V roku 2022 zažili projekty založené na kryptomenách sériu ničivých hackingov a exploitov v tom, čo sa považuje za najhorší rok v histórii, pokiaľ ide o zabezpečenie digitálnych aktív.
Celkovo sa frekvencia kryptohackov tento rok rapídne zrýchlila a prekonala rekordné straty vo výške 3 miliárd dolárov – čo je nárast z 2 miliárd dolárov stratených pri hackeroch v roku 2021 – podľa a Chainalysis správy.
Tento rok nám ukázal, ako blackhat alebo zákerní hackeri využívajú čoraz pokročilejšie taktiky na využitie slabín v decentralizovaných aplikáciách, ktoré môžu obsahovať chyby, ako každý iný softvér.
Medzi hlavné lúpeže kryptomien v roku 2022 patria bezpečnostné incidenty krížové reťazové mosty a decentralizované finančné protokoly vynikali tým, že utrpeli škody vo výške stoviek miliónov dolárov v jednotlivých exploitoch. Počas takýchto exploitov hackeri pristupovali k krypto aktívam a ukradli ich bez autorizácie tým, že využili slabiny v inteligentných zmluvách.
Tento článok skúma najväčšie krypto hacky z roku 2022 a pokazil sa, čo viedlo ku každému útoku.
Ronin Network – 625 miliónov dolárov
29. marca bol Ronin, vedľajší reťazec, ktorý hostí hru Axie Infinity od Sky Mavis využívaný na 625 miliónov dolárov v rôznych krypto aktívach, čo z toho robí doteraz najväčšiu krypto krádež. Sky Mavis vyvinul Ronin, aby hostil svoju populárnu blockchain hru Axie Infinity. Veci sa však zhoršili, keď sa tímu neskôr nepodarilo zabezpečiť sieť Ronin pred páchateľmi identifikovaný byť severokórejskou hackerskou skupinou Lazarus.
Prostredníctvom phishingový útok založený na e-mailoch na bývalom zamestnancovi hackerská skupina získala prístup k IT infraštruktúre Sky Mavis. Hackeri tam našli a ukradli súkromné kľúče k uzlom overovania blockchainu Ronin, ktoré firma uložila na svojich interných serveroch. Keď mali hackeri prístup k validačným kľúčom, prevzali kontrolu nad celou sieťou Ronin a previedli viac ako 173,600 25.5 etherových (ETH) a 625 milióna USDC stablecoinov v celkovej výške viac ako XNUMX miliónov dolárov.
Našťastie pre používateľov, ktorým boli počas tohto incidentu odobraté prostriedky, väčšina z nich bola plne vrátená, tvrdila firma. Týždeň po hacknutí, SkyMavis zdvihol 150 miliónov dolárov v kole financovania vedenom Binance a skombinovalo to s jej vlastnými aktívami odplatiť každému, koho postihlo zneužitie.
FTX – 370 – 400 miliónov dolárov
Na rozdiel od iných veľkých bezpečnostných lúpeží v priebehu roka – ako sú tie, ktoré ovplyvňujú decentralizované blockchainové aplikácie fungujúce na základe inteligentných zmlúv –, teraz zrútená centralizovaná burza FTX sa stala jedným z najväčších hackov roku 2022. FTX hack, ktorý sa odohral v novembri, vyšiel na svetlo po oficiálnych telegramových administrátoroch burzy hlásené "nepovolený prístup."
Onchain dáta ukázali, že výmena je peňaženky stratili prostriedky kdekoľvek medzi 370 miliónmi dolárov $ 400 miliónov krátko po ňom bývalý generálny riaditeľ Sam Bankman-Fried požiadal o bankrotovú ochranu podľa kapitoly 11.
Niekoľko medičné predajne zlúčený hackerský dôvtiph ďalší podozrivý prevod 400 miliónov dolárov uskutočnený z FTX na príkaz Komisie pre cenné papiere na Bahamách na úschovu aktív, čo spôsobilo zmätok. Boli to však dva samostatné incidenty.
Nový šéf FTX John J. Ray III svedčil hack a ďalší veľký prevod aktív nariadený bahamskými regulátormi boli oddelené. Overuje to analytická firma Chainalysis, ktorá spolupracuje s FTX na vysledovaní aktív.
„400 miliónov dolárov ukradnutých a hacknutých z FTX je úplne oddelené od 400 miliónov dolárov, ktoré drží Komisia pre cenné papiere na Bahamách. Je však úplne pochopiteľné, že ľudia boli z toho zmätení,“ povedal pre The Block hovorca z Chainalysis.
Ray tiež odhalil v pripravenom svedectve dokument že FTX uložila súkromné kľúče do svojich peňaženiek nešifrovaným spôsobom a prijala veľmi slabé bezpečnostné kontroly – faktory, ktoré mohli ľahko umožniť hacknutie.
