Podle zprávy společnosti Hacken zabývající se kybernetickou bezpečností došlo ve třetím čtvrtletí k nejmenším ztrátám způsobeným hackováním, které toto odvětví zaznamenalo za poslední tři roky. Při 28 incidentech bylo ukradeno asi 460 milionů dolarů. Přesto byla míra návratnosti nejnižší za poslední roky, pouze 5 %. Hacken rozebírá tato data spolu s širším stavem zabezpečení Web3 ve 3. čtvrtletí. Pojednává také o hlavních typech útoků, nejvíce postižených kategoriích projektů a strategiích pro zmírnění. 

Stáhněte si zdarma plnou verzi zprávy zde

Nejškodlivější zůstávají útoky na kontrolu přístupu

Využití mechanismů kontroly přístupu představovalo 316 milionů dolarů, neboli téměř 70 % celkových prostředků ukradených v kryptohackech ve 3. čtvrtletí. Pachatelé takových útoků získávají kontrolu nad klíči, které ovládají chytré kontrakty. Jakmile mají klíče pod kontrolou, mohou vybírat prostředky ze smlouvy do svých peněženek nebo upgradovat implementaci smlouvy o zastoupení a aktivovat funkci výběru.

Ztráty napříč různými typy útoků v roce 2024. Zdroj: Hacken

Zranitelnost inteligentních smluv byla druhá ve ztrátách ve třetím čtvrtletí. Inteligentní smlouvy jsou někdy zranitelné vůči reentrancy útokům, které zahrnují vícenásobné volání funkce výběru, zatímco se stav smlouvy před provedením výběru finančních prostředků řádně neaktualizuje. Tento typ útoku je zvláště škodlivý pro protokoly s fondy likvidity, protože mohou být vyčerpány sérií více rekurzivních volání v jediné transakci. Minterest utrpěl jeden ze tří reentrancy útoků ve 3. čtvrtletí a utrpěl ztrátu 1,46 milionu dolarů. Provedení hacku je podrobně popsáno ve zprávě. 

Stáhněte si zdarma plnou verzi zprávy zde

Největší ztráty utrpěly centralizované burzy

Centralizované burzy byly nejvíce využívanými projekty z hlediska objemu finančních prostředků. Největší hack byl do WazirX India 18. července, kdy byla kompromitována jeho multisig peněženka Ethereum. Hacker zmanipuloval multisig peněženku burzy tak, že získal tři podpisy od zaměstnanců a jeden od společnosti Liminal, poskytovatele úschovy digitálních aktiv. Se čtyřmi podpisy ze šesti dokázal herec vysát přes 230 milionů dolarů. Ukradené finanční prostředky se zatím nepodařilo získat zpět. Burza a Liminal provedly nezávislé audity, ale nenašly žádné narušení bezpečnosti, což vyvolalo debatu o možné vnitřní práci.

Především kvůli velikosti hacku WazirX zaznamenaly exploity centralizovaných burz nejvyšší ztráty ve 3. čtvrtletí. Další ve statistikách jsou hacky agregátorů výnosů a zkřížené řetězové mosty. Přesto byly mosty ohroženy pouze třikrát. Jednou z obětí byl Ronin Bridge, ale naštěstí pro jeho uživatele provedl tuto škodlivou transakci robot MEV s bílým kloboukem a krátce poté peníze vrátil.

Ztráty způsobené kryptohacky napříč různými typy projektů: Zdroj: Hacken

Protokoly o půjčkách a výpůjčkách byly ve třetím čtvrtletí připraveny o 19,6 milionu dolarů. Dokonce i lídr v oboru Aave se stal obětí zneužití smlouvy o periferii, což vedlo ke ztrátě 56 000 $. Útok na Aave byl proveden v jedné transakci, což znamená, že jej nebylo možné zpozorovat ani zastavit. Většina zneužití decentralizovaného financování (DeFi) zahrnuje více transakcí, jako je například zákeřná aktualizace proxy nebo po sobě jdoucí výběry z fondu. Důsledky takových exploitů mohou být zmírněny, pokud je stav smart kontraktů neustále monitorován a jsou okamžitě přijímána opatření. 

Systém Automated Incident Response Strategy vyvinutý společností Hacken lze upravit tak, aby poskytoval takovou ochranu. Může být spuštěn k pozastavení chytré smlouvy, pokud jsou splněny určité podmínky, nebo ke zmrazení prostředků vybraných při podezřelé transakci. Podle Hackena by asi 28,7 % ztrát z DeFi hacků mohlo být zabráněno, kdyby cílové společnosti používaly systémy monitorování a automatizovaného hlášení incidentů. 

Stáhněte si zdarma plnou verzi zprávy zde

Využití Nexera — případová studie

Podvodník zneužil protokol DeFi Nexera a vyčerpal 47,2 milionů NXRA, nativní token platformy. Podařilo se mu vyměnit 15 milionů NXRA, než se týmu podařilo pozastavit smlouvu. Útok měl za následek ztrátu 1,5 milionu dolarů. 

Díky strategii Automated Incident Response Strategy od společnosti Hacken mohla být funkce pozastavení naprogramována tak, aby se aktivovala okamžitě po upgradu proxy. Jakmile je aktivována funkce pauzy, nelze převádět žádné tokeny, což znamená, že ukradené prostředky nelze vyměnit. Pět dalších takových případů, ve kterých by strategie automatizované reakce na incident fungovala, je diskutováno ve zprávě. Mezi ně patří reentrancy útok na Penpie, který způsobil ztráty ve výši 27 milionů dolarů, a zneužití Roninského mostu, jehož výsledkem bylo 12 milionů dolarů vysátých z protokolu. 

Hackerům, kterým bylo možné předejít pomocí strategie automatizované reakce na incidenty. Zdroj: Hacken

Názory vyjádřené v tomto článku jsou pouze pro obecné informační účely. Nejsou určeny k tomu, aby poskytovaly konkrétní rady nebo doporučení pro jednotlivce nebo pro jakýkoli konkrétní cenný nebo investiční produkt.