Kokomo Financen Exit Scam ja Swerve Financen Hyökkäys Osoittaa Laajan DeFi Hyökkäyksen 2023

Hajaantuneen rahoituksen (DeFi) niukkuus on seurannut merkittävää edistystä siitä lähtien, kun se ilmaantui vakavasti vuoden 2017 tienoilla, mutta ei ilman merkittäviä mustelmia. Tämän puolitoista vuosikymmenen aikana DeFi-tila on kehittynyt nopeasti, kuten heijastuu sen lukittujen arvojen yhteissumman (TVL) luvussa, joka saavutti 180,38 miljardin dollarin huipun joulukuussa 2021 DeFi Llama -datan mukaan. Tämän kryptoalamerkin nopea kasvu, erityisesti viime vuosina, on kirjattu useiden tekijöiden vaikutuksesta, mukaan lukien kryptovarojen kasvava kysyntä ja tarjontaan liittyvät kannustimet.

DeFi kasvukaavio. Lähde: DeFi Llama

Toisaalta, tämä kiihtyvä kasvu ja sitä seuraava likviditeetti ovat samalla houkutelleet epäilyttäviä toimijoita, jotka pyrkivät hyödyntämään alueen haavoittuvuuksia.

Trendi ja luonne krypto- ja DeFi -hyökkäyksistä

Viimeisen kolmen vuoden aikana on ollut kiihtyvä määrä korkean profiilin kryptovarastojen tapahtumia. Useimmat näistä ovat käyttäneet tekniikoita, kuten kryptoskams, rug pulls, flash loans ja DeFi-aiheisia hyökkäyksiä.

DeFi-haavat historiassa

Rug pulls -tapauksissa tekijä (tai tiimi), yleensä kehittäjä, pumpaa projektin tokenin hintaa, ja sitten yllättäen poistaa likviditeetin ennen projektin hylkäämistä. Flash loan -hyökkäykset puolestaan kohdistuvat virheisiin smart contract -pohjaisissa lainapalveluissa ja ovat yleisimpiä. Nämä hyödyntävät flash loanien takauksettomuutta – etukäteen ei vaadita takauksia, mutta lainan saaja on maksettava takaisin saman ketjun transaktiossa. Hyökkääjät lainaavat suuria määriä kryptovaroja DeFi-protokollasta, manipuloivat niiden hintoja yhdellä vaihdantapaikalla ja poistuvat nopeasti asemastaan toisella.

Pieni esitys DeFi-haavojen tyypeistä

Muita DeFi-aiheisia hyökkäyksiä ovat smart contract -virheet, oracle -hyökkäykset ja hallintohyökkäykset. Hallintohyökkäyksissä hakkerit pyrkivät saamaan riittävästi äänioikeuksia, jotta he voivat toteuttaa ehdotuksia, jotka hyödyttävät heidän etujaan.

Krypto- ja DeFi-tietoturvaloukkaukset menneisyydessä

Blockchain-analytiikkayritys Crystal totesi hiljattain julkaistussa raportissaan, että on ollut yli 230 DeFi-haavaa vuodesta 2011 lähtien. 4,18 miljardin dollarin kryptovarojen menetys näissä tapahtumissa on vaikuttanut yhteensä 16,7 miljardiin dollariin varastettuihin kryptovaluuttoihin samalla aikajaksolla. Merkittävästi, Ronin Networkin hyökkäys, jossa hyökkääjä tyhjensi yli 650 miljoonan dollarin arvosta Axie Infinityn siltaa viime maaliskuussa, on edelleen suurin.

Entistä hälyttävämpää on, että vuosittaiset kryptovarkauksiin liittyvät tappiot ovat lisääntyneet siitä lähtien, kun ensimmäinen tapaus Mt Goxin vaihtohyökkäyksestä tapahtui kesäkuussa 2011. Vuoden 2022 kymmenen suurinta DeFi-hyökkäystä (varastettujen varojen mukaan) ylitti yhteensä 2,6 miljardin dollarin. DeFiLlaman hallintapaneeli osoittaa, että DeFi-protokollat menettivät yli 3 miljardia dollaria vuonna 2022, mikä tekee siitä pahimman vuoden tilastossa. Vaikka hyökkäysten tiheys ja vakavuus näyttivät hidastuvan vuoden 2022 lopussa, se on kääntynyt trendiksi vuoden alussa.

Tähän asti vuonna 2023 on ollut 19 krypto- (mukaan lukien DeFi) loukkausta, jossa on varastettu yli 372 miljoonan dollarin arvosta varoja. Jokaisen kuukauden varastetut varat ovat lisääntyneet jatkuvasti tammikuusta lähtien, nousseet 14,6 miljoonasta tammikuussa 142,4 miljoonaan helmikuussa Rekt Database -tietojen mukaan.

Menetetyt ja palautetut varat viimeisen vuoden aikana. Lähde: Rekt Database

Tämä luku on jo ylittänyt kaksinkertaisen maaliskuussa, vaikka siinä on vielä muutamia päiviä jäljellä. On kuitenkin yksi positiivinen puoli. Krypto- ja DeFi-hyökkäysten kautta aiheutuneet tappiot ovat vuoden 2023 ensimmäisellä neljänneksellä vähäisemmät kuin edellisenä vuonna. Arviolta 1,2 miljardia dollaria kryptovaroja menetettiin hyökkäyksille vuoden 2022 ensimmäisellä neljänneksellä.

Suurimmat hyökkäykset tähän asti ja niiden lopputulokset

Merkittäviä DeFi-hyökkäyksiä ovat mm. 120 miljoonan dollarin tyhjennys hajautetusta lainaprotokollasta BonqDAO helmikuussa ja Platypus Financen flash loan -hyökkäys, jossa protokolla menetti 8,5 miljoonaa dollarin arvosta käyttäjien varoja.

Kokomo Financen kehittäjät tekevät exit scamin

Blockchain-analytiikkayritys CertiK Alert julkaisi viime sunnuntaina viestin epäiltynä exit scamista Optimism-pohjaisessa lainaprotokollassa Kokomo Finance. Hälytysväline havainnollisti KOKO-tokenin hinnan laskun ja projektin sosiaalisen median tileiden deaktivoitumisen muutama tunti myöhemmin.

“KOKO-tokenin käyttäjä, osoite 0x41BE, asetti hyökkäyskontraktin cBTC. Sitten asetti palkkionopeuden, keskeytti lainan ja asetti toteutuskontraktin pahantahtoiseksi. CertiK vahvisti myöhemmässä julkaisussa. “Koska toteutuskontrakti on päivitetty pahantahtoiseen cBTC-kontraktiin, hyökkääjä kutsui 0x804edaad-metodia siirtämään sonne WBTC: tä osoitteeseen 0x5C8d. Lopulta osoite 0x5C8d… vaihtoi 7010 sonne WBTC: tä voitoksi (~4M).”

Kokomo Finance oli suhteellisen uusi projekti, joka oli aloittanut toimintansa vasta 25. maaliskuuta.

Kokomo Financen ketjuarviointiraportti

Turvallisuuden arvio, jonka smart contract -tarkastusyhtiö 0xGuard suoritti protokollalle maaliskuun alussa, osoitti “läpäisy” -tuloksen useimmilla osa-alueilla paitsi “Koodi ilman vaikutuksia” ja “typografiset virheet”. KOKO-tokenin hinta on romahtanut lähes nollaan varojen tyhjennystä seuraten.

Hyökkääjä yrittää “voitollista valkoista hattua” -strategiaa kuolleen Swerve Financen kimppuun

Toisessa tapauksessa tällä kuulla Twitterin käyttäjät havaitsivat epäilyttävän toiminnan Swerve Financen ympärillä, joka on kuollut Ethereum-pohjainen forkkaus hajautetusta vaihdantapaikasta Curve. Swerve Financen hallintohyökkäys on nyt toisella viikollaan, kun hyökkääjä yritti saavuttaa vaaditun quorumin.

Hyökkääjä loi äänestystä tavoitteenaan vaatia delegoivaa kontraktia 1,3 miljoonan dollarin stabiileilla varoilla DAI-USDC-USDT-rahastosta. Pitkässä ketjussa Wintermute-tutkimuksen johtaja Igor Igamberdiev teoretisoi, että oli tarpeeksi näyttöä hyökkääjän jäljittämiseksi. Igamberdiev paljasti hyökkääjän identiteetin, joka oli silvavaultin omistaja, henkilö, joka oli vastuussa hyökkäyksestä myöhemmissä julkaisuissa.

