2022 жылы криптовалютаға негізделген жобалар сандық активтерді қорғауға қатысты ең нашар жыл болып саналатын көптеген жойқын бұзулар мен эксплуаттарды бастан өткерді.
Тұтастай алғанда, биылғы жылы криптографиялық бұзылулардың жиілігі тез өсіп, жоғалған қаражаттың жалпы сомасы 3 миллиард доллардан асып, рекордтық көрсеткішке жетті - 2 жылы бұзу салдарынан жоғалған 2021 миллиард доллардан жоғары. сәйкес a Chainalysis есеп.
Жыл бізге қара шляпалар немесе зиянды хакерлер бағдарламалық жасақтаманың басқа бөліктері сияқты қателері болуы мүмкін орталықтандырылмаған қолданбалардың әлсіз жақтарын пайдалану үшін барған сайын жетілдірілген тактикаларды қалай қолданатынын көрсетті.
2022 жылдың негізгі криптографиялық ұрлықтарының арасында қауіпсіздік оқиғалары бар көпірлер және орталықтандырылмаған қаржы хаттамалары жеке эксплуатациялардан жүздеген миллион доллар шығынға ұшырауымен ерекшеленді. Мұндай эксплуатациялар кезінде хакерлер ақылды келісім-шарттардағы осалдықтарды пайдалана отырып, рұқсатсыз крипто активтеріне қол жеткізіп, ұрлады.
Бұл мақала 2022 жылғы ең үлкен криптографиялық бұзақыларды зерттейді және әрбір шабуылға дейін қателесті.
Ronin Network — $625 млн
29 наурызда Ронин, Sky Mavis-тің Axie Infinity ойынын өткізетін бүйірлік желі болды. үшін пайдаланылды Әртүрлі криптографиялық активтердегі 625 миллион доллар, бұл бүгінгі күнге дейінгі ең үлкен криптографиялық ұрлық. Sky Mavis өзінің танымал блокчейн ойынын Axie Infinity орналастыру үшін Ronin әзірледі. Бірақ кейінірек команда Ронин желісін қылмыскерлерден қорғай алмаған кезде жағдай нашарлады. анықталды Солтүстік Кореяның Lazarus хакерлік тобы болу.
Арқылы электрондық поштаға негізделген фишингтік шабуыл бұрынғы қызметкерде хакерлік топ Sky Mavis IT-инфрақұрылымына қол жеткізді. Онда хакерлер фирма өзінің ішкі серверлерінде сақтаған Ronin blockchain валидатор түйіндерінің жеке кілттерін тауып, ұрлады. Хакерлер валидатор кілттеріне қол жеткізген кезде, олар бүкіл Ronin желісін бақылауға алып, 173,600 25.5 эфир (ETH) және 625 миллион USDC стабилкоин аударды, жалпы сомасы XNUMX миллион доллардан астам.
Бақытымызға орай, осы оқиға кезінде қаражат алған пайдаланушылар үшін олардың көпшілігі толығымен қайтарылды, деп мәлімдеді фирма. Бұзылғаннан кейін бір аптадан кейін SkyMavis көтерілді Binance басқаратын қаржыландыру раундында 150 миллион доллар жинады және оны өз активтерімен біріктірді. эксплуатациядан зардап шеккендердің барлығын қайтарыңыз.
FTX — 370-400 миллион доллар
Жыл ішінде басқа да ірі қауіпсіздік тонауларынан айырмашылығы – мысалы, смарт-келісімшарттарда жұмыс істейтін орталықтандырылмаған блокчейн қосымшаларына әсер ететін – қазір құлдыраған орталықтандырылған биржа FTX 2022 жылғы ең үлкен бұзулардың біріне түсті. Қараша айында орын алған FTX бұзуы биржаның ресми Telegram әкімшілерінен кейін белгілі болды деп хабарлайды «Рұқсат етілмеген қол жеткізу».
Onchain деректері биржаның екенін көрсетті әмияндар 370 миллион долларға дейінгі қаражатты жоғалтты $ 400 млн одан көп ұзамай бұрынғы бас директор Сэм Банкмен-Фрид 11-тараудың банкроттықтан қорғауға өтініш берді.
Бірнеше мEdia сауда нүктелері біріктірілген ақылдылықh Багам аралдарының бағалы қағаздар жөніндегі комиссиясының тапсырысы бойынша активтерді сақтау үшін FTX-тен жасалған 400 миллион доллардың тағы бір күдікті аударымы шатасушылық тудырды. Дегенмен, екеуі екі бөлек оқиға болды.
