Хакеры купили криптовалюты на $8 млн за $0

17

Исследовательская компания Blocknative раскрыла детали мартовской атаки на проект MakerDAO. Злоумышленники заспамили сеть Ethereum и выиграли аукционы на приобретение альткоина за бесценок

Хакеры купили криптовалюты на $8 млн за $0

Группе хакеров удалось купить криптовалюты на $8,3 млн практически за бесплатно. Произошло это 13 марта, во время одного из самых крупных падений на рынке цифровых активов. Позавчера, 22 июля, исследовательская компания Blocknative опубликовала отчет об атаке в своем официальном блоге.

Хакеры воспользовались уязвимостью в DeFi-проекте MakerDAO, который выпускает стейблкоин DAI. Его курс привязан к курсу доллара, однако сделано это не как в случае с токеном Tether. Последний вариант предполагает, что компания должна хранить на своих счетах сумму активов, которая соответствует количеству выпущенных USDT — так устроено большинство стейблкоинов.

В MakerDAO способ обеспечения цены стейблкоина иной. Проект выдает кредит под залог Ethereum. Пользователи переводят криптовалюту на свой баланс в MakerDAO, она блокируется и взамен выпускаются токены DAI. При погашении долга клиент возвращает DAI проекту, монеты сжигаются, Ethereum разблокируется и отдается обратно.

Если цена DAI поднимается выше положенного ей значения в $1, пользователи могут заработать на этом. Они берут кредит у MakerDAO, получают токены DAI и продают их, пока курс выше $1. Эмиссия монеты увеличивается, ее стоимость возвращается к нормальному значению. Затем клиенты выкупают свой долг и возвращают его в систему.

Если же цена DAI опускается ниже $1, работает противоположный механизм. Пользователям, которые брали кредит у MakerDAO, становится выгодно вернуть его сейчас, пока DAI стоит дешевле положенного значения. Получается, они могут погасить свой долг со скидкой. В таком случае токены DAI возвращаются в систему, сжигаются, предложение уменьшается и стоимость стейблкоина поднимается к $1.

Таким образом система за счет рынка контролирует курс DAI. Однако у нее ее уязвимость — это цена Ethereum. Если она падает, вместе с тем уменьшается и сумма залога, которую оставил пользователь в качестве обеспечения. Это создает риск сбоя всей системы. Чтобы снизить его, MakerDAO придумали аукционы. Если Ethereum дешевеет и стоимость обеспечения снижается, залог пользователей выставляется на аукцион другим участникам сети — ликвидаторам.

В большинстве случаев этот механизм работает исправно. Однако он оказался не готов к событиям, произошедшим 12-13 марта. Тогда стоимость Ethereum стремительно упала с $190 до $86. Вместе с тем обесценились и залоги, которые оставляли пользователи под обеспечение кредитов.

Для поддержания работоспособности системы эти залоги были направлены на аукцион. Но его проведение было нарушено. В тот день произошла перегрузка сети Ethereum, на основе которой работает проект MakerDAO. Причин у этого оказалось две. Во-первых, в блокчейне альткоина образовалась очередь из неподтвержденных транзакций. Вероятно, пользователи, реагируя на падение рынка, начали в панике переводить монеты на биржи для продажи или по другим причинам. Майнеры с такой нагрузкой не справлялись, из-за чего транзакции обрабатывались долго, а сеть практически встала.

Ситуацию усугубили хакеры. Вдобавок к уже сильной перегрузке, они атаковали сеть Ethereum с помощью спам-ботов. Программа автоматически отправляла в блокчейн криптовалюты множество уникальных транзакций с минимальной комиссией. Из-за этого очередь из пользователей, которые ожидали отправки средств, только увеличивалась, и сеть перегружалась еще больше.

Сбой в сети Ethereum сказался на проведении аукциона. Ликвидаторы, которые должны были принять в нем участие, не смогли этого сделать. В итоге среди пользователей, которые имели возможность выкупать залоги, оказались преимущественно хакеры, устроившие атаку. Они выставляли заявки на приобретение заложенных активов буквально по $0 и, благодаря отсутствию конкуренции со стороны других участников, эти заявки исполнялись. Таким образом хакеры выиграли 1462 из 3994 проведенных в тот день аукционов, за бесценок получив криптовалюты на $8,32 млн.

В середине июля другой DeFi проект подвергся хакерской атаке. Пользователь также заспамил сеть Ethereum, чтобы принять участие в токенсейле на децентрализованной бирже UniSwap. Таким образом злоумышленник не дал другим трейдерам присоединиться к размещению токенов, купим их сам и потом продавал по завышенному курсу. Размер выручка составил более $500 000.

— $1 млн за поимку. Все подробности о крупнейшей хакерской атаке на Twitter

— Хакеры предложили купить за биткоин данные 140 млн клиентов сети отелей

— Хакеры нашли возможность красть криптовалюту с биткоин-кошельков

Больше новостей о криптовалютах вы найдете в нашем телеграм-канале РБК-Крипто.