Leta 2022 so projekti, ki temeljijo na kriptovalutah, doživeli vrsto uničujočih vdorov in izkoriščanj, kar velja za najslabše leto doslej, ko gre za zavarovanje digitalnih sredstev.
Na splošno se je pogostost vdorov v kriptovalute letos hitro povečala in presegla rekordnih 3 milijarde dolarjev skupnih izgubljenih sredstev – skok z 2 milijard dolarjev, izgubljenih zaradi vdorov v letu 2021 – po navedbah a Haainaliza poročati.
Leto nam je pokazalo, kako blackhat ali zlonamerni hekerji uporabljajo vedno bolj napredne taktike za izkoriščanje slabosti v decentraliziranih aplikacijah, ki imajo lahko hrošče, kot vsaka druga programska oprema.
Med večjimi kripto ropi leta 2022 so varnostni incidenti, ki vključujejo prečno verižni mostovi in decentralizirani finančni protokoli so izstopali po tem, da so utrpeli škodo v višini več sto milijonov dolarjev v posameznih napadih. Med takimi izkoriščanji so hekerji nepooblaščeno dostopali do kripto sredstev in jih ukradli z izkoriščanjem ranljivosti v pametnih pogodbah.
Ta članek raziskuje največje vdore v kripto v letu 2022 in napake, ki so privedle do vsakega napada.
Ronin Network - 625 milijonov dolarjev
29. marca je bil Ronin, stranska veriga, ki gosti igro Axie Infinity družbe Sky Mavis. izkoriščali za 625 milijonov $ v različnih kripto sredstvih, zaradi česar je to največji kripto rop doslej. Sky Mavis je razvil Ronin za gostovanje svoje priljubljene igre blockchain Axie Infinity. Toda stvari so se obrnile na najslabše, ko kasneje ekipi ni uspelo zavarovati omrežja Ronin pred storilci identificirati biti severnokorejska hekerska skupina Lazarus.
Skozi phishing napad, ki temelji na elektronski pošti na nekdanjem zaposlenem je hekerska skupina pridobila dostop do IT infrastrukture Sky Mavis. Tam so hekerji našli in ukradli zasebne ključe validatorskih vozlišč verige blokov Ronin, ki jih je podjetje shranilo na svojih internih strežnikih. Ko so hekerji imeli dostop do ključev validatorja, so prevzeli nadzor nad celotnim omrežjem Ronin in prenesli več kot 173,600 ether (ETH) in 25.5 milijona USDC stabilnih kovancev, kar skupaj znaša več kot 625 milijonov dolarjev.
Na srečo uporabnikov, ki so jim med tem incidentom vzeli sredstva, je bila večina v celoti povrnjena, je trdilo podjetje. Teden dni po vdoru je SkyMavis postavljeno 150 milijonov dolarjev v krogu financiranja, ki ga je vodil Binance, in to združil s svojimi lastnimi sredstvi za povrniti vsem, ki jih je izkoriščanje prizadelo.
FTX — 370–400 milijonov dolarjev
Za razliko od drugih večjih varnostnih ropov med letom – na primer tistih, ki vplivajo na decentralizirane aplikacije blockchain, ki delujejo na pametnih pogodbah – je centralizirana borza FTX, ki je zdaj propadla, padla zaradi enega največjih vdorov v letu 2022. Vdor v FTX, ki se je zgodil novembra, je prišel na dan po uradnih skrbnikih borze za Telegram poročali "nepooblaščen dostop."
Podatki Onchain so pokazali, da je borza denarnice izgubile sredstva nekje med 370 milijoni $ do $ 400 milijonov kmalu po svojem nekdanji izvršni direktor Sam Bankman-Fried je vložil zahtevo za zaščito pred stečajem v poglavju 11.
Nekaj mmedijske hiše zmeden hekerska pameth še en sumljiv prenos v višini 400 milijonov dolarjev, opravljen iz FTX po nalogu Komisije za vrednostne papirje Bahamov za hrambo sredstev, kar je povzročilo zmedo. Vendar sta bila dva ločena incidenta.
Novi vodja FTX John J. Ray III pričal vdor in še en velik prenos sredstev, ki so ga odredili bahamski regulatorji, sta bila ločena. To je potrdilo analitično podjetje Chainalysis, ki sodeluje s FTX pri izsleditvi sredstev.
»400 milijonov dolarjev, ukradenih in vdrtih iz FTX, je popolnoma ločenih od 400 milijonov dolarjev, ki jih hrani Komisija za vrednostne papirje Bahamov. Popolnoma razumljivo je, da je ljudi to zmedlo,« je za The Block povedal tiskovni predstavnik podjetja Chainalysis.
Ray tudi je pokazala, v pripravljenem pričevanju dokument da je FTX hranil zasebne ključe svojih denarnic na nešifriran način in je sprejel zelo slab varnostni nadzor – dejavniki, ki bi zlahka omogočili vdor.
