Loš travanj za kriptoindustriju: pod hakerskim napadima 29 projekata

Travanj je bio loš mjesec za kripto industriju. Tijekom proteklog mjeseca, 29 kripto projekata pretrpjelo je hakerske napade, što je najveći mjesečni broj u povijesti industrije, prema podacima DefiLlame. Među njima su se istaknula dva: hakiranje mjenjačnice na Solani Drift i aplikacije za ponovno staking na Ethereumu Kelp DAO, što je rezultiralo ukupnim gubitkom od 579 milijuna dolara.

Situacija je izazvala krizu povjerenja među najvatrenijim zagovornicima industrije i navela ih da se zapitaju jesu li kompromisi svojstveni decentraliziranoj tehnologiji vrijedni truda. Posljednjih godina broj kripto hakerskih napada i iznosi ukradenih sredstava povećali su se. Smatralo se da je brzorastući i eksperimentalni DeFi prostor, nekoć poznat po ranjivostima, sazrio. Ali sada je ponovno u središtu pozornosti, i to ne iz pravih razloga.

- Trenutno se čini da je DeFi primarna meta. Općenito, sve se sada preusmjerilo na hakiranje ljudi, a ne sustava - rekao je Michael Pearl, potpredsjednik strategije u tvrtki za kripto sigurnost Cyvers.

Pojedinačne točke hakiranja

Problem je, prema Michaelu Egorovu, osnivaču DeFi protokola Curve Finance i Yield Basis, centralizacija. - Moramo smanjiti broj pojedinačnih točaka koliko god je to moguće. Cilj DeFi dizajna trebao bi biti minimiziranje točaka usmjerenih na čovjeka, a ne njihovo povećanje - rekao je Egorov. Napadi na Drift i Kelp DAO na kraju su se sveli na centralizirane slabe točke.

Sjevernokorejski hakeri kompromitirali su dva zaposlenika tvrtke Drift putem složene kampanje socijalnog inženjeringa. To im je dalo moć da unesu administratorske promjene u protokol, što im je omogućilo da ukradu oko 285 milijuna dolara od korisnika. Što se tiče Kelp DAO-a, instanca kripto mosta LayerZero na koji se protokol oslanjao bila je konfigurirana tako da zahtijeva samo jednog operatera, što su hakeri iskoristili za krađu 273 milijuna dolara.

Ipak, centralizacija nije jedini način na koji DeFi protokoli bivaju uhvaćeni. Prošlog mjeseca, 24 od 29 incidenata, gotovo 83 posto, uzrokovano je greškama u kodu. Stručnjaci za kripto sigurnost prethodno su rekli da napredak u umjetnoj inteligenciji čini hakerske napade jeftinijima, lakšima i bržima na DeFi protokole.

Zlonamjerni akteri sada koriste velike jezične modele koji pokreću AI chatbotove poput ChatGPT-a i Claudea za pretraživanje tisuća redaka koda u sekundi. Prije su to morali raditi ručno. Iako su greške u kodu glavni uzrok većine hakerskih napada, one su činile samo 42 milijuna dolara od 635 milijuna dolara gubitaka u travnju, oko 6,6 posto.

Nije najveći gubitak

Unatoč rekordnih 29 hakerskih napada, travanj nije bio najgori mjesec po količini izgubljenih sredstava. U prosincu 2020. hakeri su navodno ukrali oko 3,5 milijardi dolara. Ipak, travanj se često smatra izuzetkom jer velika većina te brojke dolazi od hakiranja novčanika koji pripadaju LuBianu, tvrtki za rudarenje bitcoina.

Ni LuBian ni osumnjičeni haker nikada nisu javno priznali proboj, a on je ostao nezapažen gotovo pet godina. Arkham Intelligence, blockchain platforma za podatke koja je otkrila hakiranje, rekla je da je vjerojatno posljedica LuBianova korištenja neispravnog algoritma za generiranje privatnog ključa koji ga je učinio podložnim napadima.

Sljedeći najveći gubitak dogodio se u veljači prošle godine kada su sjevernokorejski hakeri ukrali 1,5 milijardi dolara s kripto mjenjačnice Bybit. Osim toga, hakeri su u kolovozu 2021., ožujku 2022. i listopadu 2022. ukrali nešto više nego u travnju.