Жаңа FTX басшысы Джон Дж. Рэй III куәландырылған Багамдық реттеушілер тапсырыс берген бұзу және басқа ірі активтерді аудару бөлек болды. Мұны FTX-пен активтерді қадағалау үшін жұмыс істейтін Chainalysis аналитикалық фирмасы растайды.
«FTX-тен ұрланған және бұзылған 400 миллион доллар Багам аралдарының бағалы қағаздар комиссиясының 400 миллион долларынан мүлдем бөлек. Адамдардың бұған шатастырылғаны түсінікті », - деді Chainalysis өкілі The Block-ке.
Рэй де анықталған дайындалған куәлікте құжат FTX өз әмияндарының жеке кілттерін шифрланбаған түрде сақтағанын және өте нашар қауіпсіздік бақылауын қабылдағанын - бұзудың орын алуына оңай мүмкіндік беретін факторлар.
Wormhole — $325 миллион
Ақпан айында Wormhole, кросс-тізбекті көпір протоколы осы жылдың ең үлкен көпір эксплойтінде бұзылды. Wormhole пайдаланушыларға ETH құлыптауға және Solana желісінде Wormhole ETH (wETH) деп аталатын бекітілген активті алуға мүмкіндік береді.
2 ақпанда Wormhole көпірдегі белгілі бір қауіпсіздік қолтаңбаларын алдап, құны 120,000 XNUMX WETH соққан хакердің қолына түсті. $ 325 млн жұқа ауадан. Хакер заңсыз шығарылған WETH-ті Ethereum желісіндегі нақты ETH-ге ауыстырды, осылайша Wormhole-дегі барлық активтерді құртады.
Оқиға көпір жұмысын тоқтатты және біраз уақыт Wormhole-дің соңы жақын болып көрінді. Шығындарды қалпына келтіру өте қиын болар еді, бірақ бұзақылықтан бірнеше күннен кейін барлығын таң қалдырды, Wormhole мұны айтты. ауыстырылды ұрланған ETH барлық және көпір ашты.
Wormhole инкубациялаған Jump Crypto сауда және венчурлық капитал фирмасы көпірді ұстап тұруға көмектесу үшін ұрланған 120,000 XNUMX ETH-ді өз қаражатынан толтырғанын растады.
Nomad — $190 млн
7 тамызда Nomad — Ethereum, Avalanche, Moonbeam және Evmos блокчейндерін байланыстыратын көпір — жылдың екінші ең үлкен кросс-тізбекті көпір бұзуына ұшырады. $ 190 млн жоғалған активтер құны. Бұзылу Nomad әзірлеушілері қате тағайындалған қате жаңартудан туындады 0x00 (нөлдік мекенжай) сенімді түбір ретінде.
Бұл функция кез келген адам сенімгерлік келісім-шартты тексеруден өтпей-ақ көпірден қаражат ала алатынын және оның қауіпсіздігін оңай айналып өтетінін білдірді. Жаңарту ретінде мәселе жария болды, аяқталды 300 мекен-жай Көшпеліден ақша алу үшін асығады. Бақытымызға орай, кейбір мекенжайлар кейінірек этикалық хакерлерге тиесілі болды қайтарылды Nomad-қа 22 миллион доллар қайтарылды.
Beanstalk Farms — $182 миллион
Beanstalk Farms, стабилкоин протоколы болды шабуыл жасады 2022 жылдың сәуірінде жылдағы ең үлкен басқару бұзылыстарында.
Белгісіз хакер stablecoin жобасы бойынша шешім қабылдауды қадағалайтын Beanstalk орталықтандырылмаған автономды ұйымындағы (DAO) қауіпсіздік саңылауын пайдаланды. Beanstalk-те кез келген адам ұсыныс жібере алады және егер ол Beanstalk-тің бұршақ деп аталатын жергілікті басқаруының иелерінен көпшілік дауыс алған болса, оны бір күнде қабылдауға болады.
Зиянды актер қауымдастықтан Beanstalk қазынасынан хакердің криптографиялық мекенжайына криптографиялық активтерді жіберуді сұрайтын ұсыныс жіберді. Дауыс беру аяқталғаннан кейін аудару автоматты түрде жүзеге асырылды.
Шабуылшы А флеш несие, егер сол мәміле аясында қайтарылса, ешқандай кепілдіксіз алуға болатын несие. Осымен хакер сатып алынды дауысты мақұлдау үшін жеткілікті токендердің болуын қамтамасыз ету үшін бұршақ токендерінде миллиондаған доллар.
Осы трюк арқылы хакер Beanstalk негізгі әзірлеушілеріне бейхабар жобаның қазынасынан 80 миллион долларға жуық бұршақ токендерін аудара алды. Осыдан кейін хакер платформада сол бұршақ токендерін сатты, соңғы шығын Beanstