов долларов из-за банальной человеческой ошибки одного из разработчиков проекта в строчках кода. Затем, буквально через пару дней все пулы, не использующие соотношение активов 50/50, были взломаны. Дополнительным средством для эксплоита послужила формула Bancor, неверно задействованная разработчиками. Ею и воспользовавлся хакер, укравший на сей раз уже 11 миллионов долларов.
3) xToken
Суммарные убытки: 25 миллионов долларов
12 мая разработчики проекта заметили расхождение в стоимости и предложении, после чего сразу “заморозили” смарт-контракты. Однако, злоумышленнику все же удалось украсть 25 миллионов долларов из пулов ликвидности xBNTa, а также xSNXa в эквиваленте токенов ETH, BNT, SNX, xBNTa.
Один из аналитиков в своем твиттер-аккаунте отметил, что факт использования хакером сразу нескольких уязвимостей и скорость действий могут указывать на причастность того, кто принимал непосредственное участие в проекте.
4) Venus
Суммарные убытки: 100 миллионов долларов
Речь не столько о взломе, сколько о колоссальных ликвидациях на сумму в 200 миллионов долларов в протоколе Venus на базе BSC. Цена токена XVS подверглась манипуляциям. Неизвестный пользователь занят более 4000 BTC и 9600 ETH, тем самым сгенерировав “плохих долгов” на 100 миллионов долларов.
Подобный случай уже происходил в феврале 2021-го на ETH-сервисе Compound, когда долг в DAI возрос на 30%, существенно увеличив ликвидации активов.
5) PancakeBunny
Суммарные убытки: 42 миллиона долларов
Атака пришлась на один из популярных методов среди “майских хакеров” — мгновенные займы. Он занял огромную сумму в эквиваленте BNB и манипулировал денежными средствами в парах USDT/BNB, а также BUNNY/BNB, обвалив курс на некоторое время до отметки менее 1 доллара.
В результате проект потерял больше 40 миллионов долларов, а стоимость токена упала более чем на 80%.
