Kljub temu, da so bili trgi kriptovalut ujeti v hudo medvedjo recesijo, so prevare in vdori v Web3 goreli vse leto 2022. Zaradi slabega obvladovanja tveganja in notranjih manipulacij je propadlo tudi več vrhunskih centraliziranih težkih kriptovalut.
Ko se kripto segment bliža novemu letu, U.Today povzema najnevarnejše kripto prevare, njihove korenine, zasnove in izgube, ki so jih povzročile. Pripravili smo tudi kratek pregled najpogostejših kripto prevar na družbenih omrežjih, ki dnevno ciljajo na milijone uporabnikov.
Kriptoprevare in vdori leta 2022: hitra dejstva
Glede na številna poročila cyberseca je v prvih 11 mesecih leta 2022 hekerjem in prevarantom uspelo ukrasti neverjeten znesek 4.2 milijarde $ v kriptovaluti, kar je 37 % več kot leta 2021, ko so bile ključne kriptovalute 2x-3x dražje.
- Največji napadi so bili izvedeni na medverižne protokole — premostitveni mehanizem Axie Infinity Ronin in večprotokolni ekosistem Wormhole.
- Propad ekosistema Terra (LUNA), njegovega glavnega sidrnega protokola DeFi (ANC) in na USD vezanega stabilnega kovanca TerraUSD (UST) je prispeval k fazi medvedje recesije v drugem in četrtem četrtletju 2.
- Drama okoli zdaj propadle kripto borze FTX in povezanega trgovskega podjetja Alameda Research je bila največji zlom centralizirane storitve v letu 2022.
- Kljub temu, da se o največjih vdorih na veliko razpravlja v medijih, je velika večina kripto prevar organizirana s starimi metodami: lažnimi airdropsi, zlonamernimi »obnovitvenimi programi«, arbitražnimi shemami prevar in podobno.
- Številni veliki vdori so bili videti kot operacije belih klobukov: napadalci so vrnili ukradeni denar v zameno za impresivne nagrade za hrošče.
- Skoraj 12 % vseh žetonov BEP-20 in 8 % žetonov ERC-20 je goljufivih; Dnevno se sproži 350 novih prevar.
V tem pregledu se bomo sklicevali na namenoma sprožene goljufije in projekte, ki so bili sprva zakoniti kot »prevare«, medtem ko so »vdori« napadi tretjih oseb na zakonite projekte, ki se izvajajo brez dogodkov »notranjega dela«.
Najboljše kripto prevare in zlomi leta 2022
Leta 2022 so Bitcoin (BTC), Ethereum (ETH) in vse glavne kriptovalute izgubile več kot 70–80 % svojega ATH, medtem ko v najbolj prizadetih segmentih – žetoni metaverse, žetoni GameFi, ekosistem Solana (SOL) – mediana izgube presega 90 %. Nekaterim velikim kriptovalutam ni uspelo preživeti tako bolečega padca.
Terra (LUNA)/Terra USD (UST)
Platforma pametnih pogodb Terra (LUNA), združljiva z EVM, je bila med najbolj razburjenimi ubijalci Ethereuma (ETH) leta 2021. Vendar je bil levji delež njenega TVL osredotočen na Anchor Protocol (ANC), preprost stroj za kmetovanje donosa, ki je ponujal 19 % APY za depozite v Terra USD (UST), Terrinem zdaj nedelujočem stabilnem kovancu, vezanem na USD. Skupno je bilo v prvem četrtletju 20 v Anchorju (ANC) zaklenjenih več kot 1 milijard dolarjev v protivrednosti.
Vendar pa je v začetku maja 2022 nekdo začel agresivno pošiljati UST v združenja na Curve Finance (CRV) DeFi in zamenjati žetone na USD Coin (USDC). UST je izgubil svojo vezavo. Terraform Labs in njegov izvršni direktor Do Kwon sta začela vbrizgavati likvidnost v mehanizem UST/LUNA. Vendar pa sta zaradi velikega naleta kapitala tako LUNA kot UST padla na skoraj nič vrednosti. Blokovna veriga Terra (LUNA) je bila dokončno ustavljena.
Kot je že poročal U.Today, so raziskovalci razkrili, da so bili laboratoriji Terraform tisti, ki so sprožili propad: velike prenose UST je odobril Do Kwon. Ustanovitelj Terre naj bi pobegnil v Srbijo in tam poskuša unovčiti svoje bitcoine (BTC).
