DeFi-проекты снова горят: на что смотреть инвестору, чтобы не попасть на следующий взлом моста

Криптомир вновь столкнулся с масштабной атакой, на этот раз удар пришёлся по экосистеме Shiba Inu. Злоумышленник, используя сложную схему с мгновенным кредитом (флеш-кредит), сумел вывести из моста Shibarium активы на сумму, превышающую два миллиона долларов. Эта сеть второго уровня предназначена для более быстрых и дешёвых транзакций, а её мост обеспечивает перемещение средств между Ethereum и Shibarium.

По данным команды Shiba Inu, атака тщательно готовилась в течение нескольких месяцев. В её основе лежал захват контроля над механизмом консенсуса. Злоумышленник занял огромное количество токенов управления BONE, что позволило ему скомпрометировать большинство ключей валидаторов. Получив практически неограниченную власть в сети, он инициировал несанкционированный вывод средств.

"Мы приостановили функции стейкинга и перевели оставшиеся активы на защищённое хранилище", — отметили разработчики Shiba Inu.

В результате действий хакера с адреса моста было изъято 224,57 ETH и колоссальные 92,6 миллиарда токенов SHIB. Помимо этого, добычей преступника стали токены другого проекта экосистемы — K9 Finance DAO (KNINE), ущерб от чего оценивается ещё в семьсот тысяч долларов. Также были затронуты и другие активы, включая LEASH и TREAT, однако эти монеты пока остаются нетронутыми и не перемещались.

Последствия атаки и оперативная реакция

Инцидент заставил команду Shiba Inu в экстренном порядке принимать меры для обеспечения безопасности оставшихся средств пользователей. Были немедленно остановлены все операции по внесению и выводу из стейкинга. Самые важные активы были оперативно переведены из потенциально уязвимых прокси-смарт-контрактов на аппаратное хранилище, защищённое мультиподписью. Это означает, для проведения любой транзакции потребуется согласие нескольких независимых сторон.

Для расследования произошедшего были привлечены ведущие компании в области кибербезопасности блокчейн-проектов: Hexens, Seal911 и PeckShield. Их задача — выявить все уязвимости и проследить путь украденных средств, чтобы предотвратить их обналичивание.

Почему не все средства хакера доступны

Несмотря на успех атаки, злоумышленник столкнулся с серьёзными проблемами. Во-первых, он не может получить доступ к 4,6 миллионам BONE, которые занял для атаки.

Эти средства остаются делегированными валидаторам и в настоящее время заморожены. Во-вторых, проект K9 Finance DAO оперативно внёс адрес хакера в чёрный список, что сделало его токены KNINE практически бесполезными, так как их невозможно продать или передать.

Что будет происходить дальше

В ближайшее время команда Shiba Inu планирует выполнить несколько ключевых шагов для восстановления доверия и безопасности сети. В первую очередь, валидаторы получат back свои ключи, но только после того, как будет полностью подтверждена целостность и безопасность сети. Затем пользователям будет возвращён доступ к функциям стейкинга, но лишь тогда, когда разработчики будут на 100% уверены в их защищённости.

Параллельно будет продолжена работа с партнёрами по отслеживанию и заморозке всех активов, связанных с кошельком хакера. Завершающим этапом станет публикация полного отчёта о расследовании инцидента, который прольёт свет на все детали произошедшего.

Плюсы и минусы ситуации

Как выбрать безопасный проект в DeFi

1. Изучите аудит. Перед тем как вкладывать средства в любой проект, проверьте, проводил ли он независимый аудит своих смарт-контрактов у таких известных компаний, как CertiK, PeckShield или Quantstamp.
2. Анализируйте механизм управления. Узнайте, как устроено управление проектом. Децентрализованные системы, где валидаторы независимы, часто устойчивее к атакам.
3. Диверсифицируйте риски. Никогда не храните все свои активы в одном месте, особенно в стейкинге или в пулах ликвидности одного проекта. Используйте несколько надёжных кошельков и сервисов.
4. Следите за новостями. Подпишитесь на официальные каналы проектов, в которые инвестируете. Оперативное оповещение о проблемах поможет вам быстро отреагировать.

Мифы и правда

Миф: Если проект популярен, как Shiba Inu, его технологии полностью безопасны.

Правда: Любой, даже самый крупный проект в сфере криптовалют и DeFi, может содержать уязвимости. Популярность не равна абсолютной безопасности.

Миф: Страхование депозитов в DeFi работает так же, как в банках.

Правда: В большинстве случаев у пользователей DeFi нет страховки на случай взлома. Возмещение ущерба зависит solely от решений команды проекта и успешного отслеживания средств.

FAQ

Как выбрать безопасный мост для перевода средств?

Обращайте внимание на время существования моста, его общий объём заблокированных средств (TVL) и количество проведённых аудитов. Предпочтение стоит отдавать более старым и проверенным решениям.

Сколько стоит аудит смарт-контракта?

Стоимость профессионального ауита может варьироваться от нескольких десятков до сотен тысяч долларов в зависимости от сложности кода и престижа компании-аудитора.

Что лучше: хранить средства на бирже или в DeFi-стейкинге?

У обоих вариантов есть риски. Биржи могут быть взломаны или заблокировать аккаунт. DeFi-протоколы могут содержать ушибвимости в коде. Оптимально — диверсифицировать хранение активов.

Исторический контекст

Атаки на мосты между блокчейнами, к сожалению, не редкость в криптоиндустрии. Это стало своеобразным "проклятием" межсетевого взаимодействия.

1. 2022 год, август: Взлом моста Nomad, потери составили $190 млн.
2. 2022 год, июнь: Атака на гарвардский мост Horizon, ущерб — $100 млн.
3. 2022 год, март: Легендарный взлом моста Ronin Network, при котором было похищено рекордные $625 млн.

Каждый такой инцидент заставляет индустрию развивать новые, более безопасные стандарты и протоколы для передачи активов.

Ошибка → Последствие → Альтернатива

Ошибка: хранение всех активов в стейкинге одного малознакомого протокола.

Последствие: высокий риск полной потери средств в случае взлома или ошибки в коде.

Альтернатива: использование аппаратных кошельков (Ledger, Trezor) для долгосрочного хранения основных средств и диверсификация стейкинга между несколькими проверенными проектами с лидером рынка — Ethereum.

Три интересных факта

1. За последние три года общие потери от взломов мостов превысили $2,5 миллиарда.
2. Технология флеш-кредитов, используемая хакерами, изначально была создана для арбитражных сделок и считается легальным инструментом в DeFi.
3. Для полного взлома моста Ronin хакерам потребовалось скомпрометировать всего 5 из 9 ключей валидаторов.

А что если…

А что если подобные атаки приведут к ужесточению регулирования со стороны государств? Это может иметь двоякий эффект. С одной стороны, это может повысить безопасность для рядовых пользователей за счёт введения обязательных лицензий и аудитов. С другой — это может уничтожить саму суть децентрализованных финансов, основанных на свободе и анонимности.