V roce 2022 zažily projekty založené na kryptoměnách řadu zničujících hacků a exploitů v roce, který je považován za nejhorší, pokud jde o zabezpečení digitálních aktiv.
Celkově se frekvence kryptohacků v letošním roce rychle zrychlila a překonala rekordní 3 miliardy dolarů v celkových ztrátách finančních prostředků – což je nárůst ze 2 miliard dolarů ztracených kvůli hackům v roce 2021 – podle a Chainalysis nahlásit.
Tento rok nám ukázal, jak blackhat nebo zákeřní hackeři využívají stále pokročilejší taktiky k využívání slabin v decentralizovaných aplikacích, které mohou mít chyby, jako každý jiný software.
Mezi hlavní loupeže kryptoměn roku 2022 patří bezpečnostní incidenty mosty s křížovým řetězcem a decentralizované finanční protokoly vynikly tím, že utrpěly škody ve výši stovek milionů dolarů v jednotlivých exploitech. Během těchto exploitů hackeři přistupovali ke krypto aktivům a ukradli je bez povolení tím, že využili zranitelnosti v inteligentních smlouvách.
Tento článek zkoumá největší krypto hacky z roku 2022 a ke každému útoku došlo špatně.
Ronin Network – 625 milionů dolarů
29. března byl Ronin, vedlejší řetězec, který hostí hru Axie Infinity od Sky Mavis zneužíváno pro 625 milionů dolarů v různých kryptografických aktivech, což z něj dělá dosud největší krypto loupež. Sky Mavis vyvinul Ronin, aby hostil její populární blockchain hru Axie Infinity. Ale věci nabraly rychlý spád, když se týmu později nepodařilo zabezpečit síť Ronin před pachateli identifikovaný být severokorejskou hackerskou skupinou Lazarus.
Prostřednictvím e-mailový phishingový útok na bývalém zaměstnanci získala hackerská skupina přístup k IT infrastruktuře Sky Mavis. Tam hackeři našli a ukradli soukromé klíče k uzlům Ronin blockchain validátoru, které firma uložila na svých interních serverech. Když měli hackeři přístup k validátorovým klíčům, převzali kontrolu nad celou sítí Ronin a převedli více než 173,600 25.5 etherů (ETH) a 625 milionů USDC stablecoinů v celkové výši přes XNUMX milionů dolarů.
Naštěstí pro uživatele, kterým byly během tohoto incidentu odebrány finanční prostředky, byla většina plně uhrazena, tvrdila firma. Týden po hacku, SkyMavis zvedl 150 milionů dolarů ve finančním kole vedeném Binance a kombinovalo to s vlastními aktivy splatit všem, kteří byli zneužitím postiženi.
FTX – 370–400 milionů dolarů
Na rozdíl od jiných velkých bezpečnostních loupeží během roku – jako jsou ty, které ovlivňují decentralizované blockchainové aplikace fungující na základě chytrých kontraktů – se nyní zhroucená centralizovaná burza FTX stala jedním z největších hacků roku 2022. FTX hack, který se odehrál v listopadu, vyšel na světlo po oficiálních správcích telegramu burzy hlášeny "neautorizovaný přístup."
Data onchain ukázala, že výměna je peněženky ztratily prostředky kdekoli mezi 370 miliony dolarů až 400 milionu $ krátce po něm bývalý generální ředitel Sam Bankman-Fried požádal o ochranu před bankrotem podle kapitoly 11.
Několik mediční prodejny sloučené hack důvtiph další podezřelý převod 400 milionů dolarů z FTX na příkaz Bahamské komise pro cenné papíry za úschovu aktiv, což způsobilo zmatek. Byly to však dva samostatné incidenty.
Nový šéf FTX John J. Ray III svědčil hack a další velký převod aktiv nařízený bahamskými regulátory byly oddělené. To je ověřeno analytickou firmou Chainalysis, která spolupracuje s FTX na sledování aktiv.
„400 milionů dolarů ukradených a hacknutých z FTX je zcela odděleno od 400 milionů dolarů, které drží Bahamská komise pro cenné papíry. Je však zcela pochopitelné, že tím byli lidé zmateni,“ řekl The Block mluvčí Chainalysis.
Ray také odhalil v připraveném svědectví dokument že FTX uložila soukromé klíče do svých peněženek nešifrovaným způsobem a přijala velmi špatné bezpečnostní kontroly – faktory, které mohly snadno umožnit, aby k hacknutí došlo.