Igamberdiev tarjosi ketjujäljet, mukaan lukien Tornado Cashin kautta reititettyjä transaktioita, jotka liittyivät tiettyyn yksilöön. Syytetty, jonka Twitter-tili paljastettiin joaorcsilvaksi, vastasi syytöksiin, perustelee, että hänen tekojensa taustalla ei ollut ulkoisia motiiveja.

Euler Finance -hakkeri luovuttaa merkittävän osan varastetuista varoista

Erillisessä tapauksessa hyökkääjä varasti noin 197 miljoonan dollarin arvosta kryptovaroja 13. maaliskuuta, mikä on osoittautunut dramaattiseksi tapaukseksi. Vaikka DeFi-protokollan tiimi onnistui ratkaisemaan ongelman aikanaan, he eivät voineet palauttaa varastettuja varoja. Yritykset ottaa yhteyttä ja löytää kompromissi epäonnistuivat, mikä johti 1 miljoonan dollarin palkkioon kaikille, jotka voisivat johtaa hänen pidätykseensä.

Euler Finance -hyökkäystransaktiot. Lähde: Twitter/BlockSec

Hyökkääjä palautti 3 000 ETH-tokenia Ethereum-pohjaiselle lainaprotokollalle 18. maaliskuuta kolmessa transaktiossa, säilyttäen edelleen merkittävän summan.

Viime viikonloppuna hyökkääjä lähetti noin 51 000 Etheriä deployer-osoitteeseen. Samana päivänä, 25. maaliskuuta, hyökkääjä suoritti toisen transaktion, jossa hän lähetti 7737 ETH deployerille. Tähän asti hyökkääjän osoite on palauttanut yli puolet varastetusta summasta. Uusimmat kehityssuunnat nostivat hinnan 2,50 dollarista yli 4,30 dollariin, ennen kuin se palasi 3,80 dollariin, missä se viimeksi nähtiin.

Eulerin hinta. Lähde: TradingView

Merkittävästi, sekä Euler Finance – että Ronin Network -hyökkääjät käyttivät coin-mixeriä.

US ja kansainväliset viranomaiset keskittävät huomionsa coin-mixereihin niiden roolin vuoksi rahanpesussa

Tämän kuun alussa Euroopan unionin lainvalvontavirasto ilmoitti takavarikoinneensa 46 miljoonaa dollaria ChipMixeriltä rahanpesusyytöksistä. Europol-virasto, yhdessä FBI:n ja Saksan viranomaisten kanssa, väitti, että krypto-mixer oli mahdollistanut 152 000 bitcoinin (noin 3 miljardin dollarin) pesun viiden viime vuoden aikana. US:n lainvalvontaviranomaiset ilmoittivat, että he olivat saaneet haltuunsa 1 909,4 bitcoinia ja määränneet myös coin-mixerin tukipalvelimien sulkemisen. Tämä pakkotoimi on seuraus vastaavia rajoittavia määräyksiä, jotka on asetettu Tornado Cashille.

Jälkimmäinen coin-mixer on myös joutunut US-viranomaisten kritiikin kohteeksi tämän vuoden aikana sen roolin vuoksi rikollisuuden helpottamisessa ja transaktioiden jäljittämättömyyden mahdollistamisessa laittomissa toimissa. US:n oikeusministeriö ilmoitti aiemmin tänä vuonna sanktioita kryptosuojeluvälineitä vastaan, mikä herätti kriittisiä kommentteja joistakin alan osapuolista. Tämä ei ole ensimmäinen tapaus krypto-hyökkäyksistä, jossa on ollut viranomaisten osallistumista.

FBI määrittää Lazarus Groupin vastuulliseksi 100 miljoonan dollarin Harmony Bridge -hyökkäyksestä

Viime kesänä, vuonna, jolloin varastettiin ennätyksellisiä määriä siltohyökkäyksissä, Harmony Bridge menetti noin 100 miljoonan dollarin arvosta Etheriä. Tuolloin virallinen ilmoitus Harmonyn, layer 1 PoS -blockchainin, joka on yhdistetty Ethereumiin sillan kautta, kertoi, että he työskentelevät viranomaisten kanssa selvittääkseen hyökkäyksen syyn ja palauttaakseen varat. FBI vahvisti, että maineikkaat Pohjois-Korean valtion tukemat hakkeriryhmät Lazarus Group ja APT38 olivat vastuussa hyökkäyksestä. Väitteet merkitsivät ensimmäistä kertaa, kun US-hallitus on virallisesti syyttänyt ryhmää Harmony-hyökkäyksestä. Blockchain-asiantuntijat, jotka suorittivat ketjujäljestystä, liittivät hyökkäyksen samaan tekijään.

