Neskatoties uz to, ka kriptovalūtu tirgi ir ieslodzīti smagas lejupslīdes slazdā, krāpniecība un uzlaušana Web3 dega visu 2022. gadu. Sliktas riska pārvaldības un iekšējās manipulācijas dēļ sabruka arī vairāki augstākā līmeņa centralizēto kriptovalūtu smagsvari.
Kad kriptovalūtu segments tuvojas Jaunajam gadam, U.Today apkopo visbīstamākās kriptovalūtas izkrāpšanas, to saknes, dizainu un radītos zaudējumus. Mēs esam arī sagatavojuši īsu pārskatu par visbiežāk sastopamajām kriptovalūtu izkrāpšanām sociālajos medijos, kas katru dienu ir vērstas uz miljoniem lietotāju.
2022. gada kriptogrāfijas izkrāpšana un uzlaušana: īsi fakti
Saskaņā ar daudziem kibersec ziņojumiem, 11. gada pirmajos 2022 mēnešos hakeriem un krāpniekiem izdevās nozagt kriptovalūtu bezprecedenta apmērā 4.2 miljardu ASV dolāru apmērā, kas ir par 37% vairāk nekā 2021. gadā, kad atslēgas kriptovalūtas bija 2x-3x dārgākas.
- Lielākie uzbrukumi tika veikti pret starpķēžu protokoliem — Axie Infinity tilta mehānismu Ronin un vairāku protokolu ekosistēmu Wormhole.
- Terra (LUNA) ekosistēmas sabrukums, tās galvenais DeFi enkura protokols (ANC) un USD piesaistītā stabilā monēta TerraUSD (UST) veicināja 2. gada 4. ceturkšņa–2022. ceturkšņa lāču lejupslīdes fāzi.
- Drāma ap vairs neesošo kriptovalūtu biržu FTX un saistīto tirdzniecības uzņēmumu Alameda Research bija lielākais centralizēto pakalpojumu sabrukums 2022. gadā.
- Neraugoties uz plašsaziņas līdzekļos plaši apspriestajiem lielākajiem uzlaušanas gadījumiem, lielākā daļa kriptovalūtu izkrāpšanu tiek organizētas, izmantojot vecās metodes: viltus gaisa pilieni, ļaunprātīgas “atkopšanas programmas”, krāpnieciskas arbitrāžas shēmas un tamlīdzīgi.
- Šķiet, ka vairāki lieli uzlaušanas gadījumi bija baltās cepures operācijas: uzbrucēji atdeva nozagto naudu apmaiņā pret iespaidīgām kļūdām.
- Gandrīz 12% no visiem BEP-20 marķieriem un 8% no ERC-20 marķieriem ir krāpnieciski; Katru dienu tiek uzsāktas 350 jaunas krāpniecības.
Šajā pārskatā mēs atsaucīsimies uz mērķtiecīgi uzsāktām krāpšanām un projektiem, kas sākotnēji bija likumīgi kā “krāpniecība”, savukārt “uzlaušana” ir trešo pušu uzbrukumi likumīgiem projektiem, kas tiek izpildīti bez “iekšējās informācijas” notikumiem.
2022. gada populārākās kriptovalūtu izkrāpšanas un sabrukumi
2022. gadā Bitcoin (BTC), Ethereum (ETH) un visas galvenās kriptovalūtas zaudēja vairāk nekā 70–80% no ATH, savukārt lielākajā daļā ietekmēto segmentu — metaversu marķieros, GameFi marķieros, Solana (SOL) ekosistēmā — vidējie zaudējumi pārsniedz 90 %. Dažiem kriptovalūtu uzņēmumiem neizdevās pārdzīvot tik sāpīgu kritumu.
