Skip to content
Kup krypto z 0% prowizji
Kup krypto z 0% prowizji
Kup krypto z 0% prowizji
Forum nr 1 o kryptowalutach w Polsce
Powiadomienia
Wyczyść wszystko
DeFi, NFT & Web3
2
Wpisy
3
Użytkownicy
0
Reactions
46
Widoki
Rozpoczynający temat 15/05/2026 12:30 pm
Kupuj kryptowaluty BLIKiem ⚡
Błyskawiczne wpłaty bez opłat i prowizji na giełdzie OKX.
Siema ekipa, tak sobie wczoraj w nocy kminiłem przeglądając krypto Twittera i naszła mnie gruba rozkmina. Co chwila słyszy się o jakichś nowych exploitach, włamach i drenażach portfeli, ale tak obiektywnie rzecz biorąc... jakie są w ogóle największe ataki hakerskie w historii DeFi?
Pamiętam ten chory dym z Ronin Network od gierki Axie Infinity. To było chyba lekko ponad 600 baniek zielonych w plecy, co nie? Goście weszli jak do siebie przez skompromitowane klucze walidatorów i na bezczelnego wyczyścili bridge'a. Totalny kosmos. Poly Network to też była niezła, absurdalna akcja. Haker wyciągnął grube miliony, a potem zaczął bawić się z devami, trollował w transakcjach i... oddawał hajs. Niby te całe zdecentralizowane finanse miały być mega bezpieczne, bo przecież na straży stoi blockchain i twarda matematyka, ale jak widać smart kontrakty bywają dziurawe jak stare sito.
Zastanawia mnie, co jeszcze wchodzi w absolutną topkę, jeśli chodzi o włamania w DeFi i gigantyczne kradzieże krypto. Często gęsto lecą ataki typu flash loan na mniejsze protokoły, gdzie jakiś łebski ananas w ułamku sekundy manipuluje wyroczniami cenowymi (wykorzystując błędy z oracles) i bezlitośnie zgarnia całe pule płynności. Czysta patologia, ale pod kątem technicznym to często majstersztyk.
Kojarzycie jakieś inne grube wałki na mostach cross-chainowych, jak na przykład to, co stało się z Wormhole? Albo exploity na platformach lendingowych typu Euler Finance? Wrzucajcie tu swoje typy na największe kradzieże tokenów i najciekawsze luki w zabezpieczeniach.
Ciekawi mnie też mocno, czy waszym zdaniem da się te ekosystemy naprawde w 100% uszczelnić. Wiadomo, audyty kodu swoje kosztują i dają jakąś tam nadzieję, ale w praktyce bezpieczeństwo zdecentralizowanych aplikacji to ciągle dziki zachód. Hajs z DeFi kusi zbyt mocno, żeby hakerzy odpuścili temat i poszli na etat. Gdzie według was leżą największe zagrożenia w kodzie?
Dajcie znać, co wam najbardziej utkwiło w pamięci i które włamania do protokołów DeFi zrobiły największy rozpierdziel na rynku. Może ktoś z was w ogóle oberwał rykoszetem i stracił środki przy jakimś włamie na bridge'a? Zapraszam do dyskusji, bo temat to totalna rzeka, a branża chyba nigdy nie przestanie nas zaskakiwać.
15/05/2026 12:35 pm
Kupuj kryptowaluty BLIKiem ⚡
Błyskawiczne wpłaty bez opłat i prowizji na giełdzie OKX.
Siema, fajnie że rzuciłeś ten temat, bo jak tak z perspektywy czasu spojrzymy na to, jakie są największe ataki hakerskie w historii DeFi, to włos się jeży na głowie. Kasa, która stamtąd wyparowała, to jest po prostu jakieś jedno wielkie nieporozumienie. Dobrze wspomniałeś Ronin i Poly, to absolutna klasyka gatunku, ale na liście gigantycznych kradzieży krypto brakuje mi tu jeszcze jednego grubego wałka. Kojarzysz włam na BSC Token Hub? To był główny bridge od ekosystemu Binance. Hakerzy wyczarowali sobie z powietrza 2 miliony tokenów BNB. Straty szacowano na grubo ponad 500 baniek zielonych, chociaż CZ i ekipa szybko zamrozili sieć, więc realny drenaż portfeli z ekosystemu był trochę mniejszy. Ale sam fakt, że ktoś znalazł niskopoziomową lukę w kryptografii mostu i wygenerował lewe dowody weryfikacji... no dla mnie to majstersztyk i czysta patola w jednym.
Pytałeś o manipulacje wyroczniami cenowymi, czyli te słynne błędy z oracles. Tu bezapelacyjnie na tapet wjeżdża akcja z Mango Markets na Solanie. Avi Eisenberg wszedł tam z grubym portfelem, napompował cenę mało płynnego tokena na spocie, a potem pod tę sztucznie zawyżoną wartość wziął gigantyczne pożyczki w stablecoinach. Wydoił z płynności cały protokół na grube miliony. Co jest w tym najśmieszniejsze? Gość potem pisał na Twitterze, że to nie był żaden nielegalny exploit na smart kontrakty, tylko wysoce dochodowa strategia handlowa i że użył platformy w 100% zgodnie z jej kodem. Kosmos.
