Časom zrejme budú návrhy protokolov a zdrojový kód odolnejšie. Dovtedy je rozumné pri využívaní tejto začínajúcej technológie vyvážiť zvedavosť a experimentovanie opatrnosťou.
Útok na BNB
Siedmeho októbra bol zneužitý medzireťazcový most známy ako BSC Token Hub. BSC Token Hub spája BNB Beacon Chain (prvý blockchain vytvorený spoločnosťou Binance, predtým známy ako Binance Chain) s BNB Smart Chain (druhým blockchainom spoločnosti Binance, ktorý je kompatibilný s EVM a predtým bol známy ako Binance Smart Chain alebo BSC). Bez toho, aby sme zachádzali príliš hlboko do technických detailov: útočník dokázal falšovať ľubovoľné správy vinou chyby v spôsobe, akým BSC Token Hub overoval kryptografické dôkazy. Správy, ktoré útočník sfalšoval, dávali mostu pokyn na vyrazenie dvoch miliónov ďalších BNB tokenov. V čase zneužitia mali tieto dva milióny BNB mincí hodnotu takmer 600 miliónov dolárov.
S dvoma miliónmi BNB tokenov v ruke útočník rýchlo uložil 900 000 BNB ako zábezpeku na úverový protokol BSC s názvom Venus a požičal si za ne rôzne stablecoiny. Tieto stablecoiny potom previedol do viacerých reťazcov kompatibilných s EVM pomocou ďalších medzireťazcových mostov. Niekoľko hodín po uskutočnení útoku bol BSC zastavený pre "neregulárnu aktivitu", aby sa útočníkovi zabránilo v ďalšom presúvaní prostriedkov do iných reťazcov. Celkovo bolo z BSC premostených približne 120 miliónov dolárov.
Obrázok 1: Množstvo odcudzených finančných prostriedkov premostených z BSC do iných reťazcov kompatibilných s EVM. Zdroj: Nansen.ai
Dvanásteho októbra bola prostredníctvom hardforku vydaná "urgentná záplata", ktorá opravila chybu, ktorú útočník zneužil. Keďže útočník dokázal využiť túto zraniteľnosť, zdá sa, že bol veľmi sofistikovaný a taktiež dostatočne dôvtipný na to, aby ukradnuté finančné prostriedky neodoslal na centralizovanú burzu, kde by ich mohli zmraziť alebo by mohla byť odhalená jeho identita. Hoci validátori BSC dokázali reťazec zastaviť a minimalizovať tak škody, útočník si aj tak odniesol približne 120 miliónov dolárov.
Útok na Mango Markets
Mango Markets je decentralizovaná burza derivátov. Jedenásteho októbra sa útočníkovi podarilo získať všetku jej likviditu v hodnote 116 miliónov dolárov. Útočník využil slabo obchodovaný MNGO token burzy Mango, ako aj funkciu požičiavania v protokole, ktorá umožňuje požičiavať si proti zostatku na maržovom účte.
Útočník najprv vložil na účet A kolaterál vo výške päť miliónov USDC a zadal limitný príkaz na predaj 488 miliónov jednotiek MNGO-PERP (perpetuálny futuritný kontrakt pre MANGO token) za cenu 0,0382 dolára. Ďalej vložil na účet B kolaterál vo výške päť miliónov USDC a kúpil 488 miliónov jednotiek MNGO-PERP za cenu 0,0382 dolára. Potom útočník začal manipulovať cenu na spotovom trhu MNGO. MNGO/USDC sa obchodoval až na úrovni 0,91 dolára.
Obrázok 2: Málo obchodovaný MNGO/USDC bol zmanipulovaný na 0,91 dolára s cieľom získať likviditu z protokolu.
Zdroj: trade.mango.markets
Pri MNGO/USD na úrovni 0,91 dolára bol účet B v zisku viac ako 425 miliónov dolárov. To útočníkovi umožnilo požičať si celkovo 116 miliónov dolárov proti jeho nafúknutému zostatku na maržovom účte – v podstate odčerpal všetku dostupnú likviditu na Mangu.
