Yield lainaprotokolla: Vika avasi ovet hakkeroijille

Yield lainaprotokolla on ollut asiakkaiden käytössä ilmoitetusta viasta huolimatta, mikä on nyt johtanut rahallisiin menetyksiin.

Hakkerit ovat hyödyntäneet menestyksekkäästi nyt lakkautetun Decentralized Finance (DeFi) -lainaprotokollan, Yield Protocolin älysopimuksia ja tyhjentäneet asiakkaiden kryptovarallisuutta noin 181 000 dollarin arvosta.

Yield Protocol lopetti toimintansa joulukuussa 2023 vedoten haasteisiin, jotka liittyvät globaalien yritysten sääntelyn ja paineiden lisääntymiseen.

Yield lainaprotokolla käytössä varoituksista huolimatta, hakkeri vei 181 000 dollaria

Hi @yield, you may want to a look (w/ $181K) pic.twitter.com/wbzVgrvyyy

— PeckShield Inc. (@peckshield) April 30, 2024

Huolimatta siitä, että Yield lainaprotokolla oli toistuvasti neuvonut sijoittajia sulkemaan positionsa, nostamaan varansa ja maksamaan keskeneräiset lainat sen purkamisen jälkeen, tunnistamaton hakkeri ehti käyttää hyväkseen Arbitrum-lohkoketjussa käyttöönotettujen protokollan strategisten sopimusten heikkouksia.

Blockchain-tutkintayritys PeckShield paljasti alun perin rikkomuksen, jonka CertiK myöhemmin vahvisti.

#CertiKInsight 🚨

We have seen an exploit on @yield strategy contracts on Arbitrum for ~$181K.

The attacker exploited a discrepancy between the pool token balance and total supply with flash-loaned assets and then withdrew extra pool tokens.

Stay Vigilant! pic.twitter.com/9cLDWt0e3f

— CertiK Alert (@CertiKAlert) April 30, 2024

CertiK:n tutkimustulosten mukaan hakkeri käytti hyväkseen eroa poolitunnuksen saldon ja kokonaistarjonnan välillä käyttämällä pikalainattua omaisuutta, mikä antoi heille mahdollisuuden nostaa lisää pool-tokeneita.

🚨ALERT🚨Our system has identified a suspicious transaction linked to @yield. This suspicious address has been flagged since the malicious contract deployment.

The attacker managed to acquire $181K, initially funded by @ChangeNOW_io on #Arbitrum. The funds remain in the… pic.twitter.com/sgYiRCAKJh

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) April 30, 2024

Web3:n Cyvers Alert -kyberturvallisuusvaroitusyrityksen toimittamat lisätiedot paljastivat, että hyökkääjä sai alun perin 181 000 dollarin edestä varoja, jota avitti @ChangeNOW_io Arbitrum-verkossa ollut vika. Nämä varat ovat edelleen hakkeroijan hallussa.

Yield Protocol oli niiden 11 hajautetun rahoitusprotokollan joukossa, joihin toiseen laina-alustaan, Euler Financeen kohdistunut hyökkäys vaikutti.

Maaliskuun 13. päivän hyökkäyksen jälkeen Yield Protocol keskeytti väliaikaisesti verkkolainanoton ja raportoi likviditeettipoolistaan alle 1,5 miljoonan dollarin tappiot. Tähän verrattuna Euler Finance kärsi yli 195 miljoonan dollarin tappiot.

Kaikesta tästä huolimatta Yield Protocol ilmoitti 18. toukokuuta palaavansa täyteen toimivuuteen. Käyttäjille kerrottiin, että he voivat jatkaa lainaamista ja lainan antamista kesä- ja syyskuun sarjoille.

Lisäksi protokolla hahmotteli aikajanan, jossa arvioitiin, että käyttäjillä kuluisi noin viikko vaihtorahakkeiden lunastamiseen.

Kryptovaluuttateollisuus jatkaa turvallisuusriskien torjuntaa

Sen jälkeen kun Euler sai huhtikuussa takaisin suurimman osan hakkereille menetetyistä varoista, Yield lainaprotokolla teki yhteistyötä Eulerin kanssa palautusprosessissa.

Tähän sisältyi 26 uuden sopimuksen käyttöönotto ja noin 300 luvallisen kutsun suorittaminen kiinteätuottoisten tunnuksen erääntymisajan nollaamiseksi ja protokollan palauttamiseksi aiempaan tilaan.

Yield Protocol käynnisti prosessin, jossa likviditeetin tarjoajan tunnukset vaihdetaan uusiin palautuksen aikana luotuihin uusiin rahakkeisiin, jolla varmistetaan, että käyttäjät saavat täyden korvauksen kaikista aiheutuneista menetyksistä.

