Napriek tomu, že trhy s kryptomenami uviazli v ťažkej medvedej recesii, podvody a hacky vo Web3 boli v plameňoch po celý rok 2022. Množstvo špičkových centralizovaných kryptomenových ťažkých váh tiež skolabovalo v dôsledku zlého riadenia rizík a vnútorných manipulácií.
Keď sa krypto segment blíži k Novému roku, U.Today rekapituluje najnebezpečnejšie krypto podvody, ich korene, návrhy a straty, ktoré spôsobili. Pripravili sme aj krátky prehľad najčastejších kryptografických podvodov v sociálnych médiách, ktoré sa denne zameriavajú na milióny používateľov.
Krypto podvody a hacky z roku 2022: Rýchle fakty
Podľa početných správ o cybersecu sa počas prvých 11 mesiacov roku 2022 hackerom a podvodníkom podarilo ukradnúť kryptomenu v bezprecedentnej výške 4.2 miliardy dolárov, čo je o 37 % viac ako v roku 2021, keď boli kľúčové kryptomeny 2x-3x drahšie.
- Najväčšie útoky boli vykonané proti krížovým protokolom – mostnému mechanizmu Ronin od Axie Infinity a multiprotokolovému ekosystému Wormhole.
- Kolapsy ekosystému Terra (LUNA), jeho hlavného protokolu DeFi Anchor Protocol (ANC) a stabilného coinu TerraUSD (UST) viazaného na USD prispeli k fáze medvedej recesie v Q2-Q4, 2022.
- Dráma okolo už neexistujúcej kryptoburzy FTX a pridruženej obchodnej spoločnosti Alameda Research bola najväčším kolapsom centralizovaných služieb v roku 2022.
- Napriek tomu, že najväčšie hacky sú široko diskutované v médiách, prevažná väčšina kryptografických podvodov je organizovaná pomocou starých metód: falošné airdrops, škodlivé „programy na obnovu“, schémy podvodnej arbitráže a podobne.
- Zdá sa, že niekoľko hlavných hackov boli operácie s bielym klobúkom: útočníci vrátili ukradnuté peniaze výmenou za pôsobivé odmeny za chyby.
- Takmer 12 % všetkých tokenov BEP-20 a 8 % tokenov ERC-20 je podvodných; Denne sa spustí 350 nových podvodov.
V tomto prehľade sa budeme odvolávať na zámerne spustené podvody a projekty, ktoré boli pôvodne legitímne ako „podvody“, zatiaľ čo „hacky“ sú útoky tretích strán na legitímne projekty vykonávané bez udalostí „zasvätených úloh“.
Najlepšie kryptopodvody a kolapsy roku 2022
V roku 2022 stratili Bitcoin (BTC), Ethereum (ETH) a všetky hlavné kryptomeny viac ako 70 – 80 % zo svojich ATH, zatiaľ čo vo väčšine postihnutých segmentoch – metaverse tokeny, tokeny GameFi, ekosystém Solana (SOL) – stredná strata presahuje 90 %. Niektorým kryptomenám sa nepodarilo prežiť takýto bolestivý pokles.
Terra (LUNA)/Terra USD (UST)
Platforma pre inteligentné zmluvy Terra (LUNA) kompatibilná s EVM patrila medzi najviac preháňaných zabijakov Etherea (ETH) v roku 2021. Avšak leví podiel na jej TVL sa sústredil na Anchor Protocol (ANC), jednoduchý stroj na pestovanie výnosov, ktorý ponúkal 19 % APY za vklady v Terra USD (UST), teraz už neexistujúcom stablecoine Terra viazanom na USD. Celkovo bolo v 20. štvrťroku 1 v Anchore (ANC) uzamknutých viac ako 2022 miliárd USD.
Začiatkom mája 2022 však niekto začal agresívne posielať UST do fondov na Curve Finance (CRV) DeFi a vymieňať tokeny na USD Coin (USDC). UST stratilo svoje kolíčko. Terraform Labs a jej generálny riaditeľ Do Kwon začali vlievať likviditu do mechanizmu UST/LUNA. Vďaka masívnemu nábehu kapitálu však LUNA aj UST klesli takmer na nulové hodnoty. Blockchain Terra (LUNA) bol definitívne zastavený.
Ako už bolo uvedené v U.Today predtým, výskumníci odhalili, že to boli Terraform Labs, ktoré iniciovali kolaps: masívne prevody UST boli schválené Do Kwonom. Zakladateľ Terra údajne utiekol do Srbska a snaží sa tam vyplatiť svoje bitcoiny (BTC).