Jeśli chodzi o luki w zabezpieczeniach zdecentralizowanych aplikacji, to niezły dym był też niedawno z Curve Finance. Tam z kolei zawiódł kompilator języka Vyper. Devs byli pewni, że kod jest legitny, a kompilator przepuszczał tzw. reentrancy attack. Hakerzy wpadli, zrobili pętlę i bezlitośnie wyprowadzali hajs z pul płynności, zanim smart kontrakt w ogóle ogarnął, że coś nie gra z saldem. To idealnie pokazuje, że nawet jak masz audyt za ciężkie pieniądze, to włamanie do protokołu DeFi może przyjść z najmniej spodziewanej strony – np. od samych narzędzi programistycznych.
Co do twojej rozkminy, czy da się te ekosystemy w 100% uszczelnić... Ni chuja. Nie ma absolutnie takiej opcji. Tak długo jak kod piszą zaganiani ludzie, zawsze będą pojawiać się jakieś zero-day bugi. A audyty? Większość to farsa robiona tylko pod zrzut ekranu na stronę główną projektu, żeby uspokoić ulice. Prawdziwe bezpieczeństwo dają tylko miesiące i lata mielenia kasy w boju on-chain. Hajs leżący w Web3 kusi za mocno, więc blackhaci całymi dniami skanują bloki w poszukiwaniu choćby najmniejszej szpary.
Zastanawiasz się czy ktoś stąd oberwał. Ja sam zaliczyłem solidnego rekta na jednym małym lendingu na Avalanche jakoś ze dwa lata temu. Wpadł jakiś łebski degen z flash loanem, zmanipulował cenę tokena jako zastawu i wyczyścił pule w dosłownie jednym bloku. Straciłem wtedy kilkaset dolców, więc bez jakiejś dramy, ale niesmak pozostał. Widzialem na Discordzie jak ludzie płakali, bo potracili tam oszczędności życia wrzucone dla głupich 20% APY.
Ta cała historia kradzieży w sieciach blockchain to niekończąca się telenowela. Co chwilę wpadają nowe exploity, a mosty cross-chainowe to w ogóle najsłabsze ogniwo tego cyrku. Trzymają ogromne ilości zablokowanej wartości (TVL) w jednym miejscu, więc są jak wielka tarcza strzelnicza dla każdego, kto umie czytać kod. Jak ktoś wrzuca cały kapitał w yield farming bez dywersyfikacji, to sam się prosi o wyzerowanie. Czekam aż ktoś tu jeszcze przypomni akcję z BadgerDAO, bo to z kolei był atak na sam front-end strony, a nie na bebechy kontraktów. Ktoś z ekipy pamięta tamten dym?
15/05/2026 12:40 pm
Kupuj kryptowaluty BLIKiem ⚡
Błyskawiczne wpłaty bez opłat i prowizji na giełdzie OKX.
Siema, o stary, dobrze że wywołałeś to BadgerDAO do tablicy. To był niezły plaskacz dla wszystkich, którzy naiwnie wierzyli, że jak tylko kod z tyłu ma solidny audyt, to można spać spokojnie i zapomnieć o ryzyku. Ktoś po prostu wbił im na Cloudflare'a, wkleił złośliwy skrypt na froncie strony i ludzie sami z uśmiechem na ustach oddawali uprawnienia hakerowi. Nawet zimny portfel tu nie pomoże, jak w ciemno klikasz sign na lewy adres. To świetnie pokazuje, że wektory włamów na zdecentralizowane aplikacje to nie tylko bebechy i smart kontrakty.
Skoro gadamy o tym jakie są największe ataki hakerskie w historii DeFi, to ja bym tu jeszcze koniecznie dorzucił absolutny cyrk z Nomad Bridge. Pamiętacie ten dym? To nie był żaden turbo skomplikowany exploit, atak typu flash loan czy sprytna manipulacja wyroczniami, o których tu pisaliście. Devs przy jakiejś aktualizacji wypuścili w świat tak głupi błąd w kodzie, że protokół zaczął łykać fałszywe transakcje jak pelikan. Wystarczyło dosłownie wejść w eksplorator bloków, skopiować dane transakcji od pierwszego lepszego hakera, podmienić adres na swój i kliknąć wyślij. Zwykli ludzie z Twittera odpalali w nocy boty zrobione na kolanie i zgarniali darmowy hajs. To była kradzież krypto na zasadzie pospolitego ruszenia, dosłownie tłum z ulicy wszedł i wydoił bridge'a na prawie 200 baniek zielonych. Czysta anarchia.
Co do tej waszej rozkminy o bezpieczeństwie... Pełna zgoda, że w stu procentach się po prostu nie da tego załatać. Luki w zabezpieczeniach są wliczone w koszta tej zabawy. Dlatego dorzucę od siebie jedną, kluczową rade dla każdego, kto siedzi w DeFi.
Traktujcie każdy jeden protokół tak, jakby jutro miał paść i zniknąć. Używajcie Revoke.cash albo podobnych tooli. Jak tylko skończycie farmienie, wyciągacie płynność z lendingu albo przerzucacie siano przez mosty cross-chainowe, OD RAZU cofajcie uprawnienia (token approvals) dla kontraktu. Ile to już razy słyszało się płacz na Discordach, bo jakiś gość po roku stracił środki ze swojego głównego portfela? Wszystko dlatego, że kiedyś tam z lenistwa klepnął nielimitowany dostęp dla platformy, która akurat wczoraj dostała exploita i zaliczyła potężny drenaż portfeli.
Złota zasada w Web3: rozbijać kapitał na drobne i używać burner walletów do testowania nowych degenowych rzeczy. Lepiej przepalić parę dolców na gazie, niz rano obudzić się z totalnie wyzerowanym kontem. Macie w ogóle wyrobiony nawyk sprawdzania na co tak naprawdę zezwalacie podpisując transakcje w Metamasku?