19/07/22
Компания Beosin, занимающаяся безопасностью Web 3, недавно выпустила отчет по безопасности за второй квартал 2022 года. В отчете рассматривались последние хакерские атаки и эксплойты в секторе блокчейн. Выяснилось, что за прошедший период в результате эксплойтов потеряно более 718 миллионов долларов. Большинство атак совершено в секторе децентрализованных финансов (DeFi).
В отчете, подготовленном в сотрудничестве с Footprint Analytics, названы 48 крупных атак, которые стали причиной огромных потерь. Только три из них (Beanstalk Farms, Elrond и Harmony) нанесли убытки на сумму более 100 миллионов долларов каждая, а 28 компаний потеряли от 1 до 10 миллионов долларов.
Убытки во втором квартале технически на 40% меньше по сравнению с первым кварталом 2022 года (почти $1,2 млн. потерь), но в 2,42 раза больше, чем в первом квартале 2021 года ($296,56 млн.), поясняет Securitylab. Кроме того, на потери в первом квартале 2022 года, вероятно, повлиял скандально известный взлом Ronin Bridge, который принес злоумышленникам более $600 млн.
Самым активным месяцем оказался апрель, когда произошло "19 крупных инцидентов безопасности" и потери составили более $374 млн. В мае убытки значительно снизились вместе с ценой биткоина. Однако в июне произошел интересный всплеск, несмотря на продолжающееся падение рынка.
"В мае во всех цепочках и атакованных проектах наблюдалось значительное снижение стоимости TVL (total value locked)", - говорится в отчете. "Большинство проектов испытали снижение TVL сразу после атаки".
Децентрализованные финансы (DeFi) были главной целью хакеров Web-3. В этом секторе в прошлом квартале произошло около 79,2% атак, на которые пришлось 63,3% потерь. Наиболее распространенным вектором атак стало использование уязвимостей в коде смарт-контрактов, что принесло злоумышленникам в общей сложности $138 млн.
Взломщики также использовали флэш-кредиты в качестве точки входа для эксплуатации протоколов DeFi. Флэш-кредиты — кредиты, которые не требуют залога, но должны быть выплачены в течение короткого времени. Хакеры используют кредиты, чтобы получить контроль над управляющим токеном протокола. Впоследствии злоумышленники могут внести в него вредоносные изменения. Эксплойты флэш-кредитов во втором квартале 2022 года привели к убыткам в размере 233 миллионов долларов.
Еще $131,15 млн были потеряны из-за компрометации закрытых ключей, безопасность которых "остается проблемой".
Ethereum в последнем квартале зафиксировал убытки в размере $381,35 млн - больше, чем любая другая цепочка. По данным Defi Llama, почти $48 млрд все еще заблокированы в протоколах Defi на Ethereum, из $77,11 млрд по всей экосистеме.
Второе место заняла Binance Smart Chain (BSC; также известная как BNB Chain), в которой заблокировано всего $6,21 млрд. Однако в разбивке по объему крупных атак на цепочку BNB пришлось 26 атак - более половины.
По данным отчета, во втором квартале более половины похищенных средств ($418,89 млн.) отправлены на Tornado Cash - криптовалютный микширующий сервис, который помогает ворам замести следы на блокчейне. Из них удалось вернуть активы на сумму $131 млн.
