Криптоэнтузиасты строили децентрализованный проект на централизованных сервисах обычного интернета — этим и воспользовались взломщики.
Проект BadgerDAO появился в 2020 году как сервис для удобного использования биткоина в децентрализованных финансах (DeFi) — то есть в приложениях, работающих на смарт-контрактах в блокчейне Ethereum. Пользователь BadgerDAO может открывать депозиты для биткоина, использовать шаблоны пассивного дохода и токены самого проекта.
2 декабря криптоинвесторы проекта с совокупным оборотом в 1,2 миллиарда долларов заметили, что кто-то опустошает их кошельки — тайком выводит всю криптовалюту из проекта на анонимные адреса. Пользователи безнадёжно теряли свои деньги, потому что перевод криптовалюты отменить невозможно — только сам получатель может перевести её обратно, если захочет.
Badger получил сообщения о несанкционированном выводе средств пользователей. Пока инженеры Badger это расследуют, все смарт-контракты приостановлены, чтобы предотвратить дальнейшие выводы. Наше расследование продолжается, и мы опубликуем дополнительную информацию как можно скорее.
Пользователи BadgerDAO остановили сервис и подключили к расследованию компанию, которая занимается вопросами безопасности блокчейнов. Её сотрудники подсчитали, что проект потерял примерно 2100 биткоинов и более 150 ETH на общую сумму в 120 миллионов долларов (8,8 миллиарда рублей). И определили, что это была хакерская атака, причём способом, который компьютерные взломщики использовали ещё в конце прошлого века.
Как взламывают проекты DAO и сервисы DeFi
BadgerDAO — децентрализованная автономная организация (DAO), которая полностью работает в блокчейне, будучи закодированной на смарт-контрактах Ethereum. Смарт-контракты — компьютерные программы, описывающие некий договор между людьми и компаниями. Этот договор и все его условия выполняются блокчейном автоматически, а организацией управляют сами пользователи через DAO-токены.
Сервисы DeFi, также работающие на смарт-контрактах Ethereum, позволяют людям переводить друг другу криптовалюту или токены, давать их в долг или под проценты, класть на депозит или вкладывать в дело — всё это без юристов, бухгалтеров и менеджеров, напрямую между пользователями. DeFi это часть Web3 — «децентрализованного веба нового поколения».
Обычно хакеры, пытающиеся взломать DAO или сервис DeFi, ищут слабые места в логике самих смарт-контрактов, чтобы блокчейн, выполняя их (КОГО ИХ), в итоге передал взломщикам всю доступную криптовалюту. Например, у сервиса криптокредитования C.R.E.A.M. Finance похитили 130 миллионов долларов крайне сложно составленным переводом по кредитным смарт-контрактам — хакер по сути набрал кредитов и заставил расплатиться за них сам сервис.
Первый взлом DAO произошёл ещё на заре существования Ethereum в 2016 году, когда его создатель Виталик Бутерин запустил первую децентрализованную организацию на смарт-контрактах. Тогда хакеры составили цепочку переводов, которые вызывали сами себя, и похитили треть вложенной в DAO криптовалюты. Сообщество Ethereum решило так этого не оставлять и разветвило блокчейн, вернув криптовалюту инвесторам. Старая версия блокчейна, где похищение состоялось, стала отдельной веткой под названием Ethereum Classic, а инвесторы DAO перешли в новую версию.
Однако взломщики BadgerDAO атаковали не блокчейн с его смарт-контрактами, а веб-инфраструктуру проекта. Они каким-то образом получили доступ к API сети доставки контента Cloudflare и внедрили скрипт в программный код сервиса. Этот скрипт выполнялся у пользователей BadgerDAO, как только они открывали свой криптокошелёк MetaMask — самый популярный клиент для сервисов DeFi.
Расследование инженеров BadgerDAO показало, что хакерский скрипт появился в коде веб-инфраструктуры проекта ещё 10 ноября, но поначалу взломщики активировали его нерегулярно, чтобы не возбуждать подозрений. Только в последние дни он начал работать массово и успел вывести немало криптовалюты, прежде чем участники проекта остановили работу DAO.
Как защитить проект Web3 от хакеров
Некоторые участники проекта недоумевают, как децентрализованный сервис могли взломать через централизованную сеть доставки контента. История с BadgerDAO даёт хороший урок энтузиастам Web3 — она показывает, что нельзя достичь полной защищённости, если опираться на технологии обычного веба. Даже если это популярные механизмы вроде двухфакторной аутентификации. Они полны уязвимостей, которые способны свести на нет все преимущества децентрализации.
Я думал, это дерьмо децентрализовано? Какого чёрта? У меня более 2,2 миллиона долларов в ваших токенах? Теперь не снять средства? Какого чёрта? Все мои жизненные сбережения в ваших токенах, чёрт возьми. Теперь это никак не вернуть? Какого чёрта?Криптоэнтузиасты: мы не считаем *возможным* защищённое общение через интернет, потому что всё слишком небезопасно! Эти же ребята: давайте защитим 100 миллионов долларов с помощью Javascript, который работает на серверах Cloudflare
На фоне происходящего проект BadgerDAO стал терять капитализацию — стоимость его токенов упала на 21% за сутки. Это далеко не первый случай потери денег криптоинвесторами из-за поспешной, непродуманной реализации децентрализованного проекта. В прошлом месяце участники ConstitutionDAO попали в тупиковое положение: у них не получилось добиться главной цели проекта, а комиссии блокчейна «съедали» почти все деньги при попытке их вывести.
