2022. aastal kogesid krüptovaluutapõhised projektid mitmeid laastavaid häkkimisi ja ärakasutusi, mida peetakse kõigi aegade halvimaks aastaks, kui rääkida digitaalsete varade turvamisest.
Üldiselt kiirenes krüptohäkkide sagedus sel aastal kiiresti, ületades rekordilise 3 miljardi dollari kogukao – 2. aastal häkkimise tõttu kaotatud 2021 miljardilt dollarilt. järgi a Chainalysis aru.
Aasta näitas meile, kuidas blackhat või pahatahtlikud häkkerid kasutavad üha arenenumat taktikat, et kasutada ära detsentraliseeritud rakenduste nõrkusi, mis võivad sisaldada vigu, nagu iga teinegi tarkvara.
2022. aasta suuremate krüptovarguste hulgas on turvaintsidendid, mis hõlmavad ristahelaga sillad ja detsentraliseeritud finantsprotokollid paistsid silma selle poolest, et üksikute ärakasutamistega tekitati kahju sadade miljonite dollarite ulatuses. Selliste ärakasutamiste käigus pääsesid häkkerid krüptovaradele ilma loata juurde ja varastasid neid, kasutades ära nutikate lepingute haavatavusi.
See artikkel uurib 2022. aasta suurimaid krüptohäkkisid, mis läksid iga rünnakuni valesti.
Ronini võrgustik – 625 miljonit dollarit
29. märtsil toimus Sky Mavise mängu Axie Infinity võõrustaja Ronin. jaoks ära kasutatud 625 miljonit dollarit erinevates krüptovarades, mis teeb sellest seni suurima krüptovarguse. Sky Mavis töötas välja Ronini, et majutada oma populaarset plokiahelamängu Axie Infinity. Kuid asjad muutusid halvimaks, kui meeskonnal ei õnnestunud hiljem Ronini võrku kurjategijate eest kaitsta. tuvastatud olla Põhja-Korea häkkimisrühmitus Lazarus.
Läbi meilipõhine andmepüügirünnak endise töötaja pealt sai häkkimisrühm juurdepääsu Sky Mavise IT-infrastruktuurile. Seal leidsid häkkerid ja varastasid Ronini plokiahela validaatori sõlmede privaatvõtmed, mille ettevõte salvestas oma siseserveritesse. Kui häkkeritel oli juurdepääs valideerimisvõtmetele, võtsid nad kontrolli kogu Ronini võrgu üle ja kandsid üle 173,600 25.5 eetrit (ETH) ja 625 miljonit USDC stabiilset münti, kokku üle XNUMX miljoni dollari.
Ettevõte väitis, et nende kasutajate õnneks, kellelt selle vahejuhtumi ajal raha võeti, maksti enamik neist täielikult tagasi. Nädal pärast häkkimist, SkyMavis tõstatatud 150 miljonit dollarit Binance'i juhitud rahastamisvoorus ja ühendas selle oma varadega maksma tagasi kõigile, keda ärakasutamine mõjutas.
FTX - 370–400 miljonit dollarit
Erinevalt teistest aasta jooksul toimunud suurematest turbevargustest, näiteks nendest, mis mõjutavad detsentraliseeritud plokiahela rakendusi, mis töötavad nutikate lepingute alusel, langes nüüdseks kokkuvarisenud tsentraliseeritud börs FTX ühe 2022. aasta suurima häkkimise eest. Novembris toimunud FTX-i häkkimine tuli ilmsiks pärast börsi ametlikke Telegrami administraatoreid teatatud "volituseta juurdepääs."
Onchaini andmed näitasid, et börsi rahakotid kaotasid raha 370 miljoni dollarini $ 400 miljonit varsti pärast seda endine tegevjuht Sam Bankman-Fried esitas 11. peatüki alusel pankrotikaitse avalduse.
Paar majakirjandusväljaanded segane häkki mõistush järjekordne kahtlane 400 miljoni dollari suurune ülekanne FTX-lt Bahama väärtpaberikomisjoni korraldusel varade hoidmiseks, mis tekitas segadust. Need kaks olid aga erinevad juhtumid.
Uus FTX juht John J. Ray III tunnistati häkkimine ja teine suur varaülekanne, mille tellisid Bahama reguleerivad asutused, olid eraldi. Seda kontrollib analüüsifirma Chainalysis, mis teeb FTX-iga koostööd varade leidmiseks.
"FTX-ilt varastatud ja häkitud 400 miljonit dollarit on täiesti eraldiseisev Bahama väärtpaberikomisjoni valduses olevast 400 miljonist dollarist. Siiski on täiesti arusaadav, et inimesed olid sellest segaduses," ütles Chainalysise pressiesindaja The Blockile.
Ray ka selgus ettevalmistatud tunnistuses dokument et FTX salvestas oma rahakotti privaatvõtmeid krüptimata ja oli võtnud kasutusele väga halvad turvakontrollid – tegurid, mis oleksid võinud hõlpsasti võimaldada häkkimist.