Terra (LUNA)/Terra USD (UST)
Ar EVM saderīga viedā līgumu platforma Terra (LUNA) bija viena no 2021. gada pārspīlētākajām Ethereum (ETH) slepkavām. Tomēr lielākā daļa tās TVL tika koncentrēta uz Anchor Protocol (ANC), vienkāršu ražas lauksaimniecības iekārtu, kas piedāvāja 19% APY par noguldījumiem Terra USD (UST), Terra tagad vairs neeksistē USD piesaistītā stabilā monēta. Kopumā 20. gada pirmajā ceturksnī Anchor (ANC) tika bloķēti vairāk nekā 1 miljardu dolāru apmērā.
Tomēr 2022. gada maija sākumā kāds sāka agresīvi sūtīt UST uz Curve Finance (CRV) DeFi fondiem un apmainīt žetonus uz USD Coin (USDC). UST zaudēja savu piesaisti. Terraform Labs un tās izpilddirektors Do Kwon sāka iepludināt likviditāti UST/LUNA mehānismā. Tomēr masveida kapitāla apjoma dēļ gan LUNA, gan UST samazinājās līdz gandrīz nulles vērtībām. Terra (LUNA) blokķēde tika apturēta uz visiem laikiem.
Kā iepriekš rakstīja U.Today, pētnieki atklāja, ka sabrukumu izraisīja Terraform Labs: masveida UST pārsūtīšanu atļāva Do Kwon. Terra dibinātājs, iespējams, skrēja uz Serbiju un mēģina tur izņemt savus Bitcoins (BTC).
Trīs bultu galvaspilsēta
Three Arrows Capital (3AC), ko izveidoja Su Zhu un Kyle Davies, Kolumbijas universitātes absolventi un Credit Suisse veterāni, bija viens no ietekmīgākajiem kriptovalūtas riska ieguldījumu fondiem. Pateicoties tam, ka tas bija agrīns ieguldītājs Ethereum (ETH), Avalanche (AVAX), Solana (SOL) un citos, tas AUM uzkrāja vairāk nekā 20 miljardus ASV dolāru.
Tomēr sabrukusi LUNA bija viens no galvenajiem 3AC portfeļa elementiem. Komanda ieguldīja vairāk nekā $ 600 miljonus Terra (LUNA): šī masīvā akciju daļa tika dzēsta divu nedēļu laikā pēc LUNA/UST sabrukuma.
16. gada 2022. jūnijā FT paziņoja, ka uzņēmums 3AC nav izpildījis savas papildu prasības Terra Enchor Protocol zaudējumu dēļ. Uzņēmums arī atradās zem ūdens savās pozīcijās Staked Ether (stETH) Lido Finance (LDO) DeFi un Grayscale Bitcoin Trust (GBTC). Jūnijā tai neizdevās atmaksāt aizdevumu kriptovalūtu gigantam Voyager. Jūlija beigās BVI tiesa uzņēmumu likvidēja, savukārt 3AC vadība iesniedza bankrota pieteikumu. Kopumā 20 investori 3AC zaudēja vairāk nekā 3.5 miljardus USD.
Ceļotājs
Arī ASV reģistrētais kreditors Voyager kļuva par sliktas riska pārvaldības upuri: uzņēmums Three Arrows Capital piešķīra 650 miljonus ASV dolāru nenodrošinātu aizdevumu, kamēr tā neto AUM bija gandrīz 5.9 miljardi ASV dolāru. Platforma lepojās ar 3.5 miljoniem klientu, no kuriem 97% ieguldīja mazāk nekā 10,000 XNUMX USD.
Kopumā Voyager sabruka tāpēc, ka tā komanda izvēlējās riskantu biznesa stratēģiju: tā piedāvāja aizdevumus vairākiem tirdzniecības pakalpojumiem un atsevišķiem kriptovalūtu tirgotājiem. Tā kā aizdevēji sāka masveidā izņemt naudu, jūlija sākumā Voyager iesaldēja klientu līdzekļus. Dažas dienas vēlāk tā Ņujorkā iesniedza bankrota aizsardzības pieteikumu.
Tā kā platforma bija orientēta uz maza izmēra mazumtirdzniecības klientiem, tās sabrukums bija sāpīgākais kriptovalūtas entuziastiem.