Červí díra – 325 milionů dolarů
V únoru byl hacknut červí díra, cross-chain bridge protokol, v letošním největším exploitu mostu. Wormhole umožňuje uživatelům zamknout své ETH a obdržet fixované aktivum zvané Wormhole ETH (wETH) v síti Solana.
2. února se Červí díra dostala do rukou hackera, který zfalšoval určité bezpečnostní podpisy na mostě a vytěžil 120,000 XNUMX wETH v hodnotě 325 milionu $ z ničeho nic. Hacker vyměnil nezákonně vyražené wETH za skutečné ETH v síti Ethereum, čímž vyčerpal veškerý majetek držený na Wormhole.
Incident zastavil provoz mostu a na nějakou dobu se zdálo, že konec Červí díry se blíží. Bylo by neuvěřitelně náročné získat zpět ztráty, ale k překvapení všech, pár dní po hacku, to Wormhole řekl nahrazuje všechny ukradené ETH a otevřeli most.
Jump Crypto, společnost zabývající se obchodováním a rizikovým kapitálem, která inkubovala Wormhole, potvrdila, že doplnila ukradených 120,000 XNUMX ETH ze svých vlastních prostředků, aby pomohla udržet most.
Nomad – 190 milionů dolarů
7. srpna utrpěl Nomad – most spojující blockchainy Ethereum, Avalanche, Moonbeam a Evmos – druhý největší cross-chain bridge hack roku s 190 milionu $ hodnotu ztraceného majetku. Hack byl důsledkem chybné aktualizace, ve které vývojáři Nomad chybně označili 0x00 (nulová adresa) jako důvěryhodný kořen.
Tato funkce znamenala, že kdokoli mohl vybrat prostředky z mostu, aniž by prošel kontrolou smlouvy o důvěře, a mohl snadno obejít jeho zabezpečení. Jako aktualizace problém se stal veřejným, skončil 300 XNUMX adres spěchal, aby získal peníze od Nomada v bezplatném využití. Naštěstí některé adresy patřily etickým hackerům, kteří později vrátil 22 milionů dolarů zpět Nomadovi.
Beanstalk Farms – 182 milionů dolarů
Beanstalk Farms, protokol stablecoinů, byl napadl v dubnu 2022 v největším hacku řízení v tomto roce.
Neznámý hacker využil bezpečnostní mezeru v decentralizované autonomní organizaci (DAO) Beanstalk, která dohlíží na rozhodování o projektu stablecoinů. Na Beanstalku mohl kdokoli podat návrh a dosáhnout jeho schválení za den, pokud by získal většinu hlasů od držitelů původního řízení Beanstalk zvaného fazole.
Zákeřný herec předložil návrh, v němž požádal komunitu, aby poslala krypto aktiva z pokladny Beanstalk na hackerovu krypto adresu. Když hlasování prošlo, převod byl automaticky proveden.
Útočník vzal a flash půjčka, úvěr, který lze vzít bez jakéhokoli zajištění, pokud je vrácen v rámci stejné transakce. S tímhle, hacker zakoupeno miliony dolarů v žetonech fazolí, aby zajistili, že budou mít dostatek žetonů ke schválení hlasování.
Díky tomuto triku byl hacker schopen odvést z pokladny projektu přibližně 80 milionů dolarů v tokenech fazolí, aniž by o tom vývojáři jádra Beanstalk věděli. Po tomto, hacker prodal tyto žetony fazolí na platformě, konečná ztráta byla pro Beanstalk výrazně vyšší. Bezpečnostní firma PeckShield odhadované incident stál Beanstalk 182 milionů $ v protokolárních ztrátách.
Mango Markets – 114 milionů dolarů
I když se technicky nejedná o hack, půjčovací platforma založená na Solaně utrpěla v říjnu masivní zneužití manipulace s trhem.
Útočník – později údajný obchodník DeFi Avraham Eisenberg – vedl tým, který zaútočil na Mango Markets, aby trychtýř 114 milionu $ v zákaznických vkladech z platformy. Později svou účast přiznal.
Útok byl dvojí. Za prvé, Eisenberg údajně koupil desítky milionů nelikvidních mangových tokenů – které vložil do protokolu jako zástavu půjček.
Za druhé, s přibližně 5 miliony USD ve stablecoinech USDC údajně několikrát zvýšil cenu tokenů Mango – a tím uměle zvýšil dolarovou hodnotu svých půjček kolaterálů na Mango. Dokázal to udělat, protože mango tokeny mají na mnoha burzách velmi nízkou likviditu.
Zvýšená tržní hodnota mangových tokenů podvrhla datová orákula, aby si mysleli, že aktiva uložená Eisenbergem mají hodnotu více než 400 milionů dolarů.