Tri šípky kapitál
Three Arrows Capital (3AC), ktorý založili Su Zhu a Kyle Davies, absolventi Kolumbijskej univerzity a veteráni Credit Suisse, patril medzi najvplyvnejšie krypto hedžové fondy. Vďaka tomu, že bol prvým investorom v Ethereum (ETH), Avalanche (AVAX), Solana (SOL) a ďalších, nazhromaždil viac ako 20 miliárd dolárov v AUM.
Zrútená LUNA však bola jedným z kľúčových prvkov portfólia 3AC. Tím investoval viac ako 600 miliónov dolárov do Terra (LUNA): tento obrovský podiel bol vymazaný dva týždne po kolapse LUNA/UST.
Dňa 16. júna 2022 spoločnosť FT oznámila, že 3AC nesplnila svoje výzvy na dodatočné vyrovnanie v dôsledku strát v protokole o ukotvení spoločnosti Terra. Firma bola pod vodou aj vo svojich pozíciách v Staked Ether (stETH) v Lido Finance (LDO) DeFi a v Grayscale Bitcoin Trust (GBTC). V júni nedokázala splatiť svoju pôžičku krypto gigantu Voyager. Koncom júla bola firma zlikvidovaná súdom BVI, zatiaľ čo vedenie 3AC vyhlásilo bankrot. Celkovo 20 investorov v 3AC stratilo viac ako 3.5 miliardy dolárov.
Cestovateľ
Veriteľ Voyager registrovaný v USA sa tiež stal obeťou zlého riadenia rizík: poskytol spoločnosti Three Arrows Capital nezabezpečenú pôžičku vo výške 650 miliónov USD, pričom jeho čistá AUM bola takmer 5.9 miliardy USD. Platforma sa môže pochváliť 3.5 miliónmi zákazníkov, z ktorých 97 % investovalo menej ako 10,000 XNUMX dolárov.
Voyager vo všeobecnosti skolaboval kvôli tomu, že jeho tím zvolil riskantnú obchodnú stratégiu: ponúkal pôžičky viacerým obchodným službám a jednotlivým obchodníkom s kryptomenami. Keď veritelia začali hromadne vyberať svoje peniaze, začiatkom júla Voyager zmrazil prostriedky zákazníkov. O niekoľko dní neskôr požiadala o bankrotovú ochranu v New Yorku.
Keďže platforma bola zameraná na malých maloobchodných zákazníkov, jej kolaps bol najbolestivejším pre nadšencov kryptomien.
Celzia
Celsius bol v skutočnosti prvou firmou, ktorá signalizovala svoje problémy: v apríli 2022 platforma oznámila, že bude držať všetky aktíva neakreditovaných investorov v úschove: táto časť zákazníkov preto nebola schopná dodať novú likviditu a získať odmeny.
V máji 2022, vystrašení drámami UST a Terra, používatelia začali presúvať peniaze z protokolu Celsius. Dňa 12. júna 2022 spoločnosť Celsius zmrazila finančné prostriedky 1.7 milióna zákazníkov (väčšinou retailových investorov). Rovnako ako Voyager začiatkom júla vyhlásila bankrot.
Právny poradca spoločnosti Celsius Kirkland & Ellis 14. júla 2022 oznámil, že lídri platformy boli informovaní o diere v súvahe vo výške 1.3 miliardy dolárov.
FTX
Kolaps kryptomenovej burzy FTX Sama Bankmana-Frieda a jej pridruženej spoločnosti Alameda Research, ktorá investuje do kryptomien, bol najprekvapivejšou drámou vo Web3: SBF a jeho tím sa pokúsili získať obrovskú kontrolu nad priemyslom tým, že podpísali desiatky partnerstiev a objavili sa na obálkach časopisu Forbes. tak ďalej.
Súvaha Alameda Research však silne závisela od FTX Tokenu (FTT), natívnej kryptomeny FTX. To je dôvod, prečo celý systém skolaboval, keď CEO Binance Changpeng „CZ“ Zhao začal agresívne predávať FTT (viac ako 500 miliónov dolárov v ekvivalente bolo uvoľnených CZ).
Rovnako ako vo všetkých podobných prípadoch začali investori hromadne vyberať svoje peniaze z FTX. Platforma zastavila výbery, SBF odstúpila z funkcie generálneho riaditeľa a vyhlásila bankrot. Medzitým vyšlo najavo, že používal peniaze investorov a zákazníkov vo svojej vlastnej obchodnej firme Alameda Research. Kvôli hroznému zlému riadeniu bol Alameda Research dobre pod vodou. SBF bol zatknutý a prepustený na kauciu, zatiaľ čo realizované straty z kolapsu FTX dosiahli vrchol v ekvivalente 9 miliárd dolárov.
