Мошенничество в DeFi: как мошенники захватывают заброшенные проекты для кражи средств пользователей

Пользователям децентрализованных финансов (DeFi) вчера была подана тревога о новом векторе мошенничества, при котором мошенники захватывают веб-сайты заброшенных проектов, чтобы привлечь бывших пользователей к подписанию вредоносных `дренажных` транзакций.

Предупреждение поступило от 0xngmi, псевдонимированного основателя аналитической платформы DeFiLlama, который подтвердил, что истекшие домены удаляются из платформы и ее браузерного расширения, но призвал пользователей проявлять осторожность.

Эта пассивная тактика отличается от более распространенных методов мошенничества, которые обычно требуют активного участия самих мошенников. Захватывая легитимный URL, мошенники рассчитывают на то, что бывшие пользователи вернутся для взаимодействия с знакомыми веб-сайтами (вероятно, добавленными в закладки, если следовать лучшим практикам) для снятия средств, которые были ранее внесены, когда проект еще был активен.

При отсутствии команды, способной предупредить о компрометации безопасности или заменить вредоносный интерфейс, мало что можно сделать с этими хорошо спланированными ловушками на сайтах DeFi, кроме как внимательно проверять каждую транзакцию перед подписанием.

Один из участников сообщества Maker/Sky указывает, что официальный домен ныне вымершего под-DAO Maker Sakura в настоящее время доступен всего за один цент.

В отличие от закрытых централизованных криптобирж, протоколы DeFi работают непосредственно на блокчейнах, таких как Ethereum или Solana.

Большинство пользователей взаимодействуют с протоколами DeFi через веб-сайт проекта, или фронтенд, удобный интерфейс, который создает транзакции для подписания через криптовалютный кошелек. Технически возможно создавать транзакции с помощью других инструментов, включая блок-эксплореры, такие как Etherscan, но это не распространено.

Неудивительно, что сами фронтенды являются вектором атаки для потенциальных хакеров. Обычный подход, который привел к волне инцидентов прошлым летом, заключается в компрометации официального сайта с помощью социальной инженерии провайдеров DNS.

Сайты обычно клонируются, но транзакции, представленные пользователю, изменяются так, чтобы, например, предоставить одобрения токенов или отправить средства непосредственно атакующему.

Более простая тактика включает аналогичное клонирование легитимных сайтов, но размещение их через похожие URL или зашифрованные, или `поддельные` гиперссылки на X или Google.

Разумеется, некоторые потери на фронтендах вовсе не являются мошенничеством. Скорее, это уязвимости в коде сайта, которые могут быть использованы хакерами. Так произошло в пятничном инциденте с потерей 2.6 миллиона долларов на платформе DeFi-кредитования Morpho, который, к счастью, был предотвращен известным MEV-ботом c0ffeebabe.eth. Атаки на фронтенды — только верхушка айсберга.

Такого рода атаки, которые в целом нацелены на отдельных пользователей, отличаются от других угроз, стоящих перед пользователями платформ DeFi, таких как эксплуатация самих смарт-контрактов и компрометация приватных ключей. Эти проблемы часто приводят к более крупным потерям, когда активы, хранящиеся в контрактах проектов, выкачиваются сразу.

Только на этой неделе оба этих типа инцидентов привели к значительным потерям. Вчера ZKsync объявил, что 5 миллионов токенов ZK, оставшихся после раздачи проекта, были украдены, после того как похоже был скомпрометирован мультиподписанный кошелек 1-of-1.

В понедельник децентрализованная биржа KiloEx потеряла 7.5 миллионов долларов из-за уязвимости в ценовом оракуле проекта.

Еще один риск исходит от самих команд, которые зачастую контролируют огромные объемы токенов своего проекта. Как мы видели за последние несколько дней, команды могут снять ликвидность по прихоти или продать токены на внебиржевом рынке, что может привести к диким колебаниям цен, когда заемные позиции по переоцененным токенам взрываются, или даже сами могут быть взломаны.

Наконец, последняя угроза исходит изнутри и исходит от злонамеренных членов команды, будь то северокорейские infiltratoren или просто `порочный разработчик`, как утверждал The Roar после того, как около 780,000 долларов исчезли через бэкдор ранее сегодня.