Samalla Yield Protocol ilmaisi blogikirjoituksessaan kiitollisuutensa siitä, että hakkerointi ei aiheuttanut tappioita sen yhteisölle.

Silti se tunnusti vaivalloisen matkan protokollan palauttamiseksi täyteen toiminnallisuuteen. Näiden ponnistelujen keskellä Yield Protocol kohtasi lisäksi toisen haasteen toukokuussa, kun sen strategiasopimuksissa havaittiin virhe.

Tämä vaati kahden viikon taukoa protokollan toiminnassa ongelman korjaamisen ja ratkaisemisen ajaksi. Tuottoprotokolla lopetti kuitenkin virallisesti tukensa 2. helmikuuta, ja vaikka pöytäkirja oli julkaistu aiemmin, yritykset saada varastetut varat takaisin näyttävät turhilta.

Kryptovaluuttateollisuus kamppailee edelleen turvallisuushaasteiden kanssa, joiden legitiimiys on heikentynyt. Alan arvostuksen heikentyminen johtuu jatkuvista hakkerointitapauksista ja petollisista toimista, joita ei ole pystytty estämään.

Vuoden 2024 ensimmäisellä neljänneksellä noin 336,3 miljoonan dollarin arvosta kryptovaluuttoja joutui hakkeroinnin ja Rug Pull -huijausten uhreiksi 46 hakkerointitapauksessa ja 15 petoksessa. Näin on raportoinut lohkoketjun tietoturvayritys Immunefi.

Vain 7% kaikista varastetuista varoista saatiin onnistuneesti takaisin Q1:lla. Hyökkäysten määrä kuitenkin väheni hieman, kun se laski 17,6% vuoden 2023 ensimmäiseen neljännekseen verrattuna. Tämä tarkoitti yhteensä 61 tapausta vuonna 2024.

Lohkoketjuturvayritys PeckShieldin mukaan maaliskuu oli erityisen haastava, sillä digitaalista omaisuutta varastettiin lähes 100 miljoonan dollarin arvosta.

Tänä aikana tapahtui yli 30 hakkerointitapausta, mikä johti 187 miljoonan dollarin varojen menetyksiin. Positiivisena uutisena 52,8% hakkeroiduista varoista palautettiin onnistuneesti.

Vuonna 2023 varastettu kryptoa $1,8 miljardin edestä

Vuonna 2023 kryptovarkaudet niistivät valtavan omaisuuden ihmisiltä. Hakkerointien, huijausten ja hyväksikäytön vuoksi menetetty digitaalinen omaisuus väheni silti 51 prosenttia verrattuna vuoteen 2022 verrattuna.

Vuonna 2023 menetettiin kuitenkin 751 tietoturvaloukkauksessa huikeat 1,84 miljardia dollaria kryptovaluuttoja, paljastaa lohkoketjuturvallisuusyritys CertiK.

Tammikuussa julkaistussa vuoden 2023 “Hack3d”-raportissa korostettiin merkittäviä hyväksikäyttöjä ja välikohtauksia, jotka johtivat tähän kymmennumeroiseen lukuun. Tietojen mukaan vuoden 2023 tappiot laskivat 51 prosenttia vuoden 2022 3,7 miljardin dollarin kokonaissummasta.

“Vaikka 1,8 miljardia dollaria on merkittävä lasku vuodesta 2022, se on silti liikaa”, CertiKin analyytikot totesivat.

Tutkimuksen mukaan useiden digitaalisen omaisuuden tietoturvaloukkausten syynä oli yksityisten avainten vaarantuminen.

“Kuusi kymmenestä kalleimmasta tietoturvaloukkauksesta vuoden 2023 aikana johtui yksityisten avainten vaarantumisesta.”

Yksityisten avainten vaarantaminen oli kallein hyökkäysvektori, sillä kryptovaroja menetettiin 880 892 924 dollarin arvosta vain 47 tapauksen yhteydessä. Luvut edustavat lähes puolta kaikista taloudellisista menetyksistä, vaikka nämä vaarantamiset edustivat vain 6,3 prosenttia kaikista tietoturvaloukkauksista tänä vuonna.

CertiK ehdotti joitakin yksityisten avainten hallinnan parhaita käytäntöjä, joilla vältetään tulevat murrot. Näitä ovat muun muassa usean allekirjoituksen lompakot, laitteistolompakot, pääsynvalvontakäytännöt, salattu tallennus ja yksityisten avainten käytön säännöllinen seuranta.