S napumpovanou hodnotou kolaterálu si půjčil 114 milionů dolarů v krypto aktivech s úmyslem je nesplatit – čímž si vydělal obrovský zisk. O den později k tomu donutil Mango vládu projít hlasováním, souhlasil s vrácením 47 milionů dolarů jako dohodu o vyjednávání v bílém klobouku. Do této doby nebyla totožnost útočníka známa.
Detektivové na řetězu vystopovali útok na Eisenberga. On připustil jeho zapojení, ale popřel, že by dělal cokoli nezákonného a tvrdil, že „používá protokol tak, jak byl navržen“. Je zřejmé, že úřady nekoupily Eisenbergův argument „kód je zákon“.
V prosinci byl Eisenberg ve vazbě a obviněn ze zločinů souvisejících s manipulací s trhem ministerstvem spravedlnosti Spojených států amerických. Ministerstvo spravedlnosti ho zatklo na základě obvinění z podvodu s komoditami a manipulace s komoditami v Portoriku.
BNB Token Hub – 120 milionů dolarů
Neznámý subjekt provedl 6. října rozsáhlou akci útok na BNB Token Hub, překlenovací službě, která běží mezi BNB Chain – blockchain založený kryptoburzou Binance – a Ethereum.
Využitím chyby v kryptografickém důkazním systému mostu byl hacker schopen převzít kontrolu nad 2 miliony tokenů BNB uzamčených na mostě a v té době v hodnotě 550 milionů dolarů.
Hackerovi se podařilo z BNB Chain převést pouze 120 až 130 milionů dolarů jiné řetězce, než byla síť zastavena. Jakmile byl útok detekován, validátoři BNB Chain souhlasili se zmrazením sítě, aby převzali 430 milionů dolarů držených na hackerově adrese. Síť byla několik hodin mimo provoz, ale o den později byla opět v provozu.
Horizon – 100 milionů dolarů
Dalším protokolem, který se stal obětí masivního hacku, byl Horizon, most, který spojuje Ethereum s blockchainem Harmony. V červnu útočník ukradl 100 milionů dolarů uzamčen na Horizonu poté, co kompromitoval několik soukromých klíčů vlastněných účty bezpečnostních administrátorů, které ovládaly most.
Proces převodu aktiv ze smlouvy o nasazení společnosti Horizon do Etherea zahrnoval schéma s více podpisy, které vyžadovalo schválení pouze od dvou z pěti účtů správce. To znamenalo, že zlomyslný aktér musel ukrást dva soukromé klíče, aby schválil neautorizované převody, což se přesně stalo, as poznamenat, bezpečnostní firmou Halborn.
Po získání přístupu ke dvěma soukromým klíčům administrátora mostu, možná prostřednictvím phishingových útoků na administrátory. Poté byl hacker schopen schválit transakci, která do jejich kontroly vytáhla 100 milionů dolarů.
Qubit – 80 milionů dolarů
Qubit, půjčovací a přemosťovací protokol BNB Chain, byl v lednu cílem prvního velkého kryptohacku roku. Na Qubit mohli uživatelé vložit ether (ETH) z Etherea a most vydal fixované aktivum „xETH“ na BNC Chain. xETH by mohlo být použito jako kolaterál na platformě půjček Qubit.
27. ledna hacker Exploited zranitelnost softwarové logiky v Qubit, která zpřístupnila xETH pro použití na BNB Chain bez uložení ETH na Ethereum. Povaha zranitelnosti byla taková, že umožňovala útočníkovi razit velké množství xETH, aniž by vložil jakýkoli skutečný majetek.
Poté, co se hackerovi podařilo vytěžit spoustu xETH, vzali si od Qubit několik půjček s těmito tokeny jako zástavou. Útočník nakonec vyčerpal všech 206,000 80 BNB vsazených do Qubit Finance tím, že si ve smyčce vzal půjčky v hodnotě asi XNUMX milionů dolarů v té době.
Odmítnutí odpovědnosti: Od roku 2021 si Michael McCaffrey, bývalý generální ředitel a většinový vlastník společnosti The Block, vzal řadu půjček od zakladatele a bývalého generálního ředitele FTX a Alamedy Sama Bankmana-Frieda. McCaffrey odstoupil ze společnosti v prosinci 2022 poté, co tyto transakce nezveřejnil.
Zdroj: https://www.theblock.co/post/196941/the-biggest-crypto-hacks-of-2022?utm_source=rss&utm_medium=rss