Turvarikkumistest ja häkkidest on saanud kiiresti kasvavas krüptorahamaailmas karm reaalsus. Miljonite dollarite väärtuses varadega on mängus ees püsimine ja oma investeeringute kaitsmine ülioluline. Süvenedes 2023. aasta krüptohäkkimise maastikku, uurime seni toimunud intsidentide hämmastavat hulka.
Sel aastal on juba toimunud märkimisväärne hulk häkkimisi. BonqDAO, dForce, Magic Eden, OpenSea ja Harmony on mõned nimed, mis nende häkkide ohvriks langesid.
Kolmanda osapoole häkkimine süüdistas rakenduses Magic Eden kuvatud sobimatuid pilte
See aasta algas Magic Edenis ebatavalise tegevusega. Mitteasendatava (NFT) börsi Magic Eden veebisait oli üle ujutatud veidratest fotodest.
3. jaanuaril avas Solana hallatav NFT turg (SOL) teatas Twitteris, et seda pole häkitud, kuid selle asemel häkiti sisse ettevõtte pildimajutusteenus, mida majutati kolmanda osapoole veebisaidil, mille tulemusena paljastati mitmed ebameeldivad fotod.
Sel päeval olid paljud Magic Edeni kasutajad märkasin et kogumiku lehel klõpsates ilmus pornograafiline pilt, mitte tavaline NFT pisipilt. Mitmed inimesed ütlesid, et olid näinud kaadrit Suure Paugu teooriast.
Tundmatu organisatsioon või isik kaaperdas krüptovaluutade ja aktsiatega kauplemisplatvormi Robinhoodi taga oleva Twitteri konto, et julgustada kasutajaid ostma uut märgi.
25. jaanuaril teatasid mitmed krüpto-Twitter kasutajad, et Robinhood Twitter postitas säutsu, milles kutsus oma 1.1 miljonit jälgijat maksma 0.0005 dollarit BNB nutiketi RBH-nimelise märgi eest. Enne postituse kustutamist ütles Coinbase'i tooteäri juht Conor Grogan, et vähemalt kümme klienti olid omandanud umbes 1,000 dollari väärtuses petturlikku münti.
Binance'i asutaja ja tegevjuht Changpeng Zhao ütles seejärel, et ettevõtte turvameeskond külmutas postitusega seotud konto ja "ootab edasisi uurimisi".
Kurikuulus säuts kustutati hiljem. Robinhoodi pressiesindaja teatas krüptovaluuta müügipunktile Cointelegraph, et häkker, keda peetakse "kolmanda osapoole müüjaks", oli postitanud teabe ka platvormi Instagrami ja Facebooki saitidele.
Põhja-Korea häkkerid üritavad pesta Harmony rünnaku käigus varastatud raha
Näis, et 2022. aasta juunis Harmony silla ekspluateerimise eest vastutavad Põhja-Korea petturid jätkasid oma jõupingutusi raha pesemiseks selle aasta jaanuaris. 28. jaanuaril populaarse Twitteri konto ja isehakanud "plokiahela detektiivi" ZachXBT poolt avalikustatud ahelas olevate andmete kohaselt kandsid süüdlased sel nädalavahetusel üle 17,278 29 eetrit, mis on kirjutamise ajal umbes XNUMX miljonit dollarit.
ZachXBT väitis, et märgid saadeti kuuele teisele krüptovaluutabörsile, kuid ta ei avaldanud, millistele saitidele märgid üle kanti. Tehingud tehti kolmelt esmaselt aadressilt.
ZachXBT väidab, et börse teavitati rahaülekannetest ja selle tulemusena blokeeriti osa varastatud vahenditest. Krüptodetektiivi sõnul olid ärakasutajate toimingud raha pesemiseks silmatorkavalt identsed eelmise aasta juunis, mil pesti üle 60 miljoni dollari.
AllianceBlock sai ka löögi
AllianceBlock kaotas miljoneid dollareid hiljutise rünnaku tõttu, mille tulemusel varastati 110 miljonit ALBT-märki Bonqist, Polygonil ehitatud detsentraliseeritud laenuprojektist.
12 miljoni dollari suuruse ärakasutamise tõttu AllianceBlock, a platvormil, mis väidetavalt keskendub detsentraliseeritud rahanduse (DeFi) ja traditsioonilise rahanduse (TradFi) maailma ühendamisele, on kannatanud tohutu tagasilöök.
Ettevõtte avalduse kohaselt kasutasid ründajad ära Bonqi turvaviga, mis võimaldas neil pääseda ligi 110 miljonile ALBT märgile. Projekt kinnitab, et haavatavus on Bonqi jaoks ainulaadne ja ükski selle nutikatest lepingutest ei saanud rünnaku ajal ohtu.
BonqDAO tabas uuesti
Mõnevõrra tagasihoidlik detsentraliseeritud autonoomne organisatsioon (DAO) sai samuti üsna olulise nutika lepingu häkkimise ohvriks, mille tulemuseks oli 120 miljoni dollari suurune vargus selle protokollist.