Kapital s tremi puščicami
Three Arrows Capital (3AC), ki sta ga ustanovila Su Zhu in Kyle Davies, alumnija univerze Columbia in veterana Credit Suisse, je bil med najvplivnejšimi kripto hedge skladi. Zbral je več kot 20 milijard dolarjev v AUM, zahvaljujoč temu, da je bil prvi vlagatelj v Ethereum (ETH), Avalanche (AVAX), Solano (SOL) in druge.
Vendar je bila propadla LUNA eden ključnih elementov portfelja 3AC. Ekipa je vložila več kot 600 milijonov dolarjev v Terro (LUNA): ta ogromen delež je bil izbrisan v dveh tednih po propadu LUNA/UST.
16. junija 2022 je FT objavil, da 3AC ni uspel izpolniti svojih zahtev po kritju zaradi izgub v Terra's Anchor Protocol. Podjetje je bilo tudi pod vodo v svojih položajih v Staked Ether (stETH) v Lido Finance (LDO) DeFi in v Grayscale Bitcoin Trust (GBTC). Junija ni odplačal posojila kripto velikanu Voyagerju. Konec julija je sodišče BVI likvidiralo podjetje, medtem ko je vodstvo 3AC vložilo predlog za stečaj. Skupaj je 20 vlagateljev v 3AC izgubilo več kot 3.5 milijarde dolarjev.
Voyager
Upnik Voyager, registriran v ZDA, je prav tako postal žrtev slabega obvladovanja tveganj: podjetju Three Arrows Capital je zagotovil 650 milijonov dolarjev nezavarovanega posojila, medtem ko je njegov neto AUM znašal skoraj 5.9 milijarde dolarjev. Platforma se je ponašala s 3.5 milijoni strank, od katerih jih je 97 % vložilo manj kot 10,000 USD.
Na splošno je Voyager propadel zaradi dejstva, da je njegova ekipa izbrala tvegano poslovno strategijo: ponujala je posojila več trgovskim storitvam in posameznim trgovcem s kriptovalutami. Ko so posojilodajalci začeli množično dvigovati denar, je Voyager v začetku julija zamrznil sredstva strank. Nekaj dni kasneje je v New Yorku vložil zahtevo za zaščito pred stečajem.
Ker je bila platforma osredotočena na majhne maloprodajne stranke, je bil njen propad najbolj boleč za navdušence nad kriptovalutami.
Celzija
Celsius je bil pravzaprav prvi, ki je opozoril na svoje težave: aprila 2022 je platforma objavila, da bo hranila vsa sredstva nepooblaščenih vlagateljev: ta del strank torej ni mogel vliti nove likvidnosti in dobiti nagrad.
Maja 2022 so uporabniki, prestrašeni zaradi drame UST in Terra, začeli premikati denar iz protokola Celsius. Celsius je 12. junija 2022 zamrznil sredstva 1.7 milijona strank (večinoma malih vlagateljev). Tako kot Voyager je v začetku julija razglasila stečaj.
14. julija 2022 je Celsiusov pravni svetovalec Kirkland & Ellis povedal, da so bili vodje platforme obveščeni o luknji v bilanci stanja v višini 1.3 milijarde dolarjev.
FTX
Propad borze kriptovalut Sama Bankman-Frieda FTX in z njo povezanega podjetja za kriptovalute Alameda Research je bila najbolj presenetljiva drama v Web3: SBF in njegova ekipa sta poskušala pridobiti ogromen nadzor nad industrijo s podpisom na desetine partnerstev, pojavljanjem na naslovnicah Forbesa in tako naprej
Vendar je bilanca stanja Alameda Research močno odvisna od žetona FTX (FTT), izvorne kriptovalute FTX. Zato se je celoten sistem sesul, ko je CEO Binance Changpeng “CZ” Zhao začel agresivno prodajati FTT (CZ je sprostil več kot 500 milijonov dolarjev v protivrednosti).
Tako kot v vseh podobnih primerih so vlagatelji začeli množično dvigovati svoj denar iz FTX. Platforma je ustavila dvige, SBF je odstopil z mesta izvršnega direktorja in vložil zahtevo za stečaj. Medtem je postalo znano, da je denar vlagateljev in strank uporabljal v lastnem trgovskem podjetju Alameda Research. Zaradi strašnega slabega upravljanja je bila Alameda Research globoko pod vodo. SBF je bil aretiran in izpuščen proti plačilu varščine, medtem ko so realizirane izgube zaradi zloma FTX dosegle vrh v vrednosti 9 milijard dolarjev.
