2022. gadā uz kriptovalūtu balstīti projekti piedzīvoja virkni postošu uzlaušanu un ekspluatāciju, kas tiek uzskatīts par visu laiku sliktāko gadu, kad runa ir par digitālo aktīvu nodrošināšanu.
Kopumā šogad strauji pieauga kriptovalūtu uzlaušanas biežums, pārsniedzot rekordlielu 3 miljardu dolāru kopējo zaudēto līdzekļu apjomu — kāpumu no 2 miljardiem dolāru, kas tika zaudēti uzlaušanas dēļ 2021. gadā. saskaņā ar a Ķēdes analīze ziņot.
Gads mums parādīja, kā blackhat vai ļaunprātīgi hakeri izmanto arvien progresīvākas taktikas, lai izmantotu decentralizēto lietotņu nepilnības, kurās var būt kļūdas, tāpat kā jebkura cita programmatūra.
Viens no galvenajiem 2022. gada kriptovalūtu aplaupīšanas gadījumiem ir drošības incidenti, kas saistīti šķērsķēžu tilti un decentralizētie finanšu protokoli izcēlās ar zaudējumiem simtiem miljonu dolāru apmērā atsevišķu ekspluatāciju rezultātā. Šādu ekspluatāciju laikā hakeri bez atļaujas piekļuva kriptovalūtu aktīviem un nozaga tos, izmantojot viedo līgumu ievainojamības.
Šajā rakstā ir aplūkoti 2022. gada lielākie kriptovalūtu uzlaušanas gadījumi, kas nogāja greizi, izraisot katru uzbrukumu.
Ronin Network — 625 miljoni dolāru
29. martā Ronin, sānu ķēde, kas rīko Sky Mavis spēli Axie Infinity izmantoja 625 miljoni USD dažādos kriptovalūtos, padarot to par līdz šim lielāko kriptovalūtu aplaupīšanu. Sky Mavis izstrādāja Ronin, lai uzņemtu savu populāro blokķēdes spēli Axie Infinity. Taču situācija pagriezās uz ļaunāko pusi, kad komandai neizdevās nodrošināt Ronin tīklu no vainīgajiem. identificēti būt Ziemeļkorejas hakeru grupai Lazarus.
Ar uz e-pastu balstīts pikšķerēšanas uzbrukums bijušajam darbiniekam hakeru grupa ieguva piekļuvi Sky Mavis IT infrastruktūrai. Tur hakeri atrada un nozaga privātās atslēgas Ronin blokķēdes validatora mezgliem, kuras uzņēmums glabāja savos iekšējos serveros. Kad hakeriem bija piekļuve validatora atslēgām, viņi pārņēma kontroli pār visu Ronin tīklu un pārsūtīja vairāk nekā 173,600 25.5 ēteru (ETH) un 625 miljonus USDC stabilu monētu, kopumā pārsniedzot XNUMX miljonus USD.
Par laimi lietotājiem, kuriem šī incidenta laikā tika izņemti līdzekļi, lielākā daļa tika pilnībā atlīdzināti, apgalvoja uzņēmums. Nedēļu pēc uzlaušanas SkyMavis izvirzīts 150 miljonu ASV dolāru finansēšanas kārtā, ko vadīja Binance un apvienojot to ar saviem aktīviem atmaksāt visiem, kurus skārusi ekspluatācija.
FTX — 370–400 miljoni USD
Atšķirībā no citām lielākajām drošības zādzībām gada laikā, piemēram, tām, kas ietekmē decentralizētās blokķēdes lietotnes, kas darbojas, izmantojot viedos līgumus, tagad sabrukusī centralizētā birža FTX krita par vienu no lielākajiem uzlaušanas gadījumiem 2022. gadā. Novembrī FTX uzlaušana atklājās pēc biržas oficiālajiem Telegram administratoriem ziņots "nesankcionēta piekļuve."
Onchain dati parādīja, ka biržas maki zaudēja līdzekļus jebkur no 370 miljoniem USD $ 400 miljoni neilgi pēc tās bijušais izpilddirektors Sems Bankmans-Frīds iesniedza 11. nodaļas bankrota aizsardzību.
