Podle TRM Laboratorní analýzy, rok 2022 byl rekordním rokem pro hackování kryptoměn, s ukradenými kryptoměnami v hodnotě asi 3.7 miliardy dolarů. DeFi převládaly útoky s přibližně 80 % nebo 3 miliardami dolarů, které zahrnovaly oběti DeFi.
Když míříme do roku 2023 optimisticky ohledně příslibu rodící se technologie, musíme se ohlédnout zpět, abychom se poučili z výzev a neúspěchů, kterým jsme při zpětném pohledu čelili.
Šifrovací hack infrastruktury Ronin Bridge
Axie nekonečno Šifrovací hack roninského mostu v březnu je na vrcholu seznamu s 612 miliony dolarů. Roninův most je an Ethereum vedlejší řetězec pro hru Axie Infinity play-to-earning.
Kryptohackeři, dnes identifikovaní jako severokorejská skupina zabývající se kyberzločinem s názvem Lazarus, získali přístup k devíti soukromým klíčům validátorů transakcí mostu Ronin. Pomocí klíčů schválili velké transakce, jednu za 173,600 25.5 ETH a druhou za XNUMX milionu USDC.
Hackeři přesunuli krypto na Tornado cash, open-source krypto tumbler a několik dalších burz.
Společné úsilí komunity, Binance, Chainalysis a strážci zákona pomohli vystopovat některé z fondů.
Zneužití kódu křížového můstku BSC Beacon
V říjnu hackeři zneužili zranitelnost v křížovém kódu BSC Beacon k odcizení kryptoměn v hodnotě 570 milionů dolarů. Most je kritickou součástí řetězce BNB.
Řetěz BSC Beacon, označovaný jako Token Hub, je zkřížený řetěz mezi řetězci BNB Beacon Chain (BEP2) a BNB Chain (BEP20/BSC).
Útok zafungoval falšování kryptografických důkazů tzv. Merkleův důkaz, který potvrdil, že data jako transakce jsou platná a zahrnutá v blockchain. Krypto hacker použil falešný důkaz Merkle k převodu finančních prostředků z křížového mostu BSC Beacon do jiných řetězců.
Tether zablokoval adresu útočníka, zatímco více než 7 milionů dolarů přesunutých z řetězce BNB bylo účinně zmrazeno.
Zneužití kódu červí díry
Kryptohackeři zneužili kód červí díry v únoru kryptoměny v hodnotě 326 milionů dolarů. Červí díra je symbolický most mezi Solanou a Ethereem.
Kryptohacker použil zastaralou/mrtvou nezabezpečenou funkci, aby obešel ověřování podpisů.
Zastaralý kód lze přirovnat k nalepovacímu lístku, který říká: 'Toto v budoucnu smažu.' Kód nyní nemůžete smazat, protože jej někteří spotřebitelé stále používají.
Řetězec delegování ověření podpisu umožnil kryptohack. Zastaralá funkce nekontrolovala adresy, což umožnilo ověření padělaného podpisu.
Podle kybernetických analytiků se vývojáři mohli útoku vyhnout, pokud by praktikovali „bezpečné kódování“.
Zneužití kódu nomádského mostu
Hackeři v srpnu zneužili krypto most Nomad kryptoměn v hodnotě 190 milionů dolarů. Hacker prakticky vyčerpal všechny prostředky v protokolu – rostoucí exploity zpochybnily bezpečnost cross-chain token bridge.
Mosty fungují tak, že zamknou tokeny v inteligentní smlouvě v jednom řetězci a poté je znovu vydají v „zabaleném“ formátu v jiném řetězci. V případě Nomada útok sabotoval kontrakt a jeho zabalené tokeny byly bezcenné.
Nomad ve skutečnosti vypsal odměnu a požádal hackera, aby si ponechal 10 % finančních prostředků a nečelil žádné právní žalobě plus bonusový whitehat NFT. Útočník nakonec vrátil jen 36 milionů dolarů.
Útok na protokol Beanstalk
O osudném dubnovém víkendu hacker pomocí flash půjčky ukradl 182 milionů dolarů v ETH, BEAN stablecoinech a dalších aktivech z Beanstalk stablecoinového protokolu.
Blesková půjčka je funkce, která uživatelům umožňuje vypůjčit si aktivum, provést rychlý obchod a poté jej splatit v jediné složité transakci napříč více protokoly.
Útočník předložil Beanstalk DAO dva škodlivé návrhy prostřednictvím funkce nouzového potvrzení, která vyžadovala ⅔ hlasu a poté byla implementována po 24 hodinách.
Útočník škodolibě použil funkci flash půjčky k získání 79% kontroly a schválení jeho návrhu.
Útočník poslal prostředky v protokolu na splacení své flash půjčky a zbytek na adresu fondu Ukrajina. Nakonec dosáhl zisku 76 milionů dolarů.
Další mega krypto hacky
Mezi další mega krypto hacky patří dubnový útok na infrastrukturu Wintermute za 160 milionů dolarů, červnový útok na infrastrukturu Maiar/Elrond za 113 milionů dolarů, říjnový útok na infrastrukturu Mango Markets za 112 milionů dolarů a červnový útok na infrastrukturu Harmony bridge za 100 milionů dolarů.
Zdroj: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/