Najlepšie kryptohacky v roku 2022
Podľa an analýza odborníkov na kybernetickú bezpečnosť z Merkle Science sú medzisieťové mosty obzvlášť citlivé na zneužitie kvôli ich technickej zložitosti a vysoko experimentálnemu charakteru:
Mosty medzi reťazcami sú často náchylnejšie na zneužitie, pretože vyžadujú viac interakcií a schvaľovania zmlúv ako iné protokoly. Navyše, mosty sú náchylnejšie na útoky, pretože sú riadené neauditovanými počítačovými kódmi. Okrem toho nie sú známe ani identity validátorov/uzlov, ktoré vykonávajú transakcie
V roku 2022 boli hlavnými cieľmi útokov mosty, zatiaľ čo hackeri zneužili aj iné mechanizmy DeFi.
červia diera
3. februára 2022 hackeri zaútočili na Wormhole, most navrhnutý na uľahčenie bezproblémového prenosu hodnôt medzi heterogénnymi blockchainmi. Kvôli zraniteľnosti v kóde sa im podarilo vydať 120,000 XNUMX obalených éterov (wETH) na blockchaine Solana (SOL) bez vloženia zodpovedajúceho kolaterálu Ethereum (ETH).
Hack by mohol viesť k platobnej neschopnosti akejkoľvek platformy DeFi, ktorá by bola pripravená prijať 120,000 XNUMX wETH (vytlačených zo vzduchu) ako kolaterál. Najhorší scenár sa našťastie nekonal.
Jump Crypto, materská spoločnosť služby Wormhole, prevzala všetky straty: okamžite doplnila 120,000 XNUMX éterov do protokolových fondov likvidity.
Ronin
23. marca severokórejskí hackeri z Lazarus, neslávne známej štátom podporovanej kybernetickej zločineckej skupiny, zaútočili na sieť Ronin. Ronin je bočný reťazec podobný Ethereu vyvinutý špeciálne pre Axie Infinity, vlajkovú loď GameFi. Útočníci pripravili Ronina o neuveriteľných 568 miliónov dolárov.
Hackerom sa podarilo získať kontrolu nad piatimi z deviatich podpisov validátora pre Ronin Bridge. Potom autorizovali dve transakcie, 173,600 25.5 éterov (ETH) a 445 milióna USD coinov (USDC). Z tejto monštruóznej koristi bolo prepraných viac ako XNUMX miliónov dolárov prostredníctvom kryptomixéra Tornado Cash.
Vývojár Axie Infinity Sky Mavis získal dodatočné finančné prostriedky, objednal ďalší bezpečnostný audit od CertiK a zvýšil hranicu multisig z 5/9 na 8/9.
nomád
V auguste 2022 sa Nomad, viacreťazcový mostný mechanizmus, ktorý presúva hodnotu medzi Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) a ďalšími blockchainmi, vyčerpal 190.7 milióna dolárov v kryptomenách. Útočníkom sa podarilo využiť zraniteľnosť dizajnu inteligentnej zmluvy: protokol umožňoval používateľom vyberať prostriedky z cieľového blockchainu bez toho, aby skontrolovali, či sú ekvivalentné pôvodne nasadenej sume.
12/ tl;dr rutinná aktualizácia označila nulový hash ako platný root, čo malo za následok, že správy boli na Nomadoch sfalšované. Útočníci to zneužili na kopírovanie/vkladanie transakcií a rýchlo vyprázdnili most v šialenom voľnom pre všetkých
— toto je teraz shitpost účet (@samczsun) Augusta 2, 2022
Jednoducho povedané, po bežnom upgrade mohli používatelia vložiť 1 ETH na Ethereum (ETH) a požiadať o výber ekvivalentu 100 Ethereum (ETH) z Avalanche (AVAX).
Ide o to, že každý technicky zdatný nadšenec Web3 bol schopný replikovať tento vektor útoku a ukradnúť finančné prostriedky od Nomad pred vydaním opravy. Preto mnohí vývojári Ethereum (ETH) stiahli prostriedky, len aby ich poslali späť tímu Nomad: späť bolo poslaných takmer 40 miliónov dolárov.