Najboljši kripto vdori v letu 2022
Kot na an Analiza strokovnjakov za kibernetsko varnost Merkle Science so mostovi med omrežji še posebej občutljivi na izkoriščanja zaradi svoje tehnične zapletenosti in izrazito eksperimentalnega značaja:
Mostovi med verigami so pogosto bolj dovzetni za zlorabe, saj zahtevajo več interakcij in odobritev pogodb kot drugi protokoli. Poleg tega so mostovi bolj dovzetni za napade, saj jih upravljajo nerevidirane računalniške kode. Poleg tega ni znana tudi identiteta validatorjev/vozlišč, ki vodijo transakcije
Leta 2022 so bili glavni cilji napadov mostovi, medtem ko so hekerji izkoriščali tudi druge mehanizme DeFi.
Wormhole
3. februarja 2022 so hekerji napadli Wormhole, most, zasnovan za omogočanje brezhibnega prenosa vrednosti med heterogenimi verigami blokov. Zaradi ranljivosti v kodi jim je uspelo izdati 120,000 zavitih etrov (wETH) na blokovni verigi Solana (SOL), ne da bi dali ustrezno zavarovanje Ethereum (ETH).
Vdor bi lahko privedel do plačilne nesposobnosti katere koli platforme DeFi, ki bi bila pripravljena sprejeti 120,000 wETH (natisnjenih iz nič) kot zavarovanje. Na srečo se najslabši scenarij ni zgodil.
Jump Crypto, matična družba storitve Wormhole, je prevzela vse izgube: takoj so napolnili 120,000 etrov v likvidnostne sklade protokola.
Ronin
23. marca so severnokorejski hekerji iz Lazarusa, zloglasne kibernetske kriminalne združbe, ki jo podpira država, napadli omrežje Ronin. Ronin je stranska veriga, podobna Ethereumu, razvita posebej za Axie Infinity, vodilni GameFi. Napadalci so Roninu odnesli neverjetnih 568 milijonov dolarjev.
Hekerjem je uspelo pridobiti nadzor nad petimi od devetih validatorskih podpisov za Ronin Bridge. Nato so odobrili dve transakciji, 173,600 Ether (ETH) in 25.5 milijona USD Coin (USDC). Iz tega pošastnega plena je bilo prek kripto mešalnika Tornado Cash opranih več kot 445 milijonov dolarjev.
Razvijalec Axie Infinity Sky Mavis je zbral dodatna sredstva, naročil še eno varnostno revizijo s strani CertiK-a in zvišal prag multisig s 5/9 na 8/9.
Nomad
Avgusta 2022 je bil Nomad, večverižni premostitveni mehanizem, ki premika vrednost med Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) in drugimi verigami blokov, izčrpan za 190.7 milijona dolarjev v kripto. Napadalci so uspeli izkoristiti ranljivost zasnove pametne pogodbe: protokol je uporabnikom omogočal dvig sredstev na ciljni verigi blokov, ne da bi preverili, ali so enakovredni prvotno naloženemu znesku.
12/ tl;dr je rutinska nadgradnja označila ničelno zgoščeno vrednost kot veljavno korenino, kar je imelo za posledico, da so v Nomadu dovolili ponarejanje sporočil. Napadalci so to zlorabili za kopiranje/prilepitev transakcij in hitro izpraznili most v nori zastonj
— to je zdaj shitpost račun (@samczsun) Avgust 2, 2022
Preprosto povedano, po redni nadgradnji so uporabniki lahko položili 1 ETH na Ethereum (ETH) in zaprosili za dvig v vrednosti 100 Ethereum (ETH) pri Avalanche (AVAX).
Stvar je v tem, da je vsak tehnično podkovan navdušenec nad Web3 lahko posnemal ta vektor napada in Nomadu ukradel sredstva, preden je bil popravek izdan. Kot taki so številni razvijalci Ethereuma (ETH) dvignili sredstva samo zato, da bi jih poslali nazaj ekipi Nomad: vrnjenih je bilo skoraj 40 milijonov dolarjev.