Útočník sa nakoniec predstavil ako Avraham Eisenberg a tvrdil, že pri takzvanej "výnosnej obchodnej stratégii" neurobil nič nezákonné. Komunita Mango hlasovala za to, aby si Eisenberg ponechal 47 miliónov dolárov a zároveň vrátil zvyšných 67 miliónov dolárov. Tím Mango oznámil, že zverejní návrh na splatenie, využívajúci vrátené prostriedky a pokladnicu Mango DAO na vyplatenie používateľov na základe zostatkov hodinu pred útokom. Používateľov sa možno podarí odškodniť, ale väčšina, ak nie všetky finančné prostriedky určené na ďalší rozvoj projektu Mango Markets budú pravdepodobne vyčerpané.
Ponaučenia a závery
V prípade útoku na BSC Token Hub išlo o prácu sofistikovaného hekera. Zabrániť by sa mu bolo dalo jedine tak, keby túto zraniteľnosť zachytila firma vykonávajúca bezpečnostný audit alebo by ju našli v rámci bug bounty (verejná výzva s odmenou za nájdenie a nahlásenie chyby/zraniteľnosti). Mosty sú hlavným cieľom útokov, pretože zvyčajne majú miliardy TVL a spoliehajú sa na rôzne mechanizmy potvrdzovania vkladov na jednom reťazci pred razením reprezentatívnej verzie mince na cieľovom reťazci. Heknutie Wormhole v hodnote 326 miliónov dolárov vo februári 2022, heknutie mosta Ronin v hodnote 600 miliónov dolárov v marci 2022 a heknutie Nomad v hodnote 190 miliónov dolárov v auguste 2022 sú jasnými príkladmi toho, že s mostami by mal používateľ DeFi zaobchádzať opatrne. Ak je to možné, zvyčajne je bezpečnejšie vykonať namiesto toho cross-chain swap, teda vymeniť natívne aktívum v jednom reťazci priamo za natívne aktívum v cieľovom reťazci, aby sa predišlo zablokovaniu finančných prostriedkov na moste.
Pokiaľ ide o útok na burzu Mango, hoci Eisenberg formálne pracoval v rámci parametrov protokolu, jeho konanie bolo v tom lepšom prípade konaním so zlým úmyslom a v horšom prípade trestné. Dizajn Mango Markets, ktorý umožňuje používateľom požičiavať si proti maržovému zostatku – najmä proti maržovému zostatku, ktorý bol nafúknutý len pred niekoľkými minútami – je výborným terčom manipulácií. Útoku by sa bolo možno dalo predísť, keby existovala funkcia požičiavania proti časovo váženému priemernému zostatku marže. Okrem toho možnosť obchodovania s málo obchodovaným tokenom vystavuje protokol nebezpečenstvu manipulácie s trhom.
Aj keď sú tieto typy útokov znepokojujúce, treba ich vnímať s nadhľadom. Hoci ide o veľké sumy, je to len zlomok celkovej hodnoty uzamknutej v celom kryptosektore, ktorá podľa portálu Defillama.com klesla z maximálnej hodnoty 181 miliárd dolárov v roku 2021 na 56 miliárd dolárov v októbri 2022 v dôsledku medvedieho trhu. Budujeme budúcnosť – digitalizované aktíva sa ukladajú a prenášajú na decentralizovaných blockchainoch bez dôvery a bez povolenia. Hrozí, že celé odvetvia, ako sú banky a burzy, budú narušené samovykonávacími smart kontraktmi. Toto všetko sú veľmi zložité veci a testuje a experimentuje sa s nimi za pochodu. Je dôležité mať na pamäti riziká, ako aj víziu. V stávke je veľa a objavia sa chyby, ale konečný cieľ sľubuje odblokovanie nespočetného množstva efektivity a produktivity pre svet.