Які 5 найруйнівніших вразливостей смарт-контрактів в історії крипто?

Хакерство DAO: $60 мільйон вкрадено внаслідок найбільшої вразливості смарт-контракту Ethereum

У 2016 році світ криптовалют став свідком одного з найзначніших порушень безпеки, коли DAO, децентралізована автономна організація, побудована на Ethereum, стала жертвою руйнівного хакерського нападу. Зловмисник експлуатував критичну вразливість у коді смарт-контракту, змогли вивести приблизно $60 мільйонів вартістю етер у окреме wallet. Це порушення безпеки сталося, незважаючи на те, що DAO зібрала понад $150 мільйон інвестиційних коштів через свій продаж токенів.

Експлуатація використовувала вразливість рекурсивного виклику, яка дозволяла хакеру неодноразово знімати кошти до того, як система могла належним чином оновити залишки на рахунках. Особливістю цієї атаки було те, що вона не порушувала жодних явних правил у смарт-контракті — вона просто використала непомічену функцію в логіці коду.

Інцидент створив філософський розкол всередині спільноти Ethereum між тими, хто вірив, що "код є законом", і тими, хто виступав за втручання. Ця криза врешті-решт призвела до суперечливого жорсткого форку блокчейну Ethereum для відновлення вкрадених коштів, створивши Ethereum Classic (оригінальний ланцюг) та Ethereum (форкований ланцюг). Хак DAO fundamentally змінив підхід розробників до безпеки смарт-контрактів, підкреслюючи необхідність ретельного аудиту та тестування перед розгортанням коду, що управляє значними фінансовими активами.

Замороження гаманця Parity: $300 мільйон заблоковано через помилку в коді

У 2017 році світ криптовалют став свідком однієї з найзначніших невдач смарт-контрактів, коли розробник, відомий як "devops199", випадково активував критичну вразливість у бібліотеці мультипідписного гаманця Parity. Цей інцидент призвів до того, що приблизно $300 мільйонів вартості Ethereum було назавжди заблоковано і недоступно для їхніх власників. Катастрофічна подія сталася 8 листопада, коли devops199 викликав функцію initWallet, ненавмисно взявши на себе право власності на контракт бібліотеки, що підтримував численні мультипідписні гаманці.

| Деталі інциденту з Parity Wallet | Інформація | |-------------------------------|-------------| | Дата інциденту | 8 листопада 2017 | | Сума заморожена | $300 мільйонів в Етер | | Уражені гаманці | Понад 500 багатопідписних гаманців | | Причина | Уразливість коду в бібліотечному контракті | | Виклик дії | Користувач "devops199" викликає функцію initWallet |

Що робить цей інцидент особливо тривожним, так це те, що Parity Technologies отримала попередження про цю вразливість за кілька місяців до цього. Користувач GitHub виявив і повідомив про недолік у серпні, але компанія не змогла впровадити необхідні виправлення. Оригінальний код був створений і перевірений командою DEV Фонду Ethereum і Parity Technologies, однак ця критична вразливість залишилася непоміченою, що демонструє, як навіть ретельно перевірені смарт-контракти можуть містити руйнівні недоліки з незворотними наслідками в технології блокчейн.

Витік у Poly Network: $610 мільйон викрадено в хакерській атаці на кросчейн DeFi

В одному з найзначніших порушень безпеки в історії децентралізованих фінансів, хакери здійснили складну атаку на Poly Network, успішно вкрадучи приблизно $610 мільйонів у цифрових активах. Цей інцидент 2021 року входить до числа найбільших крадіжок криптовалюти, коли-небудь зафіксованих, порівнянних з великими порушеннями на інших біржах у попередні роки.

Хакери використали вразливість у крос-ланцюговому протоколі Poly Network, що дозволило їм передавати тисячі цифрових токенів, включаючи Етер, на окремі криптовалютні гаманці під їх контролем. Масштаб цієї атаки підкреслив критичні проблеми безпеки в інфраструктурі DeFi.

| Аспект | Деталі | |--------|---------| | Сума вкрадена | $610 мільйон | | Статус відновлення | 100% (завершено) | | Графік відновлення | 13 днів | | Історичний контекст | Серед найбільших злочинів у DeFi в історії |

Те, що зробило цю справу особливо незвичною, була остаточна розв'язка. Після порушення безпеки Poly Network назвав хакерів «білосніжками», що стало суперечливим визначенням, яке викликало дебати в безпековій спільноті. Ця термінологія викликала занепокоєння у експертів, які боялися, що це може легітимізувати злочинну діяльність під виглядом дослідження безпеки. Незважаючи на початкові занепокоєння, хакери врешті-решт повернули всі вкрадені активи, а остаточні кошти були випущені, коли хакер поділився приватним ключем, необхідним для доступу до решти $268 мільйона, які були заблоковані на спільному рахунку.

Атака Pump.fun: крадіжка на $1.9 мільйона висвітлює внутрішні ризики безпеки

Платформа Pump.fun зазнала значного порушення безпеки в 2023 році, коли колишній працівник використав системні привілеї, що призвело до крадіжки приблизно 1,9 мільйона доларів у токенах SOL. Цей внутрішній напад стався між 15:21 та 17:00 UTC 16 травня, коли злочинець використовував флеш-кредити для маніпулювання ліквідністю токенів через те, що було охарактеризовано як "атака зв'язуючої кривої". Інцидент вплинув лише на частину активів платформи, оскільки вкрадена сума становила лише частину від загальної $45 мільйона в контрактах зв'язуючої кривої Pump.fun.

Після атаки Pump.fun швидко відреагував підвищеними заходами безпеки та чітким планом відновлення. Платформа запевнила користувачів, що її смарт-контракти залишаються в безпеці, і зобов'язалася компенсувати постраждалим користувачам "100% ліквідності" протягом 24 годин. Крім того, Pump.fun встановив торгові збори на рівні 0% на наступний тиждень, щоб зменшити втрати користувачів.

Наслідки призвели до юридичних наслідків для ймовірного злочинця, Джаррета Данна, який був арештований у Великій Британії у зв'язку з експлойтом. Цей випадок служить яскравим нагадуванням про те, що внутрішні загрози можуть становити значні ризики для криптовалютних платформ, навіть тих, що побудовані на безпечних блокчейн-фундаментах, таких як Solana.