Celsija
Celsius faktiski bija pirmais uzņēmums, kas ziņoja par savām problēmām: 2022. gada aprīlī platforma paziņoja, ka tā glabās visus neakreditētu investoru aktīvus: šī klientu daļa tāpēc nevarēja nodrošināt jaunu likviditāti un saņemt atlīdzību.
2022. gada maijā, baidoties no UST un Terra drāmām, lietotāji sāka izņemt naudu no Celsija protokola. 12. gada 2022. jūnijā Celsius iesaldēja 1.7 miljonu klientu (galvenokārt privāto investoru) līdzekļus. Tāpat kā Voyager, tas jūlija sākumā iesniedza bankrota pieteikumu.
14. gada 2022. jūlijā Celsius juridiskais padomnieks Kirkland & Ellis dalījās, ka platformas vadītāji tika informēti par 1.3 miljardu dolāru robu tās bilancē.
FTX
Sema Bankmana-Frīda kriptovalūtu biržas FTX un ar to saistītās kriptovalūtu ieguldījumu firmas Alameda Research sabrukums bija vispārsteidzošākā drāma Web3: SBF un viņa komanda mēģināja iegūt milzīgu kontroli pār nozari, parakstot desmitiem partnerību, parādoties uz Forbes vākiem un tā tālāk.
Tomēr Alameda Research bilance lielā mērā bija atkarīga no FTX Token (FTT), FTX vietējās kriptovalūtas. Tāpēc visa sistēma sabruka, kad Binance izpilddirektors Changpeng “CZ” Zhao sāka agresīvi pārdot FTT (CZ izlaida vairāk nekā 500 miljonus USD ekvivalentā).
Tāpat kā visos līdzīgos gadījumos, investori sāka masveidā izņemt savu naudu no FTX. Platforma apturēja izņemšanu, SBF atkāpās no izpilddirektora amata un iesniedza bankrota pieteikumu. Tikmēr kļuva zināms, ka viņš izmanto investoru un klientu naudu savā tirdzniecības firmā Alameda Research. Šausmīgās nepareizās vadības dēļ Alameda Research atradās krietni zem ūdens. SBF tika arestēts un atbrīvots pret drošības naudu, savukārt realizētie zaudējumi no FTX sabrukuma sasniedza 9 miljardus USD ekvivalentā apmērā.
Populārākie kriptovalūtu uzlaušanas gadījumi 2022. gadā
Kā par analīze Merkle Science kiberdrošības ekspertu teiktā, starptīklu tilti ir īpaši neaizsargāti pret ekspluatāciju to tehniskās sarežģītības un ļoti eksperimentālā rakstura dēļ.
Tilti starp ķēdēm bieži ir vairāk pakļauti ekspluatācijai, jo tiem ir nepieciešama vairāk mijiedarbības un līgumu apstiprinājumu nekā citiem protokoliem. Turklāt tilti ir jutīgāki pret uzbrukumiem, jo tos vada neauditēti datoru kodi. Turklāt nav zināmas arī pārbaudītāju/mezglu identitātes, kas veic darījumus
2022. gadā tilti bija primārie uzbrukumu mērķi, savukārt hakeri izmantoja arī citus DeFi mehānismus.
Tārpa caurums
3. gada 2022. februārī hakeri uzbruka Wormhole — tiltam, kas paredzēts, lai atvieglotu vienmērīgu vērtību pārsūtīšanu starp neviendabīgām blokķēdēm. Koda ievainojamības dēļ viņiem izdevās Solana (SOL) blokķēdē izdot 120,000 XNUMX iesaiņotu ēteru (wETH), neievietojot atbilstošo Ethereum (ETH) nodrošinājumu.
Uzlaušana var novest pie jebkuras DeFi platformas maksātnespējas, kas būtu gatava pieņemt 120,000 XNUMX WETH (izdrukātu no zila gaisa) kā nodrošinājumu. Par laimi, sliktākais scenārijs nenotika.
