A differenza degli anni precedenti, le notizie legate al settore crypto nel 2020 non sono state dominate da hack ai danni di grandi exchange o furti di Bitcoin da milioni di dollari. Tuttavia, tali incidenti non sono mancati, e la maggior parte ha coinvolto il settore nascente della finanza decentralizzata.
La DeFi è stata uno dei principali motori dello slancio nel mercato crypto durante il 2020, ma anche una calamita per truffatori e hacker. Smart contract prevalentemente non verificati abbinati a codice clonato sono stati una ricetta ideale per vulnerabilità ed exploit, provocando spesso furti da milioni di dollari in asset digitali.
Un report di CipherTrace pubblicato a novembre 2020 ha segnalato che, nella prima metà dell’anno, la DeFi ha subito il 45% di tutti i furti e gli hack, risultando in una perdita di oltre 50 milioni di dollari. Stando al report, nella seconda metà questa quota è salita al 50% di tutti i furti e gli hack. Parlando con Cointelegraph, il CEO di CipherTrace, Dave Jevans, ha avvertito di una potenziale azione normativa:
“Gli hack nella DeFi costituiscono più della metà di tutti gli hack nel settore crypto durante il 2020, un trend che sta attirando l’attenzione delle autorità di regolamentazione.”
Proseguendo, ha aggiunto che la mancanza di conformità alle misure antiriciclaggio rappresenta la maggiore preoccupazione per i regolatori:
“I fondi rubati nel più grande hack del 2020, il furto da 280 milioni di dollari ai danni di KuCoin, sono stati riciclati usando protocolli DeFi.”
Inoltre, Jevans crede che nel 2021 le autorità faranno probabilmente chiarezza sulle misure che i protocolli DeFi dovranno adottare per evitare le conseguenze del mancato rispetto di norme AML, Capture the Flag e possibili sanzioni.
Gli hack ai danni di exchange nel 2020
L’attacco informatico contro KuCoin è avvenuto a fine settembre, quando il CEO dell’exchange, Johnny Lyu, ha confermato che la violazione aveva colpito gli hot wallet di Bitcoin, Ethereum e ERC-20 della piattaforma, dopo la divulgazione delle chiavi private.
Nei primi di ottobre, KuCoin ha comunicato di aver identificato i sospetti e di aver coinvolto ufficialmente le forze dell’ordine nell’indagine. A metà novembre, l’exchange basato a Singapore ha dichiarato di aver recuperato l’84% delle crypto sottratte, e ha ripristinato i servizi per la maggior parte degli asset sulla piattaforma.
Il 2020 ha assistito ad altri hack ai danni di exchange, ma KuCoin è stato il più grande. A febbraio, l’exchange italiano Altsbit ha perso quasi tutti i suoi fondi in un hack da 70.000$, e altre piattaforme minori hanno subito violazioni. Dall’inizio dell’anno a ottobre 2020, fino a 75 exchange di criptovalute centralizzati hanno chiuso i battenti per varie ragioni, tra cui gli attacchi informatici.
Hack e exploit nella DeFi durante il 2020
Con miliardi di dollari riversati in protocolli e nello yield farming, il settore emergente della DeFi è diventato un focolaio di hacker. La prima grande violazione del 2020 è avvenuta a febbraio sulla piattaforma di prestito DeFi bZx, quando due exploit tramite flash loan hanno provocato la perdita di quasi 1 milione di dollari in fondi degli utenti. Un flash loan è un servizio particolare in cui il collaterale in crypto viene preso in prestito e rimborsato all’interno della stessa transazione.
bZx ha congelato le operazioni per prevenire ulteriori perdite, generando però un’ondata di critiche dai commentatori del settore che hanno definito il progetto una piattaforma centralizzata destinata ad essere la “rovina della DeFi.”
Il crollo dei mercati nel mese di marzo ha scatenato grandi liquidazioni di collaterale, soprattutto per il token MKR di Maker, ma questi eventi non sono classificabili come hack. Un altro incidente si è verificato il mese seguente, quando una versione tokenizzata di Bitcoin chiamata imBTC ha subito un attacco attraverso il cosiddetto "metodo di rientranza" dello standard ERC-777. Il responsabile è riuscito a prosciugare tutto il valore da una pool di liquidità dell’exchange Uniswap, stimato all’epoca a 300.000$.
Nel mese di aprile, anche la piattaforma di prestito cinese dForce ha visto tutta la sua liquidità prosciugata usando lo stesso exploit. L’hacker ha aumentato ripetutamente la sua capacità di prendere in prestito altri asset ed è sparito con circa 25 milioni di dollari in fondi.
A giugno, è stato scoperto un exploit negli smart contract di Bancor che ha provocato il furto di 460.000$ in token. Il market maker automatizzato DeFi ha dichiarato di aver implementato una nuova versione dello smart contract per risolvere la vulnerabilità.
Il protocollo DeFi successivo preso di mira è stato Balancer, il quale ha perso 500.000$ in Ether tokenizzati dalle sue pool di liquidità a causa di un attacco di arbitraggio ben pianificato. Una serie di flash loan e token swap sono stati eseguiti per sfruttare una vulnerabilità di cui il team di Balancer sarebbe già stato a conoscenza.
Un altro exploit ha riportato bZx sotto i riflettori a luglio, con una vendita di token dubbia manipolata da bot che hanno inserito ordini d’acquisto nello stesso blocco che contrassegnava l’inizio dell’evento di generazione dei token. I responsabili hanno sottratto quasi mezzo milione di dollari.
Il protocollo di opzioni DeFi Opyin è stato la vittima successiva ad agosto, quando degli hacker hanno violato i suoi contratti Put su ETH impossessandosi di oltre 370.000$. L’exploit ha reso possibile il “doppio esercizio” di Ethereum Put oTokens, permettendo ai criminali di sottrarre il collaterale. Opyin ha recuperato circa 440.000 in USDC dai vault correlati tramite un hack white hat, restituendoli ai venditori di Put.
Ancora una volta, non è stato un hack diretto ma un errore nel codice di uno smart contract non verificato di Yam Finance a influenzare il meccanismo di rebase del governance token, risultando in un crollo del prezzo a metà agosto. Il protocollo è stato costretto a rivolgersi alle whale della DeFi per salvarlo, votando a favore di un nuovo inizio sotto forma di una seconda versione.
Quando il Sushi si srotola
La saga di SushiSwap ha avuto inizio a fine agosto, accompagnata dai termini appena coniati “vampire mining” e “rug pull.” Il clonatore e amministratore anonimo del protocollo, conosciuto come “Chef Nomi,” ha venduto 8 milioni di dollari in token SUSHI, causando un crollo del prezzo. Pochi giorni più tardi, il protocollo è stato salvato da Sam Bankman-Fried, CEO dell’exchange FTX, a cui venne affidato il controllo da un consorzio di whale DeFi tramite uno smart contract multi-signature. Eventualmente, tutti i fondi sono stati restituiti al fondo dedicato agli sviluppatori.
I rug pull, noti come “pump and dump” durante il precedente boom delle altcoin nel 2017, sono continuati con una serie di cloni DeFi come Pizza e Hotdog. I prezzi dei token associati a queste farm a tema alimentare impennavano e precipitavano nell’arco di qualche ora, e a volte persino in pochi minuti.
A metà ottobre, orde di “farmer degenerati,” soprannominati degen, hanno riversato denaro in uno smart contract non verificato e non ancora pubblicato creato da Andre Cronje, fondatore del protocollo DeFi Yearn Finance. Il contratto di Eminence Finance ha perso 15 milioni di dollari in seguito all’attacco informatico avvenuto qualche ora dopo che Cronje ha pubblicato su Twitter delle anteprime sul nuovo “gaming multiverse.” L’hacker ha restituito circa 8 milioni di dollari ma si è tenuto il resto, spingendo i trader scontenti a intentare un’azione legale contro il team di Yearn per i fondi persi.
Negli ultimi giorni di ottobre, un sofisticato attacco di arbitraggio tramite flash loan sul protocollo Harvest Finance ha causato la perdita di 24 milioni di dollari in stablecoin nell’arco di sette minuti. L’attacco ha scatenato un dibattito sulla correttezza o meno di considerare hack tali exploit.
Il mese di novembre è stato particolarmente doloroso per Akropolis, che si è vista costretta a “sospendere il protocollo” dopo il furto di 2 milioni di dollari nella stablecoin DAI. Il protocollo Value DeFi ha perso 6 milioni di dollari per via del fin troppo comune exploit tramite flash loan, il progetto di stablecoin fruttifere Origin Dollar è stato violato per 7 milioni di dollari, mentre Pickle Finance ha subito una perdita di collaterale da 20 milioni di dollari dopo un sofisticato exploit "evil jar."
Un incidente che si è distinto dagli exploit è stato un attacco personale avvenuto a metà dicembre. Hugh Karp, il fondatore del protocollo DeFi Nexus Mutual, ha perso 8 milioni di dollari dal suo wallet MetaMask quando un hacker è riuscito a infiltrare il suo computer e alterare una transazione. Questo tipo di attacco è generalmente meno comune, in quanto implica un certo grado di ingegneria sociale.
L’ultimo attacco flash loan segnalato nel 2020 è stata una violazione da 8 milioni di dollari ai danni di Warp Finance, avvenuta il 18 dicembre.
Inoltre, molti investitori e trader retail sono caduti vittima di phishing: anche i possessori di hardware wallet Ledger sono stati presi di mira, dopo la diffusione delle informazioni personali di circa 272.000 clienti.
Un anno di crescita a duro prezzo nella DeFi
La maggior parte degli exploit di smart contract e flash loan nel 2020 servirà a rinforzare l’emergente ecosistema finanziario nel corso del suo sviluppo. Il nuovo anno assisterà probabilmente all’arrivo di protocolli DeFi innovativi e intelligenti, ma come sempre hacker e criminali informatici saranno pronti a ingegnarsi per tenere il passo.
È necessaria una grande dose di cautela e attenzione per addentrarsi nell’attuale panorama della DeFi. Comunque sia, il settore ha compiuto passi da gigante in un periodo di tempo molto breve, e la finanza decentralizzata del futuro è in costante evoluzione.