Сәйкес TRM зертханалық талдау, 2022 жыл криптографиялық бұзулар үшін рекордтық жыл болды, шамамен 3.7 миллиард долларға крипто ұрланған. Defi Шабуылдар кең таралған, шамамен 80% немесе 3 миллиард долларға DeFi құрбандары қатысты.
Біз 2023 жылға жаңадан пайда болатын технологияның уәдесіне оптимистік көзқараспен қарай отырып, біз артта болған қиындықтар мен сәтсіздіктерден сабақ алу үшін артқа қарауымыз керек.
Ронин көпірі инфрақұрылымының криптографиялық бұзуы
Axie шексіздігі Ронин көпірі криптографиялық бұзылу наурызда 612 миллион доллармен тізімде көш бастады. Ронин көпірі Ethereum Axie Infinity ойынына арналған бүйірлік тізбек.
Бүгін Лазарус деп аталатын Солтүстік Кореяның киберқылмыстық тобы ретінде анықталған криптографиялық хакерлер Ронин көпірі транзакцияларының валидаторларының тоғыз жеке кілтіне қол жеткізді. Кілттерді пайдалана отырып, олар ірі транзакцияларды мақұлдады, біреуі 173,600 25.5 ETH, екіншісі XNUMX миллион USDC үшін.
Хакерлер крипто-ны Tornado cash-ке, ашық бастапқы криптовалютаға және бірнеше басқа биржаларға көшірді.
Қоғамның бірлескен күш-жігері, Бинус, Chainalysis және құқық қорғау органдары кейбір қаражатты іздеуге көмектесті.
BSC Beacon кросс-көпір кодының эксплоити
Қазан айында хакерлер BSC Beacon кросс-көпір кодындағы осалдықты пайдаланып, құны 570 миллион доллар болатын крипто ұрлады. Көпір BNB тізбегінің маңызды құрамдас бөлігі болып табылады.
Token Hub деп аталатын BSC Beacon тізбегі BNB Beacon Chain (BEP2) мен BNB Chain (BEP20/ BSC) арасындағы көлденең тізбекті көпір болып табылады.
Шабуыл нәтиже берді криптографиялық дәлелдемелерді бұрмалау транзакциялар сияқты деректерді жарамды және енгізілген деп растайтын Merkle дәлелі деп аталады blockchain. Cyrpto хакері жалған Merkle дәлелін BSC Beacon кросс-көпірінен басқа тізбектерге ақша аудару үшін пайдаланды.
BNB тізбегінен көшірілген 7 миллионнан астам доллар тиімді түрде жабылған кезде, Tether шабуылдаушының мекенжайын бұғаттады.
Wormhole көпірінің кодын пайдалану
Крипто хакерлері ақпан айында құны 326 миллион доллар болатын криптоның құрт тесігінің кодын пайдаланды. Құрт тесігі - Солана мен Ethereum арасындағы таңбалы көпір.
Криптографиялық хакер қолтаңбаны тексеруді айналып өту үшін ескірген/қауіпсіз функцияны пайдаланды.
Ескірген кодты "мен оны болашақта жоямын" деген жабысқақ жазбамен салыстыруға болады. Кодты қазір жоя алмайсыз, себебі кейбір тұтынушылар оны әлі де пайдаланады.
Қолтаңбаны тексеру делегацияларының тізбегі криптографиялық бұзуға мүмкіндік берді. Ескірген функция мекенжайларды тексермеді, бұл жалған қолтаңбаны тексеруге мүмкіндік береді.
Киберталдаушылардың пікірінше, әзірлеушілер «қауіпсіз кодтауды» үйренсе, шабуылдан құтыла алар еді.
Nomad bridge кодының эксплоити
Хакерлер Nomad криптокөпірін тамыз айында құны 190 миллион доллар болатын крипто-ақшаны пайдаланды. Хакер іс жүзінде хаттамадағы барлық қаражатты төгіп тастады - өсіп келе жатқан эксплуатациялар кросс-тізбекті токен көпірлерінің қауіпсіздігіне күмән келтірді.
Көпірлер бір тізбектегі смарт келісім-шарттағы таңбалауыштарды құлыптап, содан кейін оларды басқа тізбекте «оралған» пішімде қайта шығару арқылы жұмыс істейді. Nomad жағдайында шабуыл келісім-шартты бұзып, оның оралған белгілерін түкке тұрғысыз етті.
Nomad, шын мәнінде, хакерден қаражаттың 10% қалдыруын және ешқандай заңды әрекетке ұшырамауын және бонустық ақ қалпақ алуын сұрап, сыйақы тағайындады. NFT. Шабуылшы ақырында бар болғаны 36 миллион долларды қайтарды.
Beanstalk протоколдық шабуылы
Сәуір айындағы тағдырлы демалыс күнінде хакер 182 миллион долларды ETH, BEAN стабилкоин және Beanstalk stablecoin хаттамасынан басқа активтерді ұрлау үшін флэш несиені пайдаланды.
Флэш несие - бұл пайдаланушыларға активті қарызға алуға, жылдам сауда жасауға, содан кейін оны бірнеше протоколдар арқылы бір күрделі транзакцияда өтеуге мүмкіндік беретін мүмкіндік.
Шабуылшы Beanstalk DAO-ға төтенше тапсырма функциясы арқылы екі зиянды ұсыныс ұсынды, ол ⅔ дауысты талап етті, содан кейін 24 сағаттан кейін орындалды.
Шабуылшы бұзақылықпен 79% бақылауды алу және өз ұсынысын қабылдау үшін флеш несие функциясын пайдаланды.
Шабуылшы хаттамадағы қаражатты флеш-несиесін өтеу үшін, ал қалғанын Украина қорының мекенжайына жіберген. Соңында ол 76 миллион доллар пайда тапты.
Көбірек мега крипто хакерлері
Басқа мега криптографиялық бұзуларға Wintermute-тің сәуірдегі 160 миллион долларлық инфрақұрылымдық шабуылы, Maiar/ Elrond-тың маусымдағы 113 миллион долларлық инфрақұрылымдық шабуылы, Mango Markets-тің қазандағы 112 миллион долларлық инфрақұрылымдық шабуылы және Harmony көпірінің маусымдағы 100 миллион долларлық инфрақұрылымдық шабуылы кіреді.
Дереккөз: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/