Črvovina - 325 milijonov dolarjev
Februarja je prišlo do vdora v Wormhole, medverižni mostni protokol, v letošnjem največjem mostu. Wormhole omogoča uporabnikom, da zaklenejo svoj ETH in prejmejo vezano sredstvo, imenovano Wormhole ETH (wETH), v omrežju Solana.
2. februarja je Wormhole prevzel heker, ki je ponaredil določene varnostne podpise na mostu in nakopal 120,000 WETH $ 325 milijonov iz zraka. Heker je zamenjal nezakonito skovan wETH za dejanski ETH v omrežju Ethereum in s tem izpraznil vsa sredstva v Wormhole.
Incident je zaustavil delovanje mostu in nekaj časa je kazalo, da je konec za Wormhole blizu. Bilo bi neverjetno težko povrniti izgube, toda na presenečenje vseh je nekaj dni po vdoru Wormhole povedal, nadomesti ves ukradeni ETH in odprl most.
Jump Crypto, podjetje za trgovanje in tvegani kapital, ki je inkubiralo Wormhole, je potrdilo, da je obnovilo ukradenih 120,000 ETH iz lastnih sredstev za pomoč pri vzdrževanju mostu.
Nomad - 190 milijonov dolarjev
7. avgusta je Nomad – most, ki povezuje blokovne verige Ethereum, Avalanche, Moonbeam in Evmos – doživel drugi največji vdor v medverižni most leta z $ 190 milijonov vrednost izgubljenega premoženja. Do vdora je prišlo zaradi napačne posodobitve, v kateri so razvijalci Nomada pomotoma označili 0x00 (ničelni naslov) kot zaupanja vreden koren.
Ta funkcija je pomenila, da je lahko kdor koli dvignil sredstva z mostu, ne da bi šel skozi preverjanje pogodbe o skrbništvu, in je lahko preprosto zaobšel njegovo varnost. Kot posodobitev zadeva prišla v javnost, konec 300 naslovov pohitel, da bi zgrabil denar od Nomada v podvigu, ki je brezplačen za vse. Na srečo so nekateri naslovi pripadali etičnim hekerjem, ki so pozneje vrnil 22 milijonov dolarjev nazaj Nomadu.
Beanstalk Farms - 182 milijonov dolarjev
Beanstalk Farms, stablecoin protokol, je bil Napadi aprila 2022 v največjem vdoru v upravljanje tega leta.
Neznani heker je izkoristil varnostno vrzel v Beanstalkovi decentralizirani avtonomni organizaciji (DAO), ki nadzira sprejemanje odločitev za projekt stablecoin. Na Beanstalku je lahko vsak oddal predlog in bil sprejet v enem dnevu, če je prejel večino glasov nosilcev domačega upravljanja Beanstalka, imenovanega bean.
Zlonamerni igralec je predložil predlog, v katerem je skupnost prosil, naj pošlje kripto sredstva iz zakladnice Beanstalk na hekerjev kripto naslov. Ko je glasovanje minilo, je bil prenos opravljen samodejno.
Napadalec je vzel a flash posojilo, posojilo, ki ga je mogoče vzeti brez zavarovanja, če se vrne v isti transakciji. S tem, heker kupili milijone dolarjev v žetonih fižolov, da bi zagotovili dovolj žetonov za odobritev glasovanja.
S tem trikom je hekerju uspelo pretočiti približno 80 milijonov $ v žetonih bean iz zakladnice projekta, ne da bi vedeli razvijalce jedra Beanstalk. Po tem, heker prodal tiste bean žetone na platformi, je bila končna izguba za Beanstalk bistveno višja. Varnostno podjetje PeckShield ocenjeni incident je Beanstalk stal 182 milijonov dolarjev protokolarnih izgub.
Mango Markets - 114 milijonov dolarjev
Čeprav tehnično ne gre za vdor, je posojilna platforma s sedežem v Solani oktobra utrpela obsežno tržno manipulacijo.
Napadalec – pozneje naj bi bil trgovec DeFi Avraham Eisenberg – je vodil ekipo, ki je napadla Mango Markets, da bi usmerila $ 114 milijonov v depozitih strank s platforme. Pozneje je svojo vpletenost priznal.
Napad je bil dvojen. Prvič, Eisenberg je domnevno kupil na desetine milijonov nelikvidnih žetonov Mango, ki jih je položil v protokol kot zavarovanje pri posojanju.
Drugič, s približno 5 milijoni dolarjev v stabilnem coinu USDC je domnevno večkrat zvišal ceno žetonov Mango – s čimer je umetno zvišal vrednost svojih posojilnih zavarovanj v Mangu v dolarjih. To mu je uspelo, ker imajo žetoni Mango zelo nizko likvidnost na številnih borzah.
Povečana tržna vrednost žetonov Mango je ponaredila podatkovne oraklje, da so mislili, da so sredstva, ki jih je položil Eisenberg, vredna več kot 400 milijonov dolarjev.