Jump Crypto, pakalpojuma Wormhole mātes uzņēmums, uzņēmās visus zaudējumus: viņi nekavējoties papildināja 120,000 XNUMX ēteru protokola likviditātes fondos.
Ronin
23. martā Ziemeļkorejas hakeri no Lazarus, bēdīgi slavenā valsts atbalstītā kibernoziedzīgā grupējuma, uzbruka tīklam Ronin. Ronin ir Ethereum līdzīga sānu ķēde, kas izstrādāta īpaši Axie Infinity, vadošajam GameFi. Uzbrucēji Roņinam atņēma milzīgus 568 miljonus dolāru.
Hakeriem izdevās iegūt kontroli pār pieciem no deviņiem Ronin Bridge validatora parakstiem. Pēc tam viņi atļāva divus darījumus — 173,600 25.5 ēteru (ETH) un 445 miljonus USD monētu (USDC). No šī milzīgā laupījuma vairāk nekā XNUMX miljoni USD tika legalizēti, izmantojot Tornado Cash kriptogrāfijas mikseri.
Axie Infinity izstrādātājs Sky Mavis piesaistīja papildu finansējumu, pasūtīja CertiK vēl vienu drošības auditu un palielināja multisig slieksni no 5/9 līdz 8/9.
Klejotāju
2022. gada augustā no Nomad, vairāku ķēžu tilta mehānisma, kas pārvieto vērtību starp Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) un citām blokķēdēm, tika iztērēti 190.7 miljoni ASV dolāru kriptovalūtā. Uzbrucējiem izdevās izmantot viedā līguma dizaina ievainojamību: protokols ļāva lietotājiem izņemt līdzekļus no mērķa blokķēdes, nepārbaudot, vai tie ir līdzvērtīgi sākotnēji izvietotajai summai.
12/ tl;dr rutīnas jauninājums atzīmēja nulles hash kā derīgu sakni, kas ļāva ziņojumiem tikt viltus vietnē Nomad. Uzbrucēji to izmantoja ļaunprātīgi, lai kopētu/ielīmētu darījumus, un ātri iztukšoja tiltu satracinātā bez maksas
— šis tagad ir sūdu pasta konts (@samczsun) Augusts 2, 2022
Vienkārši sakot, pēc regulārās jaunināšanas lietotāji varēja iemaksāt 1 ETH Ethereum (ETH) un lūgt 100 Ethereum (ETH) ekvivalentu izņemšanu no Avalanche (AVAX).
Lieta ir tāda, ka katrs tehnoloģiju lietpratējs Web3 entuziasts bija spējis atkārtot šo uzbrukuma vektoru un nozagt līdzekļus no Nomad pirms ielāpa izlaišanas. Tādējādi daudzi Ethereum (ETH) izstrādātāji izņēma līdzekļus, lai tos nosūtītu atpakaļ Nomad komandai: gandrīz 40 miljoni ASV dolāru tika nosūtīti atpakaļ.
Beanstalk
16. gada 2022. aprīlī uz Ethereum balstīto stablecoin projektu Beanstalk (BEAN) tika vērsts sarežģīts zibatmiņas aizdevuma uzbrukums. Proti, ļaundariem izdevās iegūt ātro kredītu Aave Finance (AAVE) un nopirkt nepieciešamo pārvaldības žetonu daudzumu, lai pārņemtu kontroli pār protokolā paredzētajiem ķēdes referendumiem.
Tad uzbrucēji ieguva balsu vairākumu un apstiprināja naudas pārskaitījumu uz savu kontu. Kad tika pārskaitīti 180 miljoni dolāru, viņi nekavējoties atmaksāja ātro kredītu; tīrā peļņa pārsniedza 80 miljonus ASV dolāru.
