Угрозы взломов DeFi: почему протоколы кредитования остаются главными целями атак

Область взломов DeFi превратилась в сложную угрозу, при этом протоколы кредитования становятся наиболее часто взламываемым сектором в децентрализованных финансах. Недавний анализ безопасности показывает, что приложения для кредитования составляют примерно 25% всех инцидентов DeFi, что создает непропорциональную поверхность атаки по сравнению с другими категориями протоколов. Такая концентрация рисков обусловлена значительным капиталом, заблокированным в этих платформах, и их внутренней технической сложностью.

Экономика атак на протоколы кредитования в DeFi

Протоколы кредитования привлекают злоумышленников через множество векторов атак. Эти платформы обычно хранят крупные резервы стейблкоинов и залоговых активов, таких как ETH и BTC, что делает их привлекательными целями для опытных злоумышленников. Отсутствие ограничений на блокчейне и автоматизация с помощью смарт-контрактов увеличивают уязвимость. В модели взлома DeFi доминируют три основных механизма эксплуатации:

Атаки с использованием флеш-займов используют атомарные свойства транзакций в блокчейне, позволяя злоумышленникам манипулировать рыночными условиями за один блок. Эти временные вливания капитала могут дестабилизировать ценовые механизмы и вызвать непреднамеренные ликвидации в связанных протоколах. Уязвимости оракулов цен — еще один важный вектор, как показано в случае инцидента Moonwell, задокументированного Cryptopolitan: сбои в данных о ценах позволяют напрямую выводить средства. Кроме того, некоторые протоколы кредитования выпускают новые токены в качестве механизма начисления процентов, что создает возможности для эксплойтов с выпуском токенов, расширяя поверхность атаки за пределы традиционных смарт-контрактов.

Уязвимости смарт-контрактов как основная причина потерь

Анализ инцидентов безопасности показывает, что технические дефекты являются основной причиной потерь в DeFi. За последние 12 месяцев было зафиксировано около 48 инцидентов, в которых из-за ошибок в смарт-контрактах было потеряно примерно 526 миллионов долларов. Этот тип технических сбоев стал крупнейшим драйвером потерь, уступая по значимости взломам приватных ключей и нарушениям мультиподписных кошельков.

Данные вызывают тревогу: протоколы кредитования в настоящее время обеспечивают более 53 миллиардов долларов заблокированного общего капитала, однако остаются под постоянной угрозой. Интересно, что даже протоколы с завершенными аудитами безопасности становились жертвами серьезных эксплойтов, потеряв в совокупности около 515 миллионов долларов. Уязвимости вне рамок аудита привели к ущербу в 193 миллиона долларов, а неаудированные смарт-контракты — еще 77 миллионов долларов по 24 инцидентам. Анализ топ-30 взломов DeFi показывает, что 58,4% случаев связаны с уязвимостями в неаудированном коде. Атаки на манипуляцию ценами стали особенно заметными, зафиксировано 13 инцидентов, приведших к потерям в 65 миллионов долларов за последний период.

Многоуровневые проблемы безопасности, выходящие за рамки аудитов

Стандартные процессы аудита, хотя и важны для снижения рисков, не могут устранить все векторы взломов DeFi. Сложность приложений на блокчейне обусловлена множеством источников данных и сложными взаимодействиями смарт-контрактов, выходящими за пределы одного аудита. Многие мелкие протоколы и конкретные реализации сейфов остаются уязвимыми именно потому, что их безопасность контролируется ограниченно.

Второй уровень угрозы — это непосредственная атака на конечных пользователей. Новые клонированные DEX иногда маскируются под децентрализованные платформы, но фактически хранят депозиты пользователей централизованно, взимая сборы за вывод средств, что эксплуатирует доверие конечных пользователей. Это отдельная категория угроз, связанная с DeFi, которая дополняет технические уязвимости.

Понимание этих многоуровневых рисков взломов DeFi требует постоянного мониторинга безопасности. Разработчики протоколов должны внедрять надежные системы контроля, поддерживать механизмы экстренной остановки и обеспечивать прозрачность в вопросах раскрытия уязвимостей.