I più grandi hack nel DeFi degli ultimi anni. Come gli hacker aggirano la protezione

I grandi attacchi ai progetti crypto continuano a esercitare pressione sul segmento della finanza decentralizzata (DeFi). L'ultimo incidente significativo è stato l'attacco al protocollo Drift.
Questo non è un caso isolato per la finanza decentralizzata. Incidenti simili portano regolarmente a perdite di centinaia di milioni di dollari e colpiscono la stabilità dell'intero segmento. Tuttavia, le vulnerabilità si manifestano ogni volta in diverse parti dell'infrastruttura.
Abbiamo raccolto cinque hack di grande successo che hanno avuto un impatto nella storia di DeFi.
Drift Protocol
Il 1 aprile 2026, uno dei più grandi protocolli DeFi per il trading di futures perpetui su Solana, Drift Protocol, ha perso circa 285 milioni di dollari. La causa non è stata un errore di codice, ma un attacco complesso in cui l'ingegneria sociale si è combinata con l'uso di funzioni legittime della rete.
La preparazione ha richiesto almeno sei mesi. I criminali, presumibilmente legati agli hacker nordcoreani, si sono spacciati per rappresentanti di un hedge fund, hanno partecipato a conferenze, hanno costruito contatti con i partecipanti di Drift e hanno persino versato nel protocollo oltre 1 milione di dollari per sembrare partner affidabili.
Parallelamente, hanno creato un token falso chiamato CarbonVote Token (CVT), hanno aggiunto una liquidità minima e hanno artificialmente gonfiato il prezzo tramite un aumento del volume delle negoziazioni. Di conseguenza, gli oracoli hanno iniziato a percepire il CVT come un attivo del valore di circa 1 dollaro.
Un ruolo chiave è stato svolto dalla funzione Solana durable nonces, che consente di firmare transazioni in anticipo e di eseguirle dopo un lungo periodo. I criminali hanno avuto accesso ad almeno due chiavi dei membri del Security Council (multisig 2 su 5), il che ha permesso loro di firmare transazioni a nome degli amministratori.
Il 1 aprile, le transazioni pre-preparate sono state eseguite. I criminali hanno ottenuto diritti amministrativi, hanno aggiunto il CVT come garanzia con limiti gonfiati, l'hanno utilizzato per ottenere liquidità e hanno prelevato attivi, tra cui USDC, SOL e cbBTC, per un valore di circa 285 milioni di dollari. L'intera operazione è durata circa 12 minuti.
Questo caso è diventato uno dei più significativi per DeFi, poiché l'attacco era mirato non al codice, ma ai processi di governance e al fattore umano.
Radiant
Il 16 ottobre 2024, il protocollo di prestito Radiant Capital ha perso circa 50 milioni di dollari a causa di uno degli attacchi più complessi in DeFi. La vulnerabilità non era nel codice, ma nella fiducia delle persone e nei loro dispositivi.
L'attacco è iniziato un mese prima dell'hack. Uno degli sviluppatori ha ricevuto un messaggio su Telegram da una persona scambiata per un ex appaltatore. Nell'archivio c'era un presunto rapporto PDF su un recente hack di un altro progetto. Dopo aver aperto il file, un malware si è installato silenziosamente sul dispositivo, infettando poi anche altri membri del team.
Il 16 ottobre, durante la procedura standard di firma delle transazioni tramite multisig, i criminali hanno sfruttato l'accesso ottenuto. Gli sviluppatori vedevano nell'interfaccia operazioni normali, ma in realtà firmavano transazioni che trasferivano il controllo sul protocollo.
Ottenute le firme necessarie, gli hacker hanno preso il controllo dei contratti, li hanno aggiornati a versioni dannose e hanno prelevato fondi da pool su diverse reti, tra cui Arbitrum e BNB Chain. Parte dei fondi è stata anche prelevata direttamente dai portafogli degli utenti a causa delle autorizzazioni precedentemente concesse per accedere ai token.
L'attacco è stato anche collegato agli hacker nordcoreani.
Orbit Chain
Il 31 dicembre 2023, nelle ultime ore dell'anno che se ne va, il ponte cross-chain sudcoreano Orbit Bridge (ecosistema Orbit Chain) ha perso circa 81,5 milioni di dollari a causa della compromissione delle chiavi.
Il protocollo utilizzava multisig per proteggere i fondi, tuttavia il criminale ha ottenuto il controllo su un numero sufficiente di chiavi, presumibilmente 7 su 10. Ciò gli ha permesso di effettuare transazioni legittime e prelevare direttamente fondi dall'Ethereum Vault.
In pochi minuti, i fondi sono stati prelevati tramite diverse transazioni, tra cui ETH, USDT, USDC, WBTC e DAI. L'importo totale è stato superiore alla metà dei fondi nel deposito in quel momento.