Ussiauk – 325 miljonit dollarit
Veebruaris häkiti selle aasta suurima sillarünnaku käigus sisse Wormhole, ahelatevaheline sillaprotokoll. Wormhole võimaldab kasutajatel oma ETH lukustada ja saada sidusvara nimega Wormhole ETH (wETH) Solana võrgus.
2. veebruaril langes Wormhole häkkeri kätte, kes võltsis sillal teatud turvaallkirju ja vermis 120,000 XNUMX WETH väärtuses $ 325 miljonit tühjast ilmast. Häkker vahetas Ethereumi võrgus ebaseaduslikult vermitud WETH tegeliku ETH vastu, tühjendades sellega kõik Wormhole'is hoitavad varad.
Juhtum peatas sillatööd ja mõneks ajaks tundus, et Wormhole'i lõpp on lähedal. Kahjude hüvitamine oleks olnud uskumatult keeruline, kuid kõigi üllatuseks ütles Wormhole paar päeva pärast häkkimist seda asendatakse kogu varastatud ETH ja avas silla.
Wormhole'i inkubeerinud kauplemis- ja riskikapitalifirma Jump Crypto kinnitas, et täiendas silla ülalpidamiseks varastatud 120,000 XNUMX ETH omavahenditest.
Nomad - 190 miljonit dollarit
7. augustil sai Nomad – sild, mis ühendab Ethereumi, Avalanche’i, Moonbeami ja Evmose plokiahelaid – aasta suuruselt teise ahelatevahelise sillahäkkimise all. $ 190 miljonit kaotatud vara väärtuses. Häkkimine tulenes vigasest värskendusest, mille Nomadi arendajad ekslikult määrasid 0x00 (null aadress) usaldusväärse juurena.
See funktsioon tähendas, et igaüks võis sillalt raha välja võtta ilma usalduslepingu kontrolli läbimata ja sai hõlpsalt selle turvalisusest mööda minna. Nagu värskendus teema sai avalikuks, läbi 300 aadressid tormas sisse, et Nomadilt raha haarata kõigile tasuta. Õnneks kuulusid mõned aadressid eetilistele häkkeritele, kes hiljem tagasi 22 miljonit dollarit tagasi Nomadile.
Beanstalk Farms – 182 miljonit dollarit
Beanstalk Farms, stabiilne mündiprotokoll, oli ründas 2022. aasta aprillis aasta suurimas juhtimishäkkis.
Tundmatu häkker kasutas ära turvalünka Beanstalki detsentraliseeritud autonoomses organisatsioonis (DAO), mis jälgib stablecoini projekti otsuste tegemist. Beanstalki puhul võib igaüks esitada ettepaneku ja selle päevaga vastu võtta, kui see saab enamuse hääli Beanstalki kohaliku valitsemissüsteemi, uba, omanikelt.
Pahatahtlik näitleja esitas ettepaneku, milles palus kogukonnal saata Beanstalki riigikassast krüptovarad häkkeri krüptoaadressile. Hääletuse läbimisel tehti automaatselt ülekanne.
Ründaja võttis a kiirlaen, laen, mida saab võtta ilma tagatiseta, kui see tagastatakse sama tehingu raames. Sellega häkker ostetud miljoneid dollareid ubade žetoonides tagamaks, et neil on hääle heakskiitmiseks piisavalt märke.
Selle trikiga suutis häkker Beanstalki põhiarendajatele teadmata suunata projekti riigikassast umbes 80 miljonit dollarit ubamärke. Pärast seda häkker müüs need oa märgid platvormil maha, lõpptulemus oli Beanstalki jaoks oluliselt suurem. Turvafirma PeckShield Hinnanguliselt intsident läks Beanstalkile maksma 182 miljonit dollarit protokollikahju.
Mango Markets – 114 miljonit dollarit
Ehkki see ei olnud tehniliselt häkkimine, kannatas Solanal põhinev laenuplatvorm oktoobris ulatusliku turumanipulatsiooni ärakasutamise all.
Ründaja – hiljem väidetavalt DeFi kaupleja Avraham Eisenberg – juhtis meeskonda, kes ründas Mango Marketsi lehtrisse. $ 114 miljonit platvormilt klientide hoiustes. Hiljem tunnistas ta oma osalust.
Rünnak oli kahekordne. Esiteks ostis Eisenberg väidetavalt kümneid miljoneid mittelikviidseid Mango märke, mille ta deponeeris protokolli laenutagatisena.
Teiseks tõstis ta USDC stabiilse mündiga umbes 5 miljonit dollarit väidetavalt mitu korda üles Mango žetoonide hinda, suurendades sellega kunstlikult oma Mango tagatisvarade dollari väärtust. Ta sai seda teha, kuna Mango žetoonidel on paljudes börsides väga nõrk likviidsus.
