Saskaņā ar TRM Labs analīzē, 2022. gads bija rekordliels kriptovalūtu uzlaušanas gads, jo tika nozagti aptuveni 3.7 miljardu dolāru vērti kriptovalūtu dati. DEFI uzbrukumi bija izplatīti, aptuveni 80% jeb 3 miljardu ASV dolāru apmērā, kuros bija iesaistīti DeFi upuri.
Dodoties uz 2023. gadu, optimistiski domājot par topošās tehnoloģijas solījumu, mums ir jāatskatās atpakaļ, lai mācītos no izaicinājumiem un neveiksmēm, ar kurām saskārāmies vēlāk.
Ronin Bridge infrastruktūras kriptogrāfijas uzlaušana
Aksijs bezgalība Ronin tilta kriptogrāfijas uzlaušana martā ir saraksta augšgalā ar 612 miljoniem dolāru. Roninas tilts ir Ethereum sānu ķēde Axie Infinity spēlei, lai nopelnītu.
Kriptogrāfijas hakeri, kas šodien tiek identificēti kā Ziemeļkorejas kibernoziegumu grupa ar nosaukumu Lazarus, ieguva piekļuvi deviņām Roninas tilta darījumu pārbaudītāju privātajām atslēgām. Izmantojot atslēgas, viņi apstiprināja lielus darījumus, vienu par 173,600 25.5 ETH un otru par XNUMX miljoniem USDC.
Hakeri pārvietoja kriptovalūtu uz Tornado skaidru naudu, atvērtā koda kriptovalūtu un vairākām citām biržām.
Sabiedrības kopīgie centieni, Binants, Chainalysis un tiesībaizsardzības iestādes palīdzēja izsekot dažiem līdzekļiem.
BSC Beacon pārrobežu tilta koda izmantošana
Oktobrī hakeri izmantoja ievainojamību BSC Beacon pārrobežu tilta kodā, lai nozagtu kriptovalūtu 570 miljonu ASV dolāru vērtībā. Tilts ir būtiska BNB ķēdes sastāvdaļa.
BSC Beacon ķēde, saukta par Token Hub, ir šķērsķēžu tilts starp BNB Beacon Chain (BEP2) un BNB Chain (BEP20/BSC).
Uzbrukums izdevās kriptogrāfisko pierādījumu viltošana sauca par Merkles pierādījumu, kas apstiprināja datus, piemēram, darījumus, kā derīgus un iekļautus blockchain. Kripto hakeris izmantoja viltus Merkles pierādījumu, lai pārskaitītu līdzekļus no BSC Beacon pārrobežu tilta uz citām ķēdēm.
Tether bloķēja uzbrucēja adresi, savukārt vairāk nekā 7 miljoni ASV dolāru, kas tika pārvietoti no BNB ķēdes, tika faktiski iesaldēti.
Wormhole tilta koda izmantošana
Februārī kriptogrāfijas hakeri izmantoja tārpa cauruma kodu kriptovalūtai 326 miljonu ASV dolāru vērtībā. Tārpu caurums ir simbolisks tilts starp Solanu un Ethereum.
Kriptogrāfijas hakeris izmantoja novecojušu/beigtu nedrošu funkciju, lai apietu paraksta verifikāciju.
Novecojušu kodu var salīdzināt ar līmlapiņu, kurā teikts: "Es to turpmāk izdzēsīšu." Jūs tagad nevarat izdzēst kodu, jo daži patērētāji to joprojām izmanto.
Paraksta pārbaudes delegāciju ķēde ļāva veikt kriptovalūtu uzlaušanu. Novecojusī funkcija nepārbaudīja adreses, ļaujot pārbaudīt viltotu parakstu.
Pēc kiberanalītiķu domām, izstrādātāji būtu varējuši izvairīties no uzbrukuma, ja būtu praktizējuši "drošu kodēšanu".
Nomad tilta koda izmantošana
Hakeri augustā izmantoja Nomad kriptovalūtu tiltu, kura vērtība bija 190 miljoni USD. Hakeris praktiski iztērēja visus protokolā paredzētos līdzekļus — pieaugošie varoņdarbi apšaubīja pārrobežu ķēžu marķieru tiltu drošību.
Tilti darbojas, bloķējot marķierus viedā līgumā vienā ķēdē un pēc tam atkārtoti izdodot tos “iesaiņotā” formātā citā ķēdē. Nomad gadījumā uzbrukums sabotēja līgumu, padarot tā iesaiņotos žetonus nevērtīgus.
Nomads faktiski izsniedza dāvinājumu, pieprasot hakeram paturēt 10% līdzekļu, un viņam nav jāvēršas tiesā, kā arī papildu baltā cepure. NFT. Galu galā uzbrucējs atdeva tikai 36 miljonus dolāru.
Beanstalk protokola uzbrukums
Liktenīgā aprīļa nedēļas nogalē hakeris izmantoja zibatmiņas aizdevumu, lai no Beanstalk stablecoin protokola nozagtu ETH, BEAN stablecoin un citus aktīvus 182 miljonu dolāru vērtībā.
Ātrais aizdevums ir funkcija, kas lietotājiem ļauj aizņemties aktīvu, veikt ātru darījumu un atmaksāt to vienā sarežģītā darījumā, izmantojot vairākus protokolus.
Uzbrucējs iesniedza divus ļaunprātīgus priekšlikumus Beanstalk DAO, izmantojot ārkārtas apņemšanās funkciju, kas prasīja ⅔ balsojumu un pēc tam tika ieviests pēc 24 stundām.
Uzbrucējs palaidnīgi izmantoja zibatmiņas aizdevuma funkciju, lai iegūtu 79% kontroli un nodotu savu priekšlikumu.
Protokolā norādītos līdzekļus sava zibatmiņas kredīta dzēšanai un pārējos līdzekļus uzbrucējs nosūtīja uz Ukrainas fonda adresi. Galu galā viņš guva peļņu 76 miljonu dolāru apmērā.
Vairāk mega kriptovalūtu uzlaušanas
Pie citiem milzīgiem kriptovalūtu uzlaušanas gadījumiem pieder Wintermute 160 miljonu dolāru uzbrukums infrastruktūrai aprīlī, Maiar/Elrond 113 miljonu dolāru uzbrukums infrastruktūrai jūnijā, Mango Markets 112 miljonu dolāru vērtais infrastruktūras uzbrukums oktobrī un Harmony tilta 100 miljonu dolāru uzbrukums infrastruktūrai jūnijā.
Avots: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/