Podľa TRM Laboratórna analýza, rok 2022 bol rekordným rokom pre hackovanie kryptomien, pričom sa ukradli kryptomeny v hodnote približne 3.7 miliardy dolárov. defi Prevládali útoky, pričom približne 80 % alebo 3 miliardy USD zahŕňali obete DeFi.
Keď ideme do roku 2023 optimisticky ohľadom prísľubu rodiacej sa technológie, musíme sa obzrieť späť, aby sme sa poučili z výziev a neúspechov, ktorým sme pri spätnom pohľade čelili.
Šifrovací hack infraštruktúry Ronin Bridge
axie nekonečno Kryptohack na Roninovom moste v marci je na vrchole zoznamu na úrovni 612 miliónov dolárov. Ronin most je an Ethereum postranný reťazec pre hru Axie Infinity, ktorej cieľom je zarobiť.
Krypto hackeri, dnes identifikovaní ako severokórejská skupina zaoberajúca sa počítačovou kriminalitou s názvom Lazarus, získali prístup k deviatim súkromným kľúčom overovateľov transakcií mosta Ronin. Pomocou kľúčov schválili veľké transakcie, jednu za 173,600 25.5 ETH a druhú za XNUMX milióna USDC.
Hackeri presunuli krypto na Tornado cash, open-source krypto tumbler a niekoľko ďalších búrz.
Spoločné úsilie komunity, Binance, Chainalysis a strážcovia zákona pomohli vystopovať niektoré z fondov.
Zneužitie kódu krížového mostíka BSC Beacon
V októbri hackeri zneužili zraniteľnosť v kóde krížového mostíka BSC Beacon na ukradnutie kryptomien v hodnote 570 miliónov dolárov. Most je kritickou súčasťou reťazca BNB.
Reťazec BSC Beacon, označovaný ako Token Hub, je krížový reťazec medzi reťazcom BNB Beacon Chain (BEP2) a reťazcom BNB (BEP20/BSC).
Útok zabral falšovanie kryptografických dôkazov s názvom Merkle dôkaz, ktorý potvrdil, že údaje ako transakcie sú platné a zahrnuté v blockchain. Krypto hacker použil falošný dôkaz Merkle na prevod finančných prostriedkov z krížového mosta BSC Beacon do iných reťazcov.
Tether zablokoval adresu útočníka, zatiaľ čo viac ako 7 miliónov dolárov presunutých z reťazca BNB bolo účinne zmrazených.
Zneužitie kódu červej diery
Kryptoví hackeri vo februári zneužili kód červej diery kryptomeny v hodnote 326 miliónov dolárov. Červí diera je symbolický most medzi Solanou a Ethereom.
Kryptohacker použil zastaranú/mŕtvu nezabezpečenú funkciu na obídenie overenia podpisu.
Zastaraný kód možno prirovnať k lepiacej poznámke, ktorá hovorí: „V budúcnosti to vymažem.“ Kód teraz nemôžete odstrániť, pretože niektorí spotrebitelia ho stále používajú.
Reťazec delegácií overovania podpisov umožnil kryptohack. Zastaraná funkcia nekontrolovala adresy, čo umožnilo overenie sfalšovaného podpisu.
Podľa kybernetických analytikov sa vývojári mohli vyhnúť útoku, ak by cvičili „bezpečné kódovanie“.
Zneužitie kódu nomádskeho mosta
Hackeri v auguste využili krypto most Nomad kryptomien v hodnote 190 miliónov dolárov. Hacker prakticky vyčerpal všetky prostriedky v protokole – rastúce exploity spochybnili bezpečnosť cross-chain token bridges.
Mosty fungujú tak, že zamknú tokeny v inteligentnej zmluve v jednom reťazci a potom ich znova vydajú v „zabalenom“ formáte v inom reťazci. V prípade Nomada útok sabotoval zmluvu, čím sa jej zabalené tokeny stali bezcennými.
Nomad v skutočnosti vypísal odmenu a požiadal hackera, aby si ponechal 10 % finančných prostriedkov a nečelil žiadnemu právnemu konaniu plus bonusový whitehat NFT. Útočník nakoniec vrátil len 36 miliónov dolárov.
Útok na protokol Beanstalk
V osudný aprílový víkend hacker pomocou bleskovej pôžičky ukradol 182 miliónov dolárov v ETH, BEAN stablecoinech a iných aktívach z Beanstalk stablecoinového protokolu.
Blesková pôžička je funkcia, ktorá umožňuje používateľom požičať si aktívum, uskutočniť rýchly obchod a potom ho splatiť v jednej komplexnej transakcii naprieč viacerými protokolmi.
Útočník predložil Beanstalk DAO dva škodlivé návrhy prostredníctvom funkcie núdzového potvrdenia, ktorá si vyžadovala ⅔ hlasu a potom sa implementovala po 24 hodinách.
Útočník škodoradostne použil funkciu bleskovej pôžičky na získanie 79% kontroly a schválenie jeho návrhu.
Útočník poslal prostriedky v protokole na splatenie svojej bleskovej pôžičky a zvyšok na adresu ukrajinského fondu. Nakoniec dosiahol zisk 76 miliónov dolárov.
Ďalšie mega krypto hacky
Medzi ďalšie mega krypto hacky patrí aprílový útok Wintermute na infraštruktúru v hodnote 160 miliónov dolárov, útok Maiar/Elrond na infraštruktúru v hodnote 113 miliónov dolárov v júni, útok na infraštruktúru Mango Markets v hodnote 112 miliónov dolárov v októbri a útok na infraštruktúru Harmony bridge v júni 100 miliónov dolárov.
Zdroj: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/