Ziemas skaņa
2022. gada septembrī Wintermute, kas ir viena no lielākajām tirgus veidošanas platformām, tika iztērēta par 160 miljoniem ASV dolāru. Uzbrucēji atklāja, ka daži no Wintermute atslēgu makiem tika izveidoti, izmantojot Profanity, Ethereum (ETH) tīkla “iedomības adrešu” ģeneratoru. Šādas programmas var izveidot kriptovalūtu makus ar cilvēkiem lasāmām adresēm, piemēram, 0xJohnDoe1111… un tamlīdzīgi.
Profanity dizaina ievainojamības dēļ uzbrucējiem izdevās brutāli piespiest iedomības adreses un atgūt privātās atslēgas. Uzbrukums kļuva iespējams, jo ļaundari izmantoja ievērojamus skaitļošanas resursus.
Bonuss: neuzkrītieties uz šīm ilgstošajām krāpniecībām
Līdzās sarežģītiem scenārijiem, kas ietver 1 miljarda dolāru zibatmiņas aizdevumus, Ziemeļkorejas hakeri un iespaidīga aparatūra brutālu piespiešanu, ļoti primitīvas krāpniecības kampaņas parādās šeit un tur. Kopš 2022. gada kriptovalūtā ir ļoti izplatīti trīs uzbrukumu modeļi:
1. Viltus gaisa pilieni. Lai īstenotu šo krāpniecību, ļaundari organizē YouTube reklāmas kampaņu vai ievieto savu reklāmu Twitter. Pēc tam viņi paziņo, ka interneta slavenība (Snoop Dogg), vadošais tehnoloģiju uzņēmējs (Vitāliks Buterins vai Elons Masks) vai pat politiķis (Donalds Tramps) laiž apgrozībā kriptovalūtu. Visiem, kas ir gatavi pieprasīt savus bonusus, ir jānosūta sākotnējais depozīts (kas, iespējams, tiktu atgriezts ar 100% peļņu) vai savas privātās atslēgas. Lieki piebilst, ka abas grupas zaudēs savus noguldījumus vai visu naudu no saviem makiem.
Kā sevi pasargāt: nekad nesūtiet naudu "airdrop organizatoriem" un neatklājiet savas privātās atslēgas vai sākuma frāzes.
2. Roku darbs MEV roboti. Maksimālā ekstrahējamā vērtība (MEV) ir maksimālā atlīdzība, ko Ethereum (ETH) tīkla dalībnieki var saņemt par savu ieguldījumu bloka apstiprināšanas procesā. Sarežģītas metodes ļauj mums gūt labumu no MEV optimizācijas. Krāpnieki ievieto video vai teksta rokasgrāmatas par to, kā izveidot savus “MEV robotus”, lai piekļūtu Ethereum (ETH) makiem un iztukšotu līdzekļus.
Kā sevi pasargāt: izvairieties no YouTube rokasgrāmatās iekļautiem tūlītējiem MEV robotiem.
3. Palīgā nāk krāpnieki. Tā kā 2022. gads noteikti ir uzlaušanas gads, daudzi kriptovalūtu lietotāji pārbauda, vai viņu iecienītākās blokķēdes nav bojātas. Krāpnieki publicē viltus paziņojumus par to, ka tas vai cits projekts ir uzlauzts, un ievieš viltotas “kompensācijas” programmas. Visi, kas interesējas par atlīdzību, tiek lūgti nosūtīt krāpniekiem savas sēklu frāzes.
Kā sevi pasargāt: pārbaudiet ziņas par uzlaušanu tikai oficiālajos blokķēžu mediju kanālos.
Slēgšanas domas
2022. gadā lielāko daļu sabrukumu izraisīja sāpīgais kriptovalūtu cenu kritums, slikta riska pārvaldība un centralizēto kriptovalūtu produktu īpašnieku alkatība. Tāpēc decentralizācija ir liela problēma: DAO pūļa gudrība neļautu notikt FTX/Celsija/Voyager mēroga sabrukumiem.
Tikmēr ķēdē esošajiem produktiem ir jārūpējas par drošības auditiem, atjauninājumiem un privāto lidmašīnu pārvaldību.
Avots: https://u.today/top-10-crypto-scams-and-hacks-of-2022