Dažus mizdevuma vietas sajaukts kapāt asprātībah kārtējais aizdomīgs 400 miljonu dolāru pārskaitījums, kas veikts no FTX pēc Bahamu salu Vērtspapīru komisijas rīkojuma par aktīvu glabāšanu, kas radīja neskaidrības. Tomēr abi bija atsevišķi incidenti.
Jaunais FTX vadītājs Džons J. Rejs III liecināja uzlaušana un cita liela aktīvu nodošana, ko pasūtīja Bahamu regulatori, bija atsevišķi. To pārbauda analītikas uzņēmums Chainalysis, kas sadarbojas ar FTX, lai izsekotu aktīvus.
"FTX nozagtie un uzlauztie 400 miljoni ASV dolāru ir pilnīgi atsevišķi no 400 miljoniem ASV dolāru, kas pieder Bahamu salu Vērtspapīru komisijai. Tomēr ir pilnīgi saprotams, ka cilvēkus tas mulsināja,” The Block sacīja Chainalysis pārstāvis.
Rejs arī atklāja sagatavotā liecībā dokuments ka FTX nešifrētā veidā glabāja privātās atslēgas saviem makiem un bija ieviesusi ļoti vājas drošības kontroles — faktori, kas varēja viegli pieļaut uzlaušanu.
Wormhole — 325 miljoni dolāru
Februārī Wormhole, šķērsķēžu tilta protokols, tika uzlauzts šī gada lielākajā tilta ekspluatācijā. Wormhole ļauj lietotājiem bloķēt savu ETH un saņemt piesaistītu īpašumu ar nosaukumu Wormhole ETH (wETH) Solana tīklā.
2. februārī Wormhole uzbruka hakeram, kurš izkrāpa noteiktus drošības parakstus uz tilta un izkala 120,000 XNUMX WETH vērtībā. $ 325 miljoni no zila gaisa. Hakeris Ethereum tīklā nomainīja nelikumīgi kalto WETH pret faktisko ETH, tādējādi iztukšojot visus Wormhole glabātos īpašumus.
Incidents apturēja tilta darbību un kādu laiku šķita, ka Wormhole beigas ir tuvu. Būtu bijis neticami sarežģīti atgūt zaudējumus, taču visiem par pārsteigumu dažas dienas pēc uzlaušanas tārpu caurums to teica aizstāt visu nozagto ETH un atvēra tiltu.
Jump Crypto, tirdzniecības un riska kapitāla uzņēmums, kas inkubēja Wormhole, apstiprināja, ka no saviem līdzekļiem papildināja nozagtos 120,000 XNUMX ETH, lai palīdzētu uzturēt tiltu.
Nomad - 190 miljoni USD
7. augustā Nomad — tilts, kas savieno Ethereum, Avalanche, Moonbeam un Evmos blokķēdes — cieta no gada otrā lielākā pārrobežu ķēžu tilta uzlaušanas. $ 190 miljoni zaudētos aktīvus. Uzlaušanu izraisīja kļūdains atjauninājums, kurā Nomad izstrādātāji kļūdaini norādījuši 0x00 (nulles adrese) kā uzticamo sakni.
Šī funkcija nozīmēja, ka ikviens varēja izņemt līdzekļus no tilta, neveicot trasta līguma pārbaudi, un viegli apiet tā drošību. Kā atjauninājums jautājums kļuva publisks, beidzies 300 adreses steidzās, lai sagrābtu naudu no Nomad, veicot bezmaksas ekspluatāciju. Par laimi, dažas adreses piederēja ētiskiem hakeriem, kuri vēlāk atgriezās 22 miljoni dolāru atpakaļ uzņēmumam Nomad.
Beanstalk Farms — 182 miljoni dolāru
Beanstalk Farms, stabilu monētu protokols, bija Uzbruka 2022. gada aprīlī gada lielākajā pārvaldības uzlaušanas programmā.
Nezināms hakeris izmantoja drošības nepilnības Beanstalk decentralizētajā autonomajā organizācijā (DAO), kas pārrauga lēmumu pieņemšanu saistībā ar stablecoin projektu. Vietnē Beanstalk ikviens varētu iesniegt priekšlikumu un saņemt to vienā dienā, ja tas saņemtu vairākuma balsu no Beanstalk vietējās pārvaldības, ko sauc par pupām, īpašniekiem.
Ļaunprātīgs aktieris iesniedza priekšlikumu, lūdzot kopienai nosūtīt kriptovalūtu aktīvus no Beanstalk kases uz hakera šifrēšanas adresi. Kad balsojums tika pieņemts, pārskaitījums tika veikts automātiski.
Uzbrucējs paņēma a ātrais kredīts, kredīts, kuru var ņemt bez ķīlas, ja tas tiek atdots viena un tā paša darījuma ietvaros. Ar šo hakeris nopirkts miljoniem dolāru pupiņu žetonos, lai nodrošinātu, ka viņiem ir pietiekami daudz žetonu balsojuma apstiprināšanai.
Izmantojot šo triku, hakeris varēja no projekta kases izvilkt apmēram 80 miljonus dolāru pupiņu žetonos, Beanstalk pamatizstrādātājiem to nezinot. Pēc tam hakeris Pārdeva šos pupiņu žetonus platformā, Beanstalk galīgie zaudējumi bija ievērojami lielāki. Apsardzes firma PeckShield novērtēts Incidents Beanstalk izmaksāja 182 miljonus ASV dolāru protokola zaudējumus.
Mango Markets — 114 miljoni dolāru
Lai gan tehniski tā nebija uzlauzta, Solana bāzētā aizdevumu platforma oktobrī cieta no masveida tirgus manipulācijas.
Uzbrucējs, kurš vēlāk tika uzskatīts par DeFi tirgotāju Avrahams Eizenbergs, vadīja komandu, kas uzbruka Mango Markets, lai piltuve. $ 114 miljoni klientu noguldījumos no platformas. Vēlāk viņš atzina savu līdzdalību.
Uzbrukums bija divējāds. Pirmkārt, Eizenbergs, iespējams, iegādājās desmitiem miljonu nelikvīdu Mango žetonu, kurus viņš noguldīja protokolā kā aizdevuma nodrošinājumu.
Otrkārt, ar aptuveni 5 miljoniem USD USDC stabilajā monētā viņš, iespējams, vairākas reizes paaugstināja Mango žetonu cenu, tādējādi mākslīgi palielinot viņa Mango aizdevuma nodrošinājuma noguldījumu dolāru vērtību. Viņš to varēja izdarīt, jo Mango žetoniem ir ļoti zema likviditāte daudzās biržās.
Mango marķieru pieaugošā tirgus vērtība lika datu orākulum domāt, ka Eizenberga noguldītie aktīvi ir vērti vairāk nekā 400 miljonu ASV dolāru vērtībā.
Ar palielināto nodrošinājuma vērtību viņš aizņēmās 114 miljonus USD kriptovalūtu aktīvos ar nolūku tos neatmaksāt, tādējādi gūstot milzīgu peļņu. Dienu vēlāk viņš piespieda Mango pārvaldību nodot balsojumu, piekrītot atdot 47 miljonus ASV dolāru kā baltās cepures sarunu darījumu. Līdz šim uzbrucēja identitāte nebija zināma.
Ķēdes sleuths izsekoja uzbrukumu līdz Eizenbergam. Viņš atļauts viņa līdzdalību, taču viņš noliedza, ka būtu darījis kaut ko nelikumīgu, apgalvojot, ka "izmanto protokolu, kā paredzēts". Acīmredzami varas iestādes nepirka Eizenberga argumentu “kods ir likums”.
Decembrī Eizenbergs bija aizturēts un ASV Tieslietu departaments apsūdzēts par noziegumiem, kas saistīti ar tirgus manipulācijām. Tieslietu ministrija viņu arestēja saistībā ar apsūdzībām krāpšanā ar precēm un preču manipulācijām Puertoriko.
BNB Token Hub — 120 miljoni USD
6. oktobrī nezināma persona veica vērienīgu uzbrukums BNB Token Hub, tilta pakalpojumā, kas darbojas starp BNB Chain — blokķēdi, kuru dibināja kriptovalūtu birža Binance — un Ethereum.
Izmantojot kļūdu tilta kriptogrāfiskās pārbaudes sistēmā, hakeris spēja pārņemt kontroli pār 2 miljoniem BNB žetonu, kas bija bloķēti uz tilta un kuru vērtība tobrīd bija 550 miljoni USD.
Hakerim izdevās pārskaitīt no BNB ķēdes tikai no 120 līdz 130 miljoniem ASV dolāru citas ķēdes, pirms tīkls tika apturēts. Tiklīdz uzbrukums tika atklāts, BNB ķēdes pārbaudītāji piekrita iesaldēt tīklu, lai pārņemtu hakera adresē glabātos 430 miljonus dolāru. Tīkls nedarbojās vairākas stundas, bet dienu vēlāk atkal sāka darboties.
Apvārsnis — 100 miljoni dolāru
Vēl viens protokols, kas kļuva par masveida uzlaušanas upuri, bija Horizon, tilts, kas savieno Ethereum ar Harmony blokķēdi. Jūnijā uzbrucējs nozaga 100 miljonus dolāru bloķēta Horizon pēc tam, kad tika apdraudētas pāris privātās atslēgas, kas pieder drošības administratora kontiem, kuri kontrolēja tiltu.
Līdzekļu pārsūtīšanas process no Horizon izstrādātāja līguma uz Ethereum ietvēra vairāku parakstu shēmu, kurai bija nepieciešams apstiprinājums tikai no diviem no pieciem administratora kontiem. Tas nozīmēja, ka ļaunprātīgam dalībniekam bija jānozag divas privātās atslēgas, lai apstiprinātu nesankcionētu pārsūtīšanu, un tieši tas notika, jo atzīmēja apsardzes firma Halborn.
Pēc piekļuves divām tilta administratora privātajām atslēgām, iespējams, izmantojot pikšķerēšanas uzbrukumus administratoriem. Pēc tam hakeris varēja apstiprināt darījumu, kas viņu kontrolē ieguva 100 miljonus USD.
Kubits - 80 miljoni ASV dolāru
Qubit, BNB ķēdes kreditēšanas un tilta protokols, janvārī bija gada pirmā liela mēroga kriptovalūtu uzlaušanas mērķis. Vietnē Qubit lietotāji varēja noguldīt ēteri (ETH) no Ethereum, un tilts BNC ķēdē izdeva piesaistīto aktīvu “xETH”. xETH varētu tikt izmantots kā nodrošinājums Qubit aizdevumu platformā.
27. janvārī hakeris izmantots Qubit programmatūras loģikas ievainojamība, kas padarīja xETH pieejamu lietošanai BNB ķēdē, nenoglabājot ETH vietnē Ethereum. Ievainojamības būtība bija tāda, ka tā ļāva uzbrucējam iegūt lielu daudzumu xETH, nenoguldot nekādus reālus līdzekļus.
Pēc tam, kad hakeris varēja iegūt daudz xETH, viņi paņēma vairākus aizdevumus no Qubit ar šiem žetoniem kā nodrošinājumu. Galu galā uzbrucējs iztērēja visus 206,000 80 BNB, kas bija noguldīti Qubit Finance, ņemot cikliski aizdevumus, kuru vērtība tobrīd bija aptuveni XNUMX miljoni USD.
Atruna: sākot ar 2021. gadu, Maikls Makkefrijs, bijušais The Block izpilddirektors un vairākuma īpašnieks, paņēma vairākus aizdevumus no dibinātāja un bijušā FTX un Alameda izpilddirektora Sema Bankmena-Frīda. McCaffrey atkāpās no uzņēmuma 2022. gada decembrī pēc tam, kad nebija atklājis šos darījumus.
Avots: https://www.theblock.co/post/196941/the-biggest-crypto-hacks-of-2022?utm_source=rss&utm_medium=rss