Lazarus Group on myös yhdistetty muihin rikoksiin, mukaan lukien Axie Infinityn Ronin Bridge -hyökkäys viime vuonna, aikana, jolloin hallitus varoitti, että krypto-yhtiöt tulisivat olemaan hakkerien kohteina. FBI kertoi myös, että 13. tammikuuta Pohjois-Korean hakkerit käyttivät RAILGUNia, salausprotokollaa, peittääkseen 60 miljoonan dollarin arvosta Etherin pesun, joka lähetettiin krypto-vaihtopaikkoihin ja muunnettiin Bitcoiniksi. Kuitenkin transaktioseurannan ja analyysin kautta osa näistä varoista tunnistettiin, jäädytettiin ja palautettiin virtuaalivaluutan palveluntarjoajien (VASP) toimesta. Jäljelle jääneet, vielä palauttamattomat varat on siirretty 11:een erilliseen Ethereum-osoitteeseen, FBI:n mukaan.

Wormhole-sillan hyökkäyspäivitys

Hyökkääjä siirtää 155 miljoonaa dollaria varastettuja varoja ja lisää

Yksi suurimmista kryptoalan loukkauksista vuonna 2022 heräsi eloon tänä vuonna, siirtäen yli 155 miljoonaa dollaria varastettuja varoja. Transaktio, joka on ensimmäinen useaan kuukauteen, tavoittelee pitkän aikavälin ETH-positiota. Helmikuussa krypto-yhteisö havainnollisti ketjujäljet, jotka osoittivat, että Wormhole Portal Token Bridgen hakkeri, joka varasti yli 321 miljoonan dollarin arvosta Etheriä (120 000 wETH), oli ollut aktiivinen.

Hyökkääjän transaktioketju alkoi osoitteensa konsolidoimisella Etherillä, minkä jälkeen se aloitti vaihdon 95 630 tokenia vastineeksi 96 677 Lido staked Ether (stETH) avoimella decentralized exchange -aggregaattorilla OpenOcean.

Myöhemmin hakkeri pakkausi 86 473 stETH:ä Lidon nesteyttämättömään tokeniin (wstETH). Uusista wstETH-tokeneistaan hän tarjosi 25 000 wsETH:ä vastineeksi 13 miljoonaa DAI:ta. Hyökkääjä käytti DAI:ta saadakseen 8 000 stETH:ä Ethereum-pohjaisella DEX Kyber Networksillä ja suoritti useita muita vastaavia kauppoja DeFi-protokollien kautta, kuten 1Inch, jatkaen samalla lisäämistään. Laiton toimija sai myös 1,5 miljoonan dollarin arvosta DAI:ta, joka vaihdettiin 923 stETH:ksi.

61 miljoonaa dollaria siirrettiin etsimään arbitraasia Ether-kiinnitettyjen varojen kanssa

Viime kuussa Wormhole-hyökkäyksen aikana varastetut krypto-varat olivat myös liikkeessä. PeckShield havaitsi, että hyökkääjän liitetty osoite näki toimintaa helmikuussa, jossa siirrettiin yhteensä 46 miljoonan dollarin arvosta krypto-varoja. Hyökkääjän ensisijainen hyökkäys johti yli 320 miljoonan dollarin arvosta Wrapped ETH (wETH):n varastamiseen helmikuussa 2022. Toimija siirsi 95 630 ETH:ta, arvoltaan 155 miljoonaa dollaria, 12. helmikuuta, lähettäen ne avoimeen vaihtoaggregaattoriin OpenOcean DEXiin, ja muunsi ne ETH:hen sidottuihin varoihin – Lido wstETH ja stETH.

Blockchain-turva-alan yritys huomautti myös, että hyökkääjä näyttää etsivän tuottoa tai arbitraasia mahdollisuuksia varastetuilla varoilla, jotka vaihdettiin 16,6 miljoonaksi DAI:ksi, MakerDAO:n stabiiliksi kolikoksi. Hyökkääjä käytti 8,8k wstETH:ta (15 miljoonaa dollaria) MakerDAO:hon. Wormhole toisti tarjouksensa hyökkääjälle palauttaa varat ja vastaanottaa 10 miljoonan dollarin palkkion.