S povečano vrednostjo zavarovanja si je izposodil 114 milijonov dolarjev v kriptosredstvih z namenom, da jih ne vrne, kar si je prineslo ogromen dobiček. Dan pozneje je Mangovo vladanje prisilil k opraviti glasovanje, pri čemer se je strinjal, da bo vrnil 47 milijonov dolarjev kot belo pogajalsko pogodbo. Do takrat identiteta napadalca ni bila znana.
Detektivi v verigi so sledili napadu do Eisenberga. On priznal njegovo vpletenost, vendar je zavrnil, da bi naredil kar koli nezakonitega, in trdil, da je "uporabljal protokol, kot je bil načrtovan." Jasno je, da oblasti niso sprejele Eisenbergovega argumenta "kodeks je zakon".
Decembra je bil Eisenberg pridržani Ministrstvo za pravosodje ZDA pa ga je obtožilo kaznivih dejanj, povezanih s tržno manipulacijo. Ministrstvo za pravosodje ga je aretiralo zaradi goljufij z blagom in manipulacije z blagom v Portoriku.
BNB Token Hub — 120 milijonov dolarjev
6. oktobra je neznana oseba izvedla obsežen napad napad na BNB Token Hub, premostitveni storitvi, ki poteka med BNB Chain — verigo blokov, ki jo je ustanovila kripto borza Binance — in Ethereum.
Z izkoriščanjem hrošča v kriptografskem dokaznem sistemu mostu je hekerju uspelo prevzeti nadzor nad 2 milijonoma žetonov BNB, ki so bili zaklenjeni na mostu in so bili takrat ocenjeni na 550 milijonov dolarjev.
Hekerju je uspelo prenesti le nekje med 120 in 130 milijoni dolarjev iz verige BNB na druge verige, preden je bilo omrežje ustavljeno. Takoj ko je bil napad zaznan, so se validatorji BNB Chain strinjali, da bodo zamrznili omrežje, da bi prevzeli 430 milijonov dolarjev, shranjenih na naslovu hekerja. Omrežje nekaj ur ni delovalo, vendar je dan pozneje spet delovalo.
Obzorje - 100 milijonov dolarjev
Drugi protokol, ki je bil žrtev velikega vdora, je bil Horizon, most, ki povezuje Ethereum z verigo blokov Harmony. Junija napadalec ukradel 100 milijonov dolarjev zaklenjen na Horizontu, potem ko je ogrozil nekaj zasebnih ključev v lasti varnostnih skrbniških računov, ki so nadzirali most.
Postopek prenosa sredstev iz Horizonove pogodbe za uvajanje v Ethereum je vključeval shemo z več podpisi, ki je potrebovala odobritev samo dveh od petih skrbniških računov. To je pomenilo, da je moral zlonamerni igralec ukrasti dva zasebna ključa, da bi odobril nepooblaščene prenose, kar se je točno zgodilo, saj opozoriti varnostno podjetje Halborn.
Po pridobitvi dostopa do dveh skrbniških zasebnih ključev mostu, po možnosti z napadi z lažnim predstavljanjem na skrbnike. Nato je hekerju uspelo odobriti transakcijo, ki je v njihov nadzor pridobila 100 milijonov dolarjev.
Qubit - 80 milijonov dolarjev
Qubit, posojilni in premostitveni protokol verige BNB, je bil januarja tarča prvega obsežnega letošnjega kripto vdora. Na Qubitu so uporabniki lahko položili ether (ETH) iz Ethereuma in most je izdal vezano sredstvo »xETH« na BNC Chain. xETH bi lahko uporabili kot zavarovanje na posojilni platformi Qubit.
27. januarja, heker Exploited ranljivost programske logike v Qubitu, zaradi katere je bil xETH na voljo za uporabo v verigi BNB Chain, ne da bi naložili ETH na Ethereum. Narava ranljivosti je bila takšna, da je napadalcu omogočila kovanje velike količine xETH, ne da bi položil kakršna koli prava sredstva.
Potem ko je hekerju uspelo skovati veliko xETH, so pri Qubitu vzeli več posojil s temi žetoni kot zavarovanje. Na koncu je napadalec izčrpal vseh 206,000 BNB, vloženih v Qubit Finance, tako da je v zanki vzel posojila v vrednosti približno 80 milijonov dolarjev.
Zavrnitev odgovornosti: od leta 2021 je Michael McCaffrey, nekdanji izvršni direktor in večinski lastnik The Block, najel vrsto posojil od ustanovitelja in nekdanjega izvršnega direktorja FTX in Alamede Sama Bankman-Frieda. McCaffrey je decembra 2022 odstopil iz podjetja, potem ko ni razkril teh transakcij.
Vir: https://www.theblock.co/post/196941/the-biggest-crypto-hacks-of-2022?utm_source=rss&utm_medium=rss