Апрель оказался неудачным для криптоиндустрии.

За последний месяц 29 криптопроектов пострадали от взломов или эксплойтов, что является рекордным числом за всю историю индустрии, согласно данным DefiLlama.

Среди них выделялись два: Взлом биржи Drift на базе Solana и приложения для рестейкинга Kelp DAO на Ethereum, что привело к общей потере в $579 миллионов.

Ситуация вызвала кризис доверия среди самых преданных сторонников индустрии и оставила их в раздумьях, стоит ли затраченных усилий на компромиссы, присущие децентрализованным технологиям.

В последние годы количество крипто-взломов и суммы украденного только растут.

Быстро развивающееся и экспериментальное пространство DeFi, когда-то известное своими эксплойтами, считалось зрелым. Но теперь оно вновь на первых полосах — и не по правильным причинам.

«Сейчас DeFi кажется основной целью», — ранее говорил Майкл Перл, вице-президент по стратегии криптозащитной фирмы Cyvers, DL News. «В общем, всё сместилось в сторону взлома людей, а не систем.»

Единичные точки отказа

Проблема, по словам Майкла Егоровa, основателя DeFi-протоколов Curve Finance и Yield Basis, заключается в централизации.

«Нам нужно сократить количество единичных точек отказа насколько это возможно», — сказал Егоров в заявлении, опубликованном в DL News. «Цель дизайна DeFi должна заключаться в минимизации точек отказа, сосредоточенных на человеке, а не в их увеличении.»

Атаки на Drift и Kelp DAO в конечном итоге свелись к централизованным слабым местам.

Северокорейские хакеры скомпрометировали двоих сотрудников Drift через сложную социальную инженерную кампанию. Это дало хакерам возможность вносить админские изменения в протокол, что позволило им украсть около $285 миллионов у пользователей.

Что касается Kelp DAO, то экземпляр крипто-моста LayerZero, на который полагался протокол, был настроен так, что требовал всего одного оператора, что хакеры использовали для кражи $273 миллионов.

Однако централизация — не единственный способ, как DeFi-протоколы попадают в беду.

В прошлом месяце 24 из 29 инцидентов — почти 83% — были вызваны ошибками кода.

Эксперты по безопасности крипты ранее говорили DL News, что достижения в области искусственного интеллекта делают атаки на DeFi-протоколы дешевле, проще и быстрее для хакеров.

Плохие актеры теперь используют большие языковые модели, которые питают AI-чат-ботов, таких как ChatGPT и Claude, чтобы искать по тысячам строк кода в секунду. Раньше им приходилось делать это вручную.

Несмотря на то, что ошибки кода были основной причиной большинства взломов, они составили всего $42 миллиона от апрельских $635 миллионов убытков — около 6.6%.

Не самая большая потеря

Несмотря на рекордные 29 взломов, апрель не был худшим месяцем по сумме потерянных средств.

В декабре 2020 года хакеры, по сообщениям, украли около $3.5 миллиардов.

Тем не менее, этот месяц часто считается выбросом, потому что подавляющее большинство этой суммы пришло от взлома кошельков, принадлежащих компании LuBian, занимающейся майнингом Bitcoin.

Ни LuBian, ни подозреваемый хакер никогда публично не признавали утечку, и она оставалась незамеченной почти пять лет.

Arkham Intelligence, платформа блокчейн-данных, которая обнаружила взлом, заявила, что это, вероятно, произошло из-за использования LuBian ошибочного алгоритма генерации приватных ключей, что сделало его уязвимым для атак методом грубой силы.

Следующая по величине потеря произошла в феврале прошлого года, когда северокорейские хакеры украли $1.5 миллиарда с криптобиржи Bybit.

Кроме того, хакеры также украли немного больше, чем в апреле, в августе 2021 года, марте 2022 года и октябре 2022 года соответственно.

Тим Крейг — корреспондент DL News по вопросам DeFi, базирующийся в Эдинбурге. Свяжитесь с ним по адресу tim@dlnews.com.