Ärakasutaja suutis AllianceBlocki (ALBT) märgi hinda kontrollida pärast seda, kui BonqDAO teavitas 1. veebruaril oma Twitteri jälgijaid, et oraakli rikkumine on rikkunud tema Bonqi protokolli. See võimaldas ekspluateerijal žetoone varastada.
Plokiahela turvafirma PeckShield läbi viidud sõltumatu uurimise tulemuste kohaselt oli Bonqi häkkimise käigus varastatud rahasumma ligikaudu 120 miljonit dollarit. Selle arvu arvutamiseks lahutati 108 miljonist BEUR žetoonist 98.65 miljonit dollarit ja 11 miljonist pakendatud ALBT (wALBT) märgist 113.8 miljonit dollarit.
PeckShieldi sõnul rikkus ründaja wALBT-märgi hinda, muutes oraakli värskendushinna funktsiooni ühes BonqDAO nutikas lepingus.
Selle tulemusel kasutati ära BEUR ja WALBT. Seejärel põletas häkker ALBT avamiseks kõik 113.8 miljonit WALBT-i, olles Uniswapis USDC vastu kaubelnud umbes 500,000 XNUMX dollari väärtuses BEUR.
Sperax kannatab teise silla
Twitteri kasutaja Spreek hoiatas 4. veebruaril kogukonda, et 250,000 XNUMX dollari väärtuses Sperax USD-sid (USD-sid) on kuritarvitatud.
Tema järelduste kohaselt suurendas rünnak saadaolevat USD-d tunduvalt. See ei jätnud ülekandelogidesse jälge, mis viitaks lõpmatu hulga žetoonide vermimisele või ülekandmisele.
Sperax USD nutikas lepingus ei ilmnenud pahatahtliku värskendamise märke. Sellest lähtuvalt on uurija oletanud, et ründaja võis kasutada turvamüntide baasi muutmise funktsiooni haavatavust.
Ketisisesed palgid soovitama enne kui Sperax USD-süsteemi peatas, tegi ründaja välja stabiilsed mündid, mille väärtus ületas 250,000 XNUMX dollarit.
dForce kannatab ka ärakasutamise all
dForce'i võrk oli veel üks veebruaris tõsise häkkimisrünnaku ohver, mille tulemuseks oli kahju, mis ületas umbes 3.65 miljonit dollarit.
Pärast aastat, mil krüptoruumile tehti mitu rünnakut, algas veebruar, nagu ka jaanuar, rütmilise mustriga. 10. veebruaril väljastas PeckShield hoiatuse seoses küberrünnakuga võrgule dForce. Ettevõtte hinnangul oli kaotatud rahasumma umbes 3.65 miljonit dollarit.
PeckShield tõi tähelepanu asjaolule, et raha oli võetud kahelt erinevalt: Optimism ja Arbitrum. Nende säutsu kohaselt olid väidetavad kahjud seotud kolme erinevat tüüpi krüptovaluuta varadega. Näiteks plokiahela turvaplatvorm avastas, et dForce oli Arbitrum layer-1,236.65 protokolli tõttu otse-eetris ära visanud umbes 719,437 ETH ja 2 XNUMX USX.
Seejärel säutsus PeckShield dForce'ile taotluse haavatavuse uurimiseks. Poolteist tundi pärast esialgset aruannet kontrollis dForce üksikasju. Võrgu andmetel kasutati hiljuti Arbitumi ja Optimismi wstETH/ETH varahoidlaid.
dForce ütles, et nad avastasid probleemid paar tundi varem ja panid kriisi piiramiseks varahoidlad kiiresti seisma. Siiski rõhutasid nad, et suurem osa sellest protsessist on endiselt toimiv ja raha on endiselt turvaliselt dForce Lendingus hoitud. Kuid selle kirjutamise ajal ei avaldanud dForce rünnaku kõiki aspekte. Nad ütlesid, et peagi on tulemas paber, mis kirjeldab lahendusi väga üksikasjalikult.
OpenSea ei jää maha
Veebruaris 2022 langes OpenSea olulise andmepüügi rünnaku ohver, mis viis selle kasutajatelt üle 1.7 miljoni dollari väärtuses mitteasendatavate žetoonide (NFT-de) varguseni. NFT turg on viimastel aastatel olnud paljude rünnakute all. Väidetavalt kaotasid OpenSea kasutajad ainuüksi 3.9. aastal pettuste tõttu kokku 2022 miljardit dollarit.
Õiged turvameetmed, keegi?
Aastasse 2023 liikudes kostis kõlav koor lubadusi krüptosektori turvalisuse suurendamiseks. Seni on olukord aga vähe muutunud. Plokiahelal põhinevad ettevõtted peavad oma klientide kaitsmiseks pettuste eest rohkem tegema.
Pärast FTX-i kokkuvarisemist näivad paljud börsid olevat keskendunud läbipaistvusele ja rahaliste vahendite tõendamisele, kuid oma varade tagamise küsimus peaks alati olema prioriteet.
Kasutajad peavad ise võtma meetmeid oma varade kaitsmiseks, olles samal ajal andmepüügiga ettevaatlik ning tehes tehinguid ainult mainekate börside ja rahakottide kaudu.
Allikas: https://crypto.news/millions-of-dollars-already-lost-to-hacks-in-2023/