Dlháň
Dňa 16. apríla 2022 bol stabilný coinový projekt Beanstalk (BEAN) založený na Ethereu terčom sofistikovaného flash úverového útoku. Menovite sa zločincom podarilo získať bleskovú pôžičku na Aave Finance (AAVE) a kúpiť množstvo tokenov správy vecí verejných, ktoré sú potrebné na prevzatie kontroly nad protokolárnymi referendami.
Potom útočníci získali nadpolovičnú väčšinu hlasov a schválili prevod peňazí na svoj vlastný účet. Keď bolo prevedených 180 miliónov dolárov, bleskovú pôžičku okamžite splatili; čistý zisk presiahol 80 miliónov dolárov.
zimomriavky
V septembri 2022 sa Wintermute, jednej z najväčších platforiem na tvorbu trhu, vyčerpali peňaženky za 160 miliónov dolárov. Útočníci odhalili, že niektoré z kľúčových peňaženiek Wintermute boli vytvorené pomocou Profanity, generátora „ješitných adries“ pre sieť Ethereum (ETH). Takéto programy môžu vytvárať kryptopeňaženky s ľudsky čitateľnými adresami, napr. 0xJohnDoe1111… a podobne.
Kvôli zraniteľnosti v dizajne Profanity sa útočníkom podarilo brutálne vynútiť falošné adresy a obnoviť súkromné kľúče. Útok sa stal možným vďaka značným výpočtovým zdrojom využívaným zločincami.
Bonus: Nepodliehajte týmto dlhotrvajúcim podvodom
Popri sofistikovaných scenároch, ktoré zahŕňajú bleskové pôžičky vo výške 1 miliardy dolárov, sa tu a tam objavujú severokórejskí hackeri a pôsobivý hardvér na brutálne vynucovanie, veľmi primitívne podvodné kampane. Od roku 2022 sú v kryptomenách veľmi bežné tri typy útokov:
1. Falošné výsadky. Na spustenie tohto podvodu zlodeji buď zorganizujú reklamnú kampaň YouTube, alebo umiestnia svoju reklamu na Twitter. Potom oznámia, že internetová celebrita (Snoop Dogg), špičkový technologický podnikateľ (Vitalik Buterin alebo Elon Musk) alebo dokonca politik (Donald Trump) opúšťa kryptomenu. Všetci, ktorí sú pripravení požiadať o svoje bonusy, by mali poslať počiatočný vklad (ktorý by sa údajne vrátil so 100% ziskom) alebo svoje súkromné kľúče. Netreba dodávať, že obe skupiny prídu o svoje vklady alebo všetky peniaze zo svojich peňaženiek.
Ako sa chrániť: Nikdy neposielajte svoje peniaze „organizátorom airdrop“ ani nezverejňujte svoje súkromné kľúče alebo počiatočné frázy.
2. Ručne vyrábané roboty MEV. Maximálna extrahovateľná hodnota (MEV) je maximálna odmena, ktorú môžu účastníci siete Ethereum (ETH) získať za svoj príspevok v procese validácie bloku. Sofistikované techniky nám umožňujú ťažiť z optimalizácie MEV. Podvodníci umiestňujú video alebo textové príručky o tom, ako si vytvoriť svoje vlastné „boty MEV“, aby získali prístup k peňaženkám Ethereum (ETH) a odčerpali finančné prostriedky.
Ako sa chrániť: Vyhnite sa „okamžitým“ robotom MEV z príručiek YouTube.
3. Na pomoc prichádzajú podvodníci. Keďže rok 2022 je určite rokom hackov, veľa používateľov kryptomien kontroluje, či sú ich obľúbené blockchainy nefunkčné. Podvodníci zverejňujú falošné oznámenia o napadnutí tohto alebo toho projektu a spúšťajú falošné „kompenzačné“ programy. Všetkých, ktorí majú záujem o odškodnenie, žiadame, aby poslali svoje počiatočné frázy podvodníkom.
Ako sa chrániť: Správy o hackoch sledujte iba na oficiálnych mediálnych kanáloch blockchainov.
Ukončenie myšlienok
V roku 2022 bola väčšina kolapsov vyvolaná bolestivým prepadom cien kryptomien, zlým riadením rizík a chamtivosťou majiteľov centralizovaných produktov kryptomien. Preto je decentralizácia veľký problém: davová múdrosť DAO by zabránila kolapsom na úrovni FTX/Celsius/Voyager.
Medzitým by sa produkty on-chain mali starať o bezpečnostné audity, aktualizácie a správu súkromných lietadiel.
Zdroj: https://u.today/top-10-crypto-scams-and-hacks-of-2022