В мире децентрализованных финансов (DeFi) нарастают тревожные сигналы о злоумышленниках, которые находят всё новые способы кражи средств у пользователей. Одним из таких недавних инцидентов стала атака на протокол Delta Prime, в результате которой хакер сумел вывести более 6 миллионов долларов, используя стратегию массового ментинга токенов. Атака произошла 16 сентября 2024 года, когда зловещий персонаж воспользовался уязвимостями в системе протокола, чтобы создать астрономическое количество токенов. Как стало известно из данных блокчейна Arbiscan, злоумышленник умудрился сгенерировать более 115 дуовигинтильонов токенов Delta Prime USD (DPUSDC), что эквивалентно более чем 1,1*10^69 в научной нотации. Эти токены должны были служить депозитными квитанциями для стейблкоина USDC, с обещанием обмена 1:1.
Однако, как показали дальнейшие действия хакера, вся эта система оказалась на грани краха. Долгожданная атака началась с того, что злоумышленник завладел администраторской учетной записью с уникальным идентификатором, в данном случае заканчивающимся на b1afb. Вероятно, это произошло в результате кражи приватного ключа разработчика. Обладая доступом к этой учетной записи, хакер вызвал функцию «обновления» в контрактах каждой из ликвидных пулов протокола. Эти функции, как полагалось, предназначались для исправления ошибок и улучшения системы, но вместо этого были использованы в злонамеренных целях.
Злоумышленник направил каждый из прокси на созданный им злонамеренный контракт, который позволял ему выпускать неограниченное количество депозитных квитанций. В результате этого он смог «осушить» ликвидные пулы, утащив колоссальные суммы, которые в противном случае принадлежали бы обычным пользователям. И хотя он сгенерировал астрономическое количество DPUSDC, в конечном итоге выкупил лишь 2,4 миллиона токенов, что дало ему 2,4 миллиона долларов в стейблкоине USDC. Однако это не все. Злоумышленник повторил те же действия, сгенерировав более 1 дуовигинтильона токенов Delta Prime Wrapped Bitcoin (DPBTCb), 115 октодециллионов Delta Prime Wrapped Ether (DPWETH) и множество других токенов депозитных квитанций.
В конечном счете, он продолжил свою работу, обналичивая лишь крошечную часть ментированных токенов, в результате чего завладел более чем миллионом долларов в биткойнах (BTC), эфирах (ETH) и других активах. Специалисты по блокчейн-безопасности, такие как Чаофан Шоу, подсчитали, что общая сумма украденных средств в результате данной атаки составила около 6 миллионов долларов. Эта цифра может увеличиваться, так как расследование продолжается, и новые подробности постоянно всплывают на поверхность. Протокол Delta Prime быстро отреагировал на инцидент, сделав официальное заявление через социальные сети. Они подтвердили, что в 6:14 по центральноевропейскому времени протокол DeltaPrime Blue подвергся атаке, в результате чего было похищено 5,98 миллиона долларов.
Также они сообщили, что версия протокола для Avalanche не уязвима к подобным атакам и выразили готовность компенсировать убытки своих пользователей за счет страховки. Этот инцидент наглядно иллюстрирует риск, связанный с использованием обновляемых смарт-контрактов в DeFi-протоколах. Такие контракты, как правило, разработаны для того, чтобы позволить разработчикам исправлять ошибки или вносить изменения в систему после ее развертывания. Тем не менее, эта гибкость творит чудеса, когда дело доходит до безопасности. Приватные ключи, отвечающие за управление такими контрактами, если они оказываются в руках злоумышленника, могут обернуться катастрофой для всего проекта.
Сейчас во всем мире развивается обсуждение, следует ли сохранять возможность обновления контрактов, или лучше полностью отказаться от этого, чтобы минимизировать риски для пользователей. Тем не менее, сфера Web3 продолжает сталкиваться с новыми угрозами. Простыми примерами этого служат недавние инциденты: 11 сентября была похищена сумма более 1,4 миллиона долларов из ликвидного пула токена CUT из-за неаккуратного кода, который указывал на неподтвержденную функцию в другом контракте. А 3 сентября из протокола Penpie было похищено более 27 миллионов долларов, когда злоумышленник смог зарегистрировать собственный злонамеренный контракт в качестве торговой площадки для токенов. Деятельность таких хакеров и их способность обходить системы безопасности создают атмосферу тревоги среди пользователей и инвесторов в DeFi-пространстве.
Многие из них задаются вопросом, как быть уверенными в сохранности своих активов, когда появляются такие угроза. Ответ на этот вопрос становится всё более сложным, и, вероятно, придется найти компромисс между гибкостью, необходимой для исправления ошибок, и абсолютной безопасностью. Этот случай стал бычьим знаком для всех проектов в области криптовалют и инновационных финансовых технологий: необходимо переосмыслить текущие подходы к безопасности и разработать более надежные механизмы защиты от угроз. В народе говорят: «Береги платье снову, а честь смолоду». В мире криптовалют и DeFi это правило особенно актуально.
Защита активов должна становиться приоритетом, и это означает, что разработчикам и пользователям нужно продолжать обучаться и адаптироваться к новым угрозам.
