Horké léto přináší i horké chvilky správcům protokolů decentralizovaných financí. Zatímco likvidita v protokolech vysychá, hackeři si od července ne a ne naordinovat dovolenou. Počet ukradených prostředků byl minulý měsíc nejvyšší od loňského srpna.
Krypto sféra se stále snaží strávit dočasný návrat volatility, která se koncem týdne utrhla špatným směrem a poslala bitcoin během pouhých deseti minut o osm procent níže, čímž se spustila kaskáda událostí a teorií, co za tím vězí. Trochu v pozadí tak zůstal sektor decentralizovaných financí, který od začátku léta provází mimořádná smůla.
Zatímco ve srovnání s rokem 2021, pulzujícím životem a likviditou, připomíná obchodní aktivita v DeFi protokolech ze všeho nejvíce stojatou bažinu. A hackerské útoky na DeFi protokoly letos lámou rekordy.
Ty poslední připadají shodou okolností na den, kdy došlo ke skokovému propadu bitcoinu a následně citelnému poklesu celkové kapitalizace krypto trhu. Podle bezpečnostních firem DeDotFi a PeckShield došlo v nesouvisejících útocích ke zneužití protokolů Exactly a Harbor.
Data z blockchainu ukazují, že z protokolu Exactly zmizelo zhruba 4323 etherů, tedy kryptoměny za zhruba 7,3 milionu dolarů. Hackeři následně převedli ethery pomocí dvou mostů: prvním je Across Protocol, kam poslali 1490 ukradených etherů, a 2832,92 etherů zamířilo do sítě Ethereum prostřednictvím mostu Optimism Bridge.
Mohlo by to vypadat prostě jako běžná smůla, jenže není. Druhá polovina srpna jen pokračuje ve šlépějích letošního července, který se zapsal do historie krypta jako měsíc finančních exploitů s nejvyšší dolarovou hodnotou, které na síti Etherea proběhly od loňského srpna.
Právě na Ethereu se přitom stále odehrává většina krádeží prostředků z různých služeb světa decentralizovaných financí. Na tom ale není zase tak moc divného – jde jen o potvrzení jeho výjimečné a dominantní pozice v ekosystému blockchainových platforem.
Pokud jde o jednotlivé červencové útoky, máme zde Arcadii, odkud odteklo začátkem července přibližně 455 tisíc dolarů, a protokol Conic Finance, který přišel o kryptoměny za více než tři miliony dolarů. To jsou ale samo o sobě z historické perspektivy spíše drobné.
Úplně jiná liga byl hack protokolu Curve, který slouží pro decentralizované převody etheru za stablecoiny. Útočníkům se z něj podařilo skrze takzvaný reentrancy bug ve starší verzi kompilátoru Vyper odčerpat krypto za 60 milionů dolarů.
I když ani to vlastně není žádná sláva, protože útok by se sotva kvalifikoval do desítky největších DeFi exploitů. Curve je nicméně prominentní protokol využívaný řadou služeb jako poskytovatel likvidity, takže útok vyvolal pořádnou paniku. Jde totiž o jednu z nejstarších běžících decentralizovaných burz na Ethereu, spuštěnou v létě 2020 – a donedávna běžící bez incidentů.
Samotný reentrancy bug, který útočníci zneužili, je známá a poměrně banální chyba: kvůli chybě v logice chytrého kontraktu je možné vstupovat do specifické funkce v síti opakovaně.
Pokud je splněna ještě další podmínka a chytrý kontrakt musí volat jiný (externí) chytrý kontrakt, může skrze tuto chybu druhý kontrakt vstupovat do prvního kontraktu opakovaně a lze z něho postupně odčerpat veškeré uložené prostředky.
Jednoduchý příklad je situace, kdy kontrakt umožňuje vložit a následně ze smart kontraktu vybrat prostředky. Pokud kontrakt nemá ošetřenou kontrolu reentrancy, může útočník zavolat funkci vkladu několikrát za sebou a pak teprve zavolat funkci pro výběr. Protože skutečný vklad proběhl pouze jednou, ale výběr prostředků za každou volanou funkci, může šikovný útočník tímto způsobem ukrást všechny prostředky z kontraktu.
Protokol Curve sám o sobě přišel „jen“ o 24 milionů dolarů, zbytek tvoří ztráty protokolů Alchmeix, Metronome a JPEG’D, které jej využívaly jako poskytovatele likvidity. A právě zde ležela závažnost celého útoku.
Curve sice není decentralizovanou burzou číslo jedna pro běžné uživatele, ale pro samotné protokoly a služby je to už něco jiného. V objemech obchodů na Ethereu může konkurovat pouze burza Uniswap. I ona je jednou z nejstarších stále fungujících služeb svého druhu, a tak se dosud těšila větší důvěře.
V kryptoměnách totiž více než kde jinde funguje takzvaný Lindyho efekt. Podle této teorie, vyvinuté filozofem Nassimem Nicholasem Talebem, čím déle něco existuje, tím déle to ještě do budoucna existovat bude.
U živých organismů to pochopitelně nefunguje, ale kryptoměny jsou ukázkovým univerzem, kde to naopak platí dokonale. Bylo však zaseto semínko pochybnosti a může to být začátek konce Uniswapu. Stejný otazník navíc visí nad bezpečností dalších privilegovaných DeFi protokolů jako Aave, Compound nebo již zmiňovaný Uniswap.
Samotný hack má částečně pozitivní vývoj, protože hacker větší část prostředků vrátil. Jenže pachuť zůstala a zpráva připojená k jedné transakci ji ještě zvyšuje: „Jsem chytřejší než vy všichni a upřesnění, peníze vám vracím ne proto, že mě můžete najít, ale proto, že nechci zničit váš projekt,“ napsal útočník.
Čím dál častější útoky ale nejsou jediným faktorem, který teď DeFi služby trápí, tím druhým je mizející likvidita. Objem kryptoměn uzamčených v protokolech v posledních měsících vysychá rychleji než italské řeky.