Beanstalk
16. aprila 2022 je bil projekt stabilnega kovanca Beanstalk (BEAN), ki temelji na Ethereumu, tarča prefinjenega napada na hitro posojilo. Zlonamerjem je namreč uspelo pridobiti hitro posojilo pri Aave Finance (AAVE) in kupiti toliko žetonov upravljanja, ki so potrebni za prevzem nadzora nad protokolarnimi on-chain referendumi.
Nato so napadalci pridobili glasovalno večino in odobrili nakazilo denarja na svoj račun. Ko je bilo nakazanih 180 milijonov dolarjev, so hitro posojilo takoj poplačali; čisti dobiček je presegel 80 milijonov dolarjev.
wintermute
Septembra 2022 so Wintermute, eno največjih platform za ustvarjanje trga, izpraznili denarnice za 160 milijonov dolarjev. Napadalci so razkrili, da so bile nekatere Wintermuteove ključne denarnice ustvarjene s Profanity, generatorjem »naslovov nečimrnosti« za omrežje Ethereum (ETH). Takšni programi lahko ustvarijo kripto denarnice s človeku berljivimi naslovi, npr. 0xJohnDoe1111… in podobni.
Zaradi ranljivosti v zasnovi Profanity je napadalcem uspelo na silo vsiliti nečimrne naslove in obnoviti zasebne ključe. Napad je postal mogoč zaradi znatnih računalniških virov, ki so jih uporabili zlorabci.
Bonus: Ne nasedajte tem dolgotrajnim prevaram
Poleg prefinjenih scenarijev, ki vključujejo hitra posojila v višini 1 milijarde dolarjev, severnokorejske hekerje in impresivno strojno opremo za nasilno uporabo, se tu in tam pojavijo zelo primitivne prevare. Od leta 2022 so v kripto zelo pogosti trije modeli napadov:
1. Lažni airdrops. Da bi izvedli to prevaro, zlobneži organizirajo oglaševalsko kampanjo na YouTubu ali objavijo svoj oglas na Twitterju. Nato objavijo, da spletna zvezdnica (Snoop Dogg), vrhunski tehnološki podjetnik (Vitalik Buterin ali Elon Musk) ali celo politik (Donald Trump) ponuja kriptovaluto v zrak. Vsi, ki so pripravljeni zahtevati svoje bonuse, morajo poslati začetni depozit (ki bi bil domnevno vrnjen s 100-odstotnim dobičkom) ali svoje zasebne ključe. Ni treba posebej poudarjati, da bosta obe skupini izgubili svoje depozite ali ves denar iz svojih denarnic.
Kako se zaščititi: Nikoli ne pošljite svojega denarja "organizatorjem airdrop" ali razkrijte svojih zasebnih ključev ali semenskih stavkov.
2. Ročno izdelani roboti MEV. Največja izvlečna vrednost (MEV) je največja nagrada, ki jo lahko udeleženci omrežja Ethereum (ETH) prejmejo za svoj prispevek v procesu validacije blokov. Sofisticirane tehnike nam omogočajo, da izkoristimo optimizacijo MEV. Prevaranti objavljajo videoposnetke ali besedilne priročnike o tem, kako zgraditi lastne »bote MEV«, da bi dobili dostop do denarnic Ethereum (ETH) in črpali sredstva.
Kako se zaščititi: Izogibajte se "takojšnjim" botom MEV iz YouTubovih priročnikov.
3. Prevaranti priskočijo na pomoč. Ker je leto 2022 zagotovo leto vdorov, mnogi uporabniki kriptovalut preverjajo, ali so njihove najljubše verige blokov pokvarjene. Prevaranti objavljajo lažne objave o tem ali onem projektu, ki je vdrl, in sprožajo lažne programe »kompenzacije«. Vse zainteresirane za odškodnino naprošamo, da svoje semenske fraze pošljejo prevarantom.
Kako se zaščititi: Preverite samo novice o vdorih na uradnih medijskih kanalih verig blokov.
Zaključne misli
Leta 2022 so večino zlomov sprožili boleč padec cen kriptovalut, slabo obvladovanje tveganj in pohlep lastnikov centraliziranih produktov kriptovalut. Zato je decentralizacija velik zalogaj: modrost množice DAO bi preprečila kolaps FTX/Celsius/Voyagerja.
Medtem bi morali izdelki v verigi skrbeti za varnostne revizije, posodobitve in upravljanje zasebnih letal.
Vir: https://u.today/top-10-crypto-scams-and-hacks-of-2022