Järgi TRM Labsi analüüsi kohaselt oli 2022. aasta krüptohäkkide osas rekordiline aasta, kuna krüptovarasid varastati umbes 3.7 miljardi dollari väärtuses. Defi rünnakud olid levinud, umbes 80% ehk 3 miljardit dollarit hõlmasid DeFi ohvrid.
2023. aastasse suundudes optimistlikult tärkava tehnoloogia lubaduste suhtes, peame vaatama tagasi, et õppida tagantjärele ette tulnud väljakutsetest ja tagasilöökidest.
Ronini silla infrastruktuuri krüptohäkkimine
Axie lõpmatus Ronini silla krüptohäkkimine märtsis on edetabeli tipus 612 miljonit dollarit. Ronini sild on an Ethereum külgkett Axie Infinity teenimismängu jaoks.
Krüptohäkkerid, keda täna identifitseeritakse kui Põhja-Korea küberkuritegude rühmitust nimega Lazarus, said juurdepääsu üheksale Ronini silla tehingute valideerija privaatvõtmele. Võtmeid kasutades kiitsid nad heaks suured tehingud, üks 173,600 25.5 ETH ja teine XNUMX miljoni USDC eest.
Häkkerid teisaldasid krüpto Tornado sularahasse, avatud lähtekoodiga krüptotrumlisse ja mitmesse muusse börsi.
Ühiskonna ühised jõupingutused, Binants, Chainalysis ja õiguskaitsjad aitasid mõnele rahale jälile jõuda.
BSC Beacon sillaülese koodi ärakasutamine
Oktoobris kasutasid häkkerid ära BSC Beaconi ristsilla koodi haavatavust, et varastada 570 miljoni dollari väärtuses krüptovarasid. Sild on BNB ahela kriitiline komponent.
BSC Beacon kett, millele viidatakse kui Token Hub, on ahelatevaheline sild BNB Beacon Chaini (BEP2) ja BNB Chaini (BEP20/BSC) vahel.
Rünnak õnnestus krüptograafiliste tõendite võltsimine nimetatakse Merkle'i tõendiks, mis kinnitas, et sellised andmed nagu tehingud kehtivad ja sisalduvad blockchain. Krüptohäkker kasutas Merkle'i valetõendit, et BSC Beaconi ristsillalt teistele kettidele raha üle kanda.
Tether blokeeris ründaja aadressi, samal ajal kui BNB ketist üle 7 miljoni dollari raha külmutati.
Ussiaugu silla koodi ärakasutamine
Krüptohäkkerid kasutasid veebruaris 326 miljoni dollari väärtuses krüptokoodi ussiauku. Ussiauk on sümboolne sild Solana ja Ethereumi vahel.
Krüptohäkker kasutas allkirja kontrollimisest möödahiilimiseks aegunud / surnud ebaturvalist funktsiooni.
Aegunud koodi võib võrrelda kleeppaberiga, mis ütleb: "Kustutan selle tulevikus." Te ei saa koodi praegu kustutada, kuna mõned tarbijad kasutavad seda endiselt.
Allkirjade kontrollimise delegatsioonide kett võimaldas krüptohäkkimist. Aegunud funktsioon ei kontrollinud aadresse, võimaldades võltsitud allkirja kinnitamist.
Küberanalüütikute sõnul oleksid arendajad võinud rünnakut vältida, kui nad oleksid harjutanud "turvalist kodeerimist".
Nomad Bridge koodi ärakasutamine
Häkkerid kasutasid augustis Nomadi krüptosillat, mille väärtus oli 190 miljonit dollarit. Häkker kasutas praktiliselt kõik protokollis olevad rahalised vahendid – kasvavad ärakasutamised seadsid kahtluse alla ahelatevaheliste märgisildade turvalisuse.
Sillad toimivad nii, et lukustavad märgid ühes ahelas nutikas lepingus ja väljastavad need seejärel teises ahelas uuesti mähitud kujul. Nomadi puhul saboteeris rünnak lepingut, muutes selle pakitud märgid väärtusetuks.
Tegelikult pani Nomad välja pearaha, milles palus häkkeril jätta endale 10% vahenditest ja tema ees ei ole õiguslikke meetmeid ning lisaks veel valge müts. NFT. Ründaja tagastas lõpuks vaid 36 miljonit dollarit.
Beanstalki protokolli rünnak
Aprilli saatuslikul nädalavahetusel kasutas häkker kiirlaenu, et varastada Beanstalk stablecoini protokolli alusel 182 miljonit dollarit ETH, BEAN stablecoini ja muid varasid.
Kiirlaen on funktsioon, mis võimaldab kasutajatel laenata vara, teha kiire tehingu ja seejärel tagasi maksta ühe keeruka tehinguga mitme protokolli kaudu.
Ründaja esitas Beanstalk DAO-le kaks pahatahtlikku ettepanekut hädaabikohustuse funktsiooni kaudu, mis nõudsid ⅔ häält ja rakendati seejärel 24 tunni pärast.
Ründaja vallatult kasutas kiirlaenu funktsiooni, et saada 79% kontroll ja edastada oma ettepanek.
Ründaja saatis protokollis olevad vahendid kiirlaenu tasumiseks ja ülejäänu Ukraina fondi aadressile. Lõpuks teenis ta 76 miljonit dollarit kasumit.
Veel mega krüptohäkke
Teiste mega krüptohäkkide hulka kuuluvad Wintermute'i 160 miljoni dollari dollari suurune infrastruktuurirünnak aprillis, Maiar/Elrond 113 miljoni dollari suurune infrastruktuurirünnak juunis, Mango Marketsi 112 miljoni dollarine infrastruktuurirünnak oktoobris ja Harmony Bridge'i 100 miljoni dollarine infrastruktuurirünnak juunis.
Allikas: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/