В четверг днём 27 января всего за 20 минут хакеры украли около 80 миллионов долларов в криптовалюте, воспользовавшись уязвимостью платформы Qubit Finance. Сервис Qubit Finance позволяет пользователям конвертировать одну цифровую валюту в другую. Компания предложила хакерам вознаграждение в 250 000 долларов США в обмен на украденные криптоактивы, дополнительно сообщив что "открыта для переговоров" на тот случай если злоумышленники откажутся от указанной суммы и потребуют больше денег. Вопрос теперь в том, примут ли криптомошенники предложение Qubit.
На данный момент это крупнейший крипто-взлом 2022 года.
Хакеры использовали мелкий баг
Qubit - это платформа "децентрализованных финансов" (DeFi), которая оказывает пользователеям криптовалютных активов финансовые услуги, такие как торговля, кредитование и займы. Атака на Qubit использовала возможности другого сервиса QBridge: "моста" между цифровыми книгами платформы, где хранятся и торгуются две основные криптовалюты. Этот сервис позволяет пользователям депонировать криптовалюту в сеть Etherium и выводить эквивалентную по стоимости сумму в смарт-цепочку Binance. Хакеры, стоящие за этим эксплойтом, воспользовались ошибкой в коде Qubit, которая позволила им осуществить вывод средств без внесения депозитов.
После кражи компания Qubit опубликовала в Twitter обращение к злоумышленникам и теперь надеется, что хакеров удастся убедить вернуть средства. Проблема заключается в том, что транзакции на платформе регулируются самоисполняющимися цифровыми контрактами, которые никто не может отменить. В отличие от обычных банковских операций, ни одна организация не контролирует движение средств на платформах DeFi. Это означает, что если активы похищены, они, как правило, пропадают навсегда.
Платформы DeFi уязвимы для взлома
То, что произошло с Qubit, далеко не редкость. В мире децентрализованных финансов, который в последние годы стремительно развивается, мошенничество и взломы - явление довольно распространенное. Случившееся с Qubit далеко не редкость. В мире децентрализованных финансов, который в последние годы стремительно развивается, мошенничество и хищения распространены повсеместно. Только в 2021 году количество транзакций DeFi увеличилось более чем на 900%. Судя по всему, этот рост происходит очень быстро, и меры безопасности просто не справляются с ситуацией. В том же году, по данным одной исследовательской компании,на платформах DeFi похитители украли криптовалюты на сумму более 10 миллиардов долларов. Это более 70% всей криптоактивов, украденных в 2021 году. Но не каждое хищение приводит к полной потере капитала: Так, в августе прошлого года хакер украл 600 миллионов долларов из сети Poly Network, а затем вернул их, утверждая, что хранил средства в безопасности до тех пор, пока не была исправлена ошибка, позволившая совершить кражу.
Но подобная серия крупных взломов систем безопасности не остановила пользователей криптовалют и инвесторов от сотрудничества с экосистемой DeFi. Например, венчурная фирма Andreessen-Horowitz из Кремниевой долины в начале этого месяца заявила, что инвестировала 25 миллионов долларов в протокол DeFi, который позволяет пользователям, не имеющим собственных криптоактивов, брать криптовалютные кредиты. Том Робинсон, соучредитель компании, занимающейся мониторингом и предотвращением незаконной деятельности в криптоиндустрии, считает, что "быстрый темп инноваций в секторе DeFi привлекает большие объемы капитала в проекты, которые не всегда надежны или достаточно тщательно протестированы и преступники пользуются этой ситуацией".
Теперь самый главный вопрос заключается в том, захотят ли хакеры, взломавшие систему, вернуть похищенное? В противном случае тысячи пользователей Qubit понесут огромные убытки, однако такой риск - это плата за ведение бизнеса на платформах DeFi. Во всяком случае, на данный момент…
Источники:
https://medium.com/@QubitFin/protocol-exploit-report-305c34540fa3
https://certik.medium.com/qubit-bridge-collapse-exploited-to-the-tune-of-80-million-a7ab9068e1a0
https://www.cnbc.com/2021/11/19/over-10-billion-lost-to-defi-scams-and-thefts-in-2021.html
