В последние годы количество краж DeFi выросло астрономически. Согласно отчету Chainalysis о криптопреступности за 2022 год, количество взломов DeFi более чем удвоилось в период с 2020 по 2021 год со 117 до 250. Эти взломы, также, были гораздо более “ценными”: было украдено около 3,2 миллиарда долларов в криптовалюте по сравнению с примерно 800 миллионами долларов в предыдущем году, что на 1330% больше.
Многие различные причины способствовали росту взломов DeFi. Вот 5 причин, по которым эти взломы DeFi становятся все более распространенными и дорогостоящими.
1. Более широкое внедрение DEFI
Одна из причин, по которой количество и стоимость взломов DeFi растут, заключается в том, что просто становится больше денег, которые можно украсть. В конце 2020 года общая заблокированная стоимость протоколов DeFi (TVL) составляла около 25 миллиардов долларов. Год спустя в проектах DeFi было около 88 миллиардов долларов.
Это увеличение в 3,5 раза лишь немного ниже, чем 4-кратный рост стоимости взломов DeFi за тот же период. Это указывает на то, что объем стоимости, украденной из проектов DeFi, примерно соответствует росту стоимости этих проектов.
2. Открытый исходный код
DeFi построен на основе подхода с открытым исходным кодом, и большинство проектов DeFi открывают исходный код для анализа и повторного использования другими проектами. В результате, многие проекты DeFi создаются с использованием компонентов, разветвленных или скопированных из существующих проектов.
Такое использование открытого исходного кода может принести значительные преимущества. Например, библиотечные контракты OpenZeppelin отличаются высоким качеством и позволяют пользователям избегать распространенных уязвимостей смарт-контрактов.
Однако, у открытого исходного кода есть и свои недостатки. Благодаря низкому барьеру для входа, мошенникам легче внедрять проекты для извлечения прибыли, что позволяет им красть ценности, вложенные пользователями.
Повторное использование кода также может привести к появлению уязвимого кода в нескольких местах или создать ложное ощущение безопасности, если проект DeFi использует надежные библиотеки, но изменяет их, как это было в случае взлома Qubit.
3. Широко распространенные уязвимости
Еще одним преимуществом открытого исходного кода является то, что злоумышленникам легче выявлять уязвимости, существующие в коде смарт-контрактов. Имея доступ к исходному коду приложения, злоумышленники могут искать уязвимости и использовать инструменты статического анализа кода для поиска ошибок.
Эксплуатация уязвимостей является растущим вектором атак в пространстве DeFi. В период с 2020 по 2021 год, доля эксплойтов кода выросла с примерно 40% до более чем 50% атак. В 2019 году атака с использованием кода была относительно неизвестна в пространстве DeFi.
4. Сложность экосистемы
Платформы смарт-контрактов уже представляют собой сложные экосистемы. Смарт-контракты – это программы, которые работают поверх блокчейна и могут взаимодействовать с другими программами на основе блокчейна. Повышенная сложность делает безопасность более сложной задачей.
По мере того, как пространство DeFi становится все более зрелым, сложность этих протоколов и их взаимодействий продолжает возрастать. Сегодня протоколы DeFi реализуют сложную функциональность, а мосты позволяют взаимодействовать между смарт-контрактами, размещенными в других блокчейнах. Эта повышенная сложность повышает вероятность ошибок бизнес-логики и затрудняет выявление и исправление уязвимостей в реализациях смарт-контрактов.
5. Отсутствие проверок безопасности
Аудит безопасности имеет важное значение для обеспечения безопасности проектов DeFi. Эти аудиты могут помочь выявить уязвимости смарт-контрактов и проблемы с бизнес-логикой до того, как они будут развернуты в блокчейне и подвергнут риску проект и его пользователей.
Отсутствие аудита смарт-контрактов является одной из основных причин роста числа взломов DeFi. Из десяти самых дорогих взломов DeFi в 2021 году ни один не прошел проверку безопасности. Этот “тестовый” подход к обеспечению безопасности DeFi привел к убыткам в размере более 1 миллиарда долларов только от этих десяти проектов.