Červí diera - 325 miliónov dolárov
Vo februári bol hacknutý Wormhole, cross-chain bridge protokol, pri najväčšom využívaní mostov v tomto roku. Wormhole umožňuje používateľom uzamknúť svoje ETH a získať viazané aktívum s názvom Wormhole ETH (wETH) v sieti Solana.
2. februára sa Wormhole stal hackerom, ktorý sfalšoval určité bezpečnostné podpisy na moste a vyrazil 120,000 XNUMX wETH v hodnote $ 325 miliónov z ničoho nič. Hacker vymenil nezákonne vyrazené wETH za skutočné ETH v sieti Ethereum, čím vyčerpal všetky aktíva uložené na Wormhole.
Incident zastavil prevádzku mosta a na nejaký čas sa zdalo, že koniec Červej diery je blízko. Bolo by neuveriteľne náročné získať späť straty, ale na prekvapenie všetkých, pár dní po hacknutí, to povedal Wormhole nahrádza všetky ukradnuté ETH a otvorili most.
Jump Crypto, obchodná a riziková kapitálová firma, ktorá inkubovala Wormhole, potvrdila, že doplnila ukradnutých 120,000 XNUMX ETH z vlastných prostriedkov, aby pomohla udržať most.
Nomád - 190 miliónov dolárov
7. augusta utrpel Nomad – most spájajúci blockchainy Ethereum, Avalanche, Moonbeam a Evmos – druhý najväčší cross-chain bridge hack roka s $ 190 miliónov hodnotu strateného majetku. Hack bol výsledkom chybnej aktualizácie, v ktorej vývojári Nomad omylom označili 0x00 (nulová adresa) ako dôveryhodný koreň.
Táto funkcia znamenala, že ktokoľvek mohol vybrať prostriedky z mosta bez toho, aby prešiel kontrolou zmluvy o dôvere, a mohol ľahko obísť jeho bezpečnosť. Ako aktualizácia problém sa stal verejným, skončil 300 XNUMX adries ponáhľal, aby získal peniaze od Nomada v rámci bezplatnej akcie. Našťastie niektoré adresy patrili etickým hackerom, ktorí neskôr vrátený 22 miliónov dolárov späť Nomadovi.
Beanstalk Farms - 182 miliónov dolárov
Beanstalk Farms, stablecoinový protokol, bol napadol v apríli 2022 v najväčšom hacke riadenia v tomto roku.
Neznámy hacker využil bezpečnostnú medzeru v decentralizovanej autonómnej organizácii (DAO) Beanstalk, ktorá dohliada na rozhodovanie o projekte stablecoinov. Na Beanstalk mohol ktokoľvek predložiť návrh a dosiahnuť jeho schválenie za deň, ak by získal väčšinu hlasov od držiteľov pôvodného riadenia Beanstalk nazývaného fazuľa.
Zákerný činiteľ predložil návrh, v ktorom žiadal komunitu, aby poslala krypto aktíva z pokladnice Beanstalk na hackerovu krypto adresu. Keď hlasovanie prešlo, prevod sa automaticky vykonal.
Útočník vzal a blesková pôžička, úver, ktorý si možno vziať bez akéhokoľvek zabezpečenia, ak sa vráti v rámci tej istej transakcie. S týmto, hacker zakúpené milióny dolárov v žetónoch fazule, aby sa zabezpečilo, že budú mať dostatok žetónov na schválenie hlasovania.
Pomocou tohto triku sa hackerovi podarilo odviesť približne 80 miliónov dolárov v tokenoch fazule z pokladnice projektu bez toho, aby o tom vývojári jadra Beanstalk vedeli. Po tomto, hacker predal tieto tokeny fazule na platforme, konečná strata bola pre Beanstalk výrazne vyššia. Bezpečnostná firma PeckShield odhadované incident stál Beanstalk 182 miliónov dolárov v protokolových stratách.
Mango Markets – 114 miliónov dolárov
Hoci to nie je technicky hack, pôžičková platforma založená na Solane utrpela v októbri masívne zneužitie manipulácie s trhom.
Útočník – neskôr údajný obchodník DeFi Avraham Eisenberg – viedol tím, ktorý zaútočil na Mango Markets do zúženia $ 114 miliónov v zákazníckych vkladoch z platformy. Neskôr svoju účasť priznal.
Útok bol dvojaký. Po prvé, Eisenberg údajne kúpil desiatky miliónov nelikvidných tokenov Mango, ktoré vložil do protokolu ako záruku na pôžičky.
Po druhé, s približne 5 miliónmi dolárov v stabilnom coine USDC údajne niekoľkokrát zvýšil cenu tokenov Mango – čím umelo zvýšil hodnotu dolárových vkladov na požičiavanie kolaterálov na Mango. Podarilo sa mu to, pretože mango tokeny majú na mnohých burzách veľmi nízku likviditu.
Zvýšená trhová hodnota tokenov Mango sfalšovala dátové orákulá, aby si mysleli, že aktíva uložené Eisenbergom majú hodnotu viac ako 400 miliónov dolárov.