Mango žetoonide suurenenud turuväärtus pani andmeoraaklid arvama, et Eisenbergi hoiustatud varad on väärt rohkem kui 400 miljonit dollarit.
Ülespumbatud tagatise väärtusega laenas ta 114 miljonit dollarit krüptovarasid kavatsusega seda mitte tagasi maksta – teenides sellega endale hiiglasliku kasumi. Päev hiljem sundis ta Mango juhtkonda selleks hääletust läbima, nõustudes tagastama valge mütsi läbirääkimislepinguna 47 miljonit dollarit. Selleks ajaks polnud ründaja isik teada.
Ketipealsed luugid leidsid rünnaku Eisenbergini. Tema tunnistas tema osaluse, kuid ta lükkas ümber ebaseadusliku tegevuse, väites, et "kasutab protokolli nii, nagu see on ette nähtud". Ilmselgelt ei ostnud võimud Eisenbergi argumenti "kood on seadus".
Detsembris oli Eisenberg võetud vahi alla ja teda süüdistatakse Ameerika Ühendriikide justiitsministeeriumi poolt turumanipulatsiooniga seotud kuritegudes. DoJ arreteeris ta, süüdistatuna Puerto Ricos kaubapettuses ja kaubaga manipuleerimises.
BNB Token Hub – 120 miljonit dollarit
6. oktoobril viis tundmatu isik läbi suuremahulise rünnak BNB Token Hubil, sildteenusel, mis töötab BNB Chaini – krüptobörsi Binance’i asutatud plokiahela – ja Ethereumi vahel.
Kasutades ära silla krüptograafilise kontrolli süsteemi viga, suutis häkker võtta kontrolli 2 miljoni BNB märgi üle, mis olid sillale lukustatud ja mille väärtus oli tol ajal 550 miljonit dollarit.
Häkker suutis BNB ketist üle kanda vaid 120–130 miljoni dollari väärtuses enne võrgu peatamist. Niipea kui rünnak tuvastati, nõustusid BNB Chaini valideerijad võrgu külmutamisega, et võtta üle 430 miljonit dollarit, mida hoiti häkkeri aadressil. Võrk oli mitu tundi maas, kuid päev hiljem oli see uuesti töökorras.
Horisont – 100 miljonit dollarit
Teine tohutu häkkimise ohvriks langenud protokoll oli Horizon, sild, mis ühendab Ethereumi Harmony plokiahelaga. Juunis ründaja varastas 100 miljonit dollarit lukustati Horisondis pärast paari privaatvõtme kahjustamist, mis kuulusid silda kontrollinud turvaadministraatori kontodele.
Varade Horizoni juurutajalepingust Ethereumi ülekandmise protsess hõlmas mitme allkirjaga skeemi, mis vajas viiest administraatorikontost vaid kahe heakskiitu. See tähendas, et pahatahtlik tegutseja pidi varastama kaks privaatvõtit, et lubada volitamata ülekandeid, mis täpselt juhtus, kuna märkida turvafirma Halborn poolt.
Pärast juurdepääsu saamist kahele silla administraatori privaatvõtmele, võib-olla administraatorite vastu suunatud andmepüügirünnakute kaudu. Seejärel suutis häkker heaks kiita tehingu, mis tõmbas nende kontrolli alla 100 miljonit dollarit.
Qubit - 80 miljonit dollarit
Qubit, BNB keti laenu- ja sildprotokoll, oli jaanuaris aasta esimese suuremahulise krüptohäkkimise sihtmärk. Qubitis said kasutajad Ethereumist eetrit (ETH) deponeerida ja sild andis BNC ahelas välja seotud vara “xETH”. xETH-i saaks kasutada tagatisena Qubiti laenuplatvormil.
27. jaanuaril häkker Exploited tarkvara loogika haavatavus Qubitis, mis muutis xETH-i kasutamiseks BNB-ahelas kättesaadavaks, ilma et oleks ETH-d Ethereumi deponeerinud. Haavatavuse olemus oli selline, et see võimaldas ründajal vermida suures koguses xETH-d ilma reaalseid varasid deponeerimata.
Pärast seda, kui häkker suutis vermida palju xETH-i, võtsid nad Qubitilt mitu laenu, mille tagatiseks olid need märgid. Lõpuks tühjendas ründaja kõik Qubit Finance'is panustatud 206,000 80 BNB, võttes korraga laenu, mille väärtus oli tol ajal umbes XNUMX miljonit dollarit.
Kohustustest loobumine: Alates 2021. aastast võttis The Blocki endine tegevjuht ja enamusomanik Michael McCaffrey mitmeid laene asutajalt ning FTX ja Alameda tegevjuhilt Sam Bankman-Friedilt. McCaffrey lahkus ettevõttest 2022. aasta detsembris pärast seda, kui ta neid tehinguid ei avaldanud.
Allikas: https://www.theblock.co/post/196941/the-biggest-crypto-hacks-of-2022?utm_source=rss&utm_medium=rss