Parte dei fondi è stata subito convertita e distribuita a nuovi indirizzi. Prima dell'attacco, uno dei portafogli era stato rifornito tramite Tornado Cash, il che indica un possibile collegamento con il gruppo nordcoreano Lazarus.
Il team di Orbit Chain ha fermato il funzionamento del ponte e ha coinvolto le forze dell'ordine e specialisti di sicurezza. La causa esatta della compromissione delle chiavi non è stata rivelata. Tra le ipotesi si considerano ingegneria sociale, fuga di chiavi o compromissione dell'infrastruttura.
Questo caso ha dimostrato che anche una multisig non protegge se i criminali ottengono accesso alle chiavi private. In effetti, la vulnerabilità non era nel codice, ma nel sistema di gestione degli accessi.
KyberSwap (Kyber Network)
Il 23 novembre 2023, l'exchange decentralizzato KyberSwap (parte dell'ecosistema Kyber Network) ha perso circa 50 milioni di dollari a causa di una vulnerabilità complessa nei contratti intelligenti. A differenza di molti altri casi, l'attacco è stato completamente tecnico e non ha incluso ingegneria sociale o compromissione delle chiavi.
La vulnerabilità si trovava nella meccanica della liquidità concentrata di KyberSwap Elastic, dove la liquidità è distribuita su intervalli di prezzo. Un errore nei calcoli portava a un conteggio errato della liquidità durante le variazioni di prezzo.
L'attacco si è svolto contemporaneamente in diverse reti, tra cui Ethereum, Arbitrum e Polygon. Il criminale ha utilizzato un flash-loan, ovvero un prestito istantaneo senza garanzia, per ottenere una grande somma. Con essa ha artificialmente "pompato" il prezzo all'interno del pool e poi, sfruttando un errore nei calcoli, ha prelevato più fondi dal protocollo di quanto effettivamente versato.
Il problema critico era che in determinate condizioni il sistema conteggiava due volte la stessa liquidità. Di conseguenza, il protocollo restituiva più fondi di quanto dovesse. L'attacco è durato pochi minuti. I danni totali sono stati di circa 50 milioni di dollari, e il volume dei fondi nel protocollo è praticamente azzerato in un solo giorno.
Il team di Kyber Network ha confermato che la vulnerabilità non era stata rilevata dagli audit. In seguito, il criminale ha tentato di negoziare il rimborso di parte dei fondi in cambio del controllo sul protocollo, ma ha ricevuto un rifiuto.
Questo caso ha mostrato che anche un piccolo errore nei calcoli può portare a perdite su larga scala, specialmente in meccanismi DeFi complessi.
Euler Finance
Il 13 marzo 2023, il protocollo di prestito decentralizzato Euler Finance ha perso circa 197 milioni di dollari. È stato il più grande hack DeFi dell'anno e un classico esempio di attacco tramite flash-loan, basato su un errore in un contratto intelligente.
Il protocollo consentiva agli utenti di depositare token nei pool, prendere prestiti con garanzia e guadagnare interessi. Nonostante gli audit effettuati, in una delle funzioni mancava un controllo importante, che è stata la causa dell'attacco.
Il criminale ha utilizzato un flash-loan per ottenere una grande somma, ha versato parte dei fondi nel protocollo e sulla base di essi ha preso in prestito molto di più. Poi ha sfruttato una funzione vulnerabile che riduceva la sua garanzia, ma non ricalcolava il debito.
Di conseguenza, la sua posizione diventava "malsana" e soggetta a liquidazione. L'hacker avviava la liquidazione per se stesso e riceveva un bonus che a causa di un errore risultava superiore al debito reale. Questo permetteva di prelevare più fondi dal protocollo di quanto fosse stato versato.
Lo schema è stato ripetuto più volte in diversi pool, tra cui DAI, USDC e ETH. L'intero attacco è durato circa 20 minuti.
Dopo l'hack, il team di Euler ha offerto all'hacker di restituire i fondi in cambio di una ricompensa. Dopo alcune settimane, ha effettivamente restituito quasi tutti gli attivi, il che è diventato un caso raro per DeFi.
$ARB , $SOL , $POL 
#MarketTurbulence , #Сryptomarketnews , #AreWeFree ?
Un gruppo per coloro che amano essere aggiornati sulle notizie riguardanti il mondo della finanza, delle criptovalute, delle materie prime e dei cambiamenti tecnologici nei mercati.
🤫
E oltre a tutto, a volte in questo gruppo pubblicheremo storie piuttosto curiose...
🙄
Benvenuto nel club! Le nostre porte sono aperte per gli abbonati!
😉