S napumpovanou hodnotou kolaterálu si požičal 114 miliónov dolárov v krypto aktívach s úmyslom nesplatiť ich späť – čím si zaistil obrovský zisk. O deň neskôr prinútil Mangovu vládu prejsť hlasovaním, súhlasil s vrátením 47 miliónov dolárov ako dohodu o vyjednávaní v bielom klobúku. Totožnosť útočníka dovtedy nebola známa.
Detektívi na reťazi vystopovali útok na Eisenberga. On prijatý jeho účasť, ale odmietol, že by robil čokoľvek nezákonné, argumentujúc, že „používal protokol tak, ako bol navrhnutý“. Je zrejmé, že úrady nekúpili Eisenbergovu argumentáciu „kód je zákon“.
V decembri bol Eisenberg vzaté do väzby a obvinený zo zločinov súvisiacich s manipuláciou trhu Ministerstvom spravodlivosti Spojených štátov amerických. Ministerstvo spravodlivosti ho zatklo na základe obvinení z podvodu s komoditami a manipulácie s nimi v Portoriku.
BNB Token Hub – 120 miliónov dolárov
Neznámy subjekt vykonal 6. októbra veľký rozsah útok na BNB Token Hub, premosťovacej službe, ktorá beží medzi BNB Chain – blockchain založeným kryptoburzou Binance – a Ethereum.
Využitím chyby v kryptografickom dôkaznom systéme mosta sa hackerovi podarilo prevziať kontrolu nad 2 miliónmi tokenov BNB uzamknutých na moste a v tom čase v hodnote 550 miliónov dolárov.
Hackerovi sa z BNB Chain podarilo previesť iba 120 až 130 miliónov dolárov iné reťazce pred zastavením siete. Hneď ako bol útok zistený, validátori BNB Chain súhlasili so zmrazením siete, aby prevzali 430 miliónov dolárov uložených na hackerovej adrese. Sieť bola niekoľko hodín mimo prevádzky, ale o deň neskôr bola opäť v prevádzke.
Horizon - 100 miliónov dolárov
Ďalším protokolom, ktorý sa stal obeťou masívneho hacku, bol Horizon, most, ktorý spája Ethereum s blockchainom Harmony. V júni útočník ukradol 100 miliónov dolárov uzamknutý na Horizon po kompromitácii niekoľkých súkromných kľúčov vlastnených účtami bezpečnostných správcov, ktoré ovládali most.
Proces prevodu aktív zo zmluvy o nasadení spoločnosti Horizon do Etherea zahŕňal schému viacerých podpisov, ktorá si vyžadovala schválenie iba od dvoch z piatich správcovských účtov. To znamenalo, že zákerný hráč musel ukradnúť dva súkromné kľúče, aby schválil neoprávnené prevody, čo sa presne stalo, as poznamenať, od bezpečnostnej firmy Halborn.
Po získaní prístupu k dvom súkromným kľúčom správcu mosta, pravdepodobne prostredníctvom phishingových útokov na správcov. Potom sa hackerovi podarilo schváliť transakciu, ktorá pod kontrolu získala 100 miliónov dolárov.
Qubit - 80 miliónov dolárov
Qubit, BNB Chain požičiavanie a premosťovací protokol, bol v januári cieľom prvého rozsiahleho kryptohacku roka. Na Qubit mohli používatelia vložiť éter (ETH) z Etherea a most vydal viazané aktívum „xETH“ na reťazci BNC. xETH by sa mohlo použiť ako kolaterál na platforme pôžičiek Qubit.
27. januára hacker Exploited zraniteľnosť softvérovej logiky v Qubit, ktorá sprístupnila xETH na použitie v reťazci BNB bez uloženia ETH na Ethereum. Povaha tejto zraniteľnosti bola taká, že umožňovala útočníkovi raziť veľké množstvo xETH bez toho, aby vložil akýkoľvek skutočný majetok.
Potom, čo sa hackerovi podarilo vyťažiť veľa xETH, vzal si od Qubit niekoľko pôžičiek s týmito tokenmi ako kolaterálom. Nakoniec útočník vyčerpal všetkých 206,000 80 BNB vložených do Qubit Finance tým, že si vzal pôžičky v slučke, v tom čase v hodnote asi XNUMX miliónov dolárov.
Zrieknutie sa zodpovednosti: Od roku 2021 si Michael McCaffrey, bývalý generálny riaditeľ a väčšinový vlastník spoločnosti The Block, zobral sériu pôžičiek od zakladateľa a bývalého generálneho riaditeľa FTX a Alamedy Sama Bankmana-Frieda. McCaffrey odstúpil zo spoločnosti v decembri 2022 po tom, čo tieto transakcie nezverejnil.
Zdroj: https://www.theblock.co/post/196941/the-biggest-crypto-hacks-of-2022?utm_source=rss&utm_medium=rss