В 2021-м крипторынок отметился не только историческими максимумами в котировках многих известных цифровых монет, но и стал рекордным по объему средств, украденных мошенниками и взломщиками. Так, с начала года было более 20 случаев взлома на сумму более $10 млн, в шести из которых украдено более $100 млн. При этом всё чаще мишенью хакеров становятся DeFi-платформы, которые можно считать своего рода банками в мире криптовалюты. «Известия» вместе с экспертами инвесткомпании Exante собрали самые громкие из них.
Взлом криптобиржи Bitmart
Это крупная централизованная криптобиржа, зарегистрированная на Каймановых островах, но располагающая офисами в США, Китае и нескольких других странах. В первых числах декабря взлому подверглись ее «горячие» кошельки, с которых в основном были выведены токены SHIB, USDC, BNB и некоторые другие. На три дня работа биржи была приостановлена, а руководство обещает компенсировать часть средств пострадавшим: ущерб оценивается в $150–200 млн, криптобиржа заявила, что вернет $150 млн жертвам атаки.
Взлом DeFi-протокола Badger DAO
Badger DAO — децентрализованная организация для поиска решений, ускоряющих использование биткоина в DeFi и других проектах. К началу прошлого года она входила в десятку крупнейших DeFi с активами $1,2 млрд. Взлом произошел в начале декабря, в результате чего была утрачена десятая часть этой суммы — $120 млн. Причем один из пользователей лишился $50 млн, а цена токена Badger упала вдвое — с $28 до $14. Сейчас Badger DAO думает над тем, как возместить убытки пользователям.
Скам-токен Squid
Осенью самым нашумевшим скам-проектом стал токен Squid по мотивам сериала «Игра в кальмара». Этот токен был сразу странным: пока идет «игра», его нельзя продавать, сайт проекта зарегистрирован на скрытое лицо и имеет очень мало посещений, White Paper проекта предельно краток и исчезает вскоре после публикации. Тем не менее благодаря популярности сериала многие решили вступить в «игру на выживание». И «выжил» в ней лишь один игрок — сам мошенник. К началу ноября цена токена взлетела до $2862, а затем обвалилась до $0,0007926 — 40 тыс. инвесторов остались «с носом». Впрочем, вскоре токен получил вторую жизнь, будучи принятым на ряд бирж на правах «мем-токена». Сейчас он стоит около $0,1, что вряд ли утешит наиболее «дорогих» инвесторов, но всё же на порядок выше его скам-минимума. По некоторым подсчетам в результате скама было привлечено $3,4 млн.
Взлом платформы Poly Network
Взлом компании, занимающейся трансфером криптовалют, произошел в августе и имел уникальные последствия: после переговоров хакер вернул большую часть из украденных $600 млн. Он получил благородную репутацию «честного» обнаружителя уязвимости, а в дальнейшую практику DeFi-сообщества вошла выплата вознаграждения для таких хакеров в размере 10% украденного. Сам он под псевдонимом Mr. White Hat написал: «Я бы сказал, что поиск слепых пятен в архитектуре Poly Network является одним из лучших моментов в моей жизни. Если честно, у меня действительно были некоторые эгоистичные мотивы сделать что-то крутое, но безобидное… Потом я понял, что стать моральным лидером было бы крутейшим хаком, который я когда-либо делал». Впрочем, далеко не все верят в благородные мотивы взломщика: с высокой вероятностью основной причиной возврата средств были допущенные им ошибки при взломе, в теории позволявшие выследить его и поймать.
Взлом DeFi-проекта EasyFi
Проект EasyFi занимается микрокредитованием. Добыв закрытые ключи к аккаунту администратора, хакер похитил токены EASY, а также стейблкоины USDT и DAI, переведя средства, эквивалентные $80 млн, на неизвестный кошелек в сети эфира. Проект сохранил работоспособность, но его популярность сильно пострадала. Незадолго до взлома токен стоил более $30, а потом скатился к уровням $4–5, где и остается до сих пор.
Эксплойт Compound Finance
Compound Finance — еще один кредитный сервис, позволяющий занимать деньги и давать их взаймы без посредников. Процентные ставки определяются алгоритмически на основе анализа спроса и предложения. Одно из обновлений сервиса было выпущено с ошибкой, из-за которой пользователи получили возможность извлечь неоправданно высокую награду. Им были ошибочно розданы токены COMP на сумму более $120 млн. Основатель сервиса попросил пользователей вернуть 90% этих средств. Часть средств действительно вернулась, но $80 млн вернуть не удалось. Впрочем, в отличие от реальных взломов данный инцидент скорее послужил рекламой сервиса «бесплатно раздающего токены». Цена токена COMP почти не пострадала.
Взлом DeFi-проекта Cream Finance
В течение одного года этот протокол кредитования подвергся трем атакам: в феврале на $38 млн, в августе на $18 млн и в сентябре на $130 млн. В двух последних случаях атакующие использовали уязвимости в механизме начисления микрозаймов. Интересно, что в августовском случае хакер вернул компании 90% украденных средств, оставив себе 10% как вознаграждение за нахождение уязвимости. Но всё это оказалось незначительным на фоне следующей более крупной кражи. В ноябре платформа объявила о возврате пользователям всех средств из казначейства проекта и даже из личных токенов разработчиков. Цена токена CREAM на этой новости упала на 35%, а к моменту подготовки этого материала — более чем втрое.
Пирамида Finiko
Проект, ставший популярным преимущественно в российском сегменте, привлекал инвесторские средства в BTC и USDT с декабря 2019-го, обещая доходность 30% в месяц. В июле 2021-го площадка запретила вывод средств с аккаунтов, а затем руководитель вывел криптовалюты на неизвестные кошельки через миксеры и другие компании-посредники. Минимальный депозит составлял $1 тыс., а за привлечение новых участников назначались премии. Внутри компании существовала внутренняя валюта — цифроны, — которая не обращалась на биржах, а продавалась по цене, диктуемой Finiko. В начале 2021 года ЦБ РФ отметил, что Finiko имеет признаки финансовой пирамиды, и в итоге оказался прав. По некоторым подсчетам Finiko привлекла $1,5 млрд в биткоине.
Экзит-скам биржи Thodex
Эта турецкая криптовалютная биржа была основана в 2017 году, а к 2021 году имела около 400 тыс. активных пользователей и почти $0,5 млрд дневного объема торгов. Но внушительные показатели не удержали руководство в рамках честного бизнеса. В апреле основатель биржи просто забрал хранящиеся средства на сумму $2 млрд и покинул страну. Возможно, к этому поступку его подтолкнул запрет ЦБ Турции с 30 апреля расплачиваться криптовалютой, что могло снизить популярность сервиса и вынудить его уйти в подполье. Не дожидаясь этого, основатель принял более радикальное решение.
Экзит-скам биржи Africrypt
Эта инвестиционная компания и биржа была создана в 2019 году, а в апреле 2021-го прекратила работу, заявив о взломе. К лету выяснилось, что с высокой вероятностью никакого взлома не было, а средства похищены руководителями компании. Таким образом, история Thodex повторилась, но еще с большей украденной суммой. На данный момент эта сумма — крупнейшая в истории криптоскама и составляет $2,3 млрд.