За последние несколько лет взлом криптовалютных проектов стал повсеместной и серьёзной угрозой, что привело к кражам на миллиарды долларов у них и выявлению уязвимостей во всей экосистеме.
2022-й стал самым большим годом за всю историю краж криптовалют: было украдено $3,7 миллиарда. Однако в 2023 году объём украденных средств сократился на 54,1% — до $1,7 млрд, хотя количество отдельных инцидентов взлома выросло — с 219 в 2022-м до 231 в 2023-м.
https://www.chainalysis.com/blog/crypto-hacking-stolen-funds-2024/
Давайте разберёмся, почему криптопроекты стали лакомой целью для кибератак хакеров со всего мира.
В Сети много красивых историй про взлёты криптопроектов, которые прилично обогащают их основателей. Вот почему многие предприниматели, никак не связанные с криптовалютами, хотят открыть свой криптобизнес.
Для реализации подобных проектов зачастую привлекаются технические команды, не имеющие релевантного опыта в криптовалютах. Такие команды не обладают навыками защиты криптоприложений и построения правильной архитектуры.
Эта критическая ошибка основателей приводит к появлению множества уязвимостей, чем и пользуются взломщики. Эти обычно не действуют сразу, как только обнаружили уязвимости, а выжидают удобного момента. Когда проект значительно наращивает оборот, тогда и происходит атака, которая приводит к серьёзному ущербу.
Мы встречали основателей, которые начинали создавать проект без составления детального технического задания и проектирования интерфейса, при этом привлекая низкоквалифицированную команду. В определённый момент заказчик понимает, что получается совсем не то что нужно, и обращается к нам за аудитом. После проведения аудита зачастую приходится принимать решение разрабатывать проект заново, полностью с нуля. К сожалению, в таких случаях затраты на первую команду уже не вернуть.
Ещё одна причина, почему взломщикам так удобны криптовалюты, — децентрализация и большая степень анонимности. Как только транзакция проведена, её невозможно отменить и вернуть назад монеты. В блокчейн-сетях просто нет централизованного органа, к которому можно обратиться с такой просьбой.
При большом ущербе крупные проекты могут поднять шум в сообществе и СМИ, а также привлечь расследовательские компании, которые помогут отследить перемещение украденной криптовалюты. В некоторых случаях это помогает заблокировать адреса злоумышленников и даже вернуть часть средств, если они попадут в централизованные сервисы.
В июле 2022 был взломан Crema Finance, протокол DeFi, построенный на блокчейне Solana, в результате чего украли монеты SOL и ETH на сумму $8,9 миллиона на тот момент. Платформа была вынуждена приостановить работу и стала сотрудничать с фирмой по блокчейн-безопасности Ottersec, чтобы отследить украденные монеты.
Через несколько дней Crema Finance объявила, что начала переговоры с хакером, который согласился вернуть большую часть монет в обмен на вознаграждение за поиск ошибок. По условиям сделки хакер должен был оставить себе вознаграждение только на сумму $800 000, а остальное вернуть. Платформа заявила, что начнёт судебное разбирательство, если тот откажется от предложения.
Как ни странно, злоумышленник удержал гораздо большую часть монет SOL (на ~$1,7 миллиона), но остальные всё-таки вернул (на ~$7,2 миллиона). Тем не менее Crema Finance осталась довольна урегулированием и заявила, что не будет подавать в суд на хакера.
В октябре 2022 был взломан Transit Swap, кроссчейновый агрегатор децентрализованных бирж, в результате чего украли монеты ETH и BNB на сумму $28,9 миллиона на тот момент. Хакер воспользовался внутренней ошибкой в своп-контракте платформы. После обнаружения эксплойта команда Transit Swap Finance стала сотрудничать с такими ИБ-компаниями, как PeckShield, SlowMist, Bitrace и TokenPocket. Благодаря оперативным усилиям они выяснили некоторые подробности о хакере и с каждым шагом подбирались всё ближе.
Под угрозой разоблачения злоумышленник был вынужден начать возвращать украденные монеты. Transit Swap удалось получить от него монеты на сумму $18,9 миллиона, в то время как переговоры по возврату оставшейся части ещё продолжались.
Это редкие случаи с более-менее лёгким исходом. К сожалению, проектам поменьше практически не удаётся вернуть потери.
После взлома хакеры обычно переводят криптовалюту в обменники или биржи, чтобы вывести украденное. В этот момент ещё остаётся возможность заблокировать и вернуть криптовалюту, однако для расследования необходимо содействие администрации биржи, и зачастую счёт идёт на часы. К сожалению, большинство пострадавших сталкиваются с тем, что крупные биржи используют формальный подход, требуя, чтобы с ними связывались правоохранительные органы в рамках официально проводимых расследований. Нет смысла говорить, что полиция просто не представляет себе, как раскрывать криптовалютные преступления, поэтому не занимается их расследованием.
Злоумышленники понимают, что, скорее всего, их не будут преследовать по закону. Это придаёт им дополнительную уверенность и мотивацию.
Нередки также ситуации, когда взлома, о котором сообщает команда проекта, на самом деле не происходило. Просто таким изящным способом команда совершает экзит-скам, то есть присваивает средства пользователей, делая вид, что проект пострадал от хакерской атаки.
Криптовалютная биржа Livecoin объявила о закрытии в январе 2021. Причиной был назван взлом, который якобы произошёл в декабре 2020.
Как сообщалось, хакеры предположительно манипулировали ценами нескольких основных криптовалют, включая биткоин, чей курс на Livecoin подскочил до $500 000. После инцидента пользователи безуспешно пытались вывести свои средства с биржи, что заставило многих поверить в то, что её команда устроила экзит-скам.
Криптовалютный проект Narwhal, запущенный в середине декабря 2023, похоже, потерпел неудачу. В январе 2024 его представители заявили, что их взломали. В X/Твиттере они сообщили, что «хакерская атака» нанесла «значительные потери членам их сообщества», но попросили подписчиков «сохранять доверие к платформе».
Однако фирма по блокчейн-безопасности CertiK, расследующая инцидент, предполагает, что «взлом» мог быть работой инсайдеров: большая часть из якобы украденных $1,5 миллиона отправилась на кошельки, связанные с командой Narwhal.
Запуская криптобизнес, ни в коем случае нельзя экономить на технической команде, иначе такая экономия может очень дорого обойтись впоследствии. Как только ваш продукт станет хоть сколько-то известным, он привлечёт внимание сотен хакерских команд по всему миру. Часть из них имеет слабую квалификацию, но встречаются группировки с большим опытом.
Мы в Polygant разрабатываем криптовалютные проекты уже более 7 лет, так что стали экспертами по противодействию взломам и защите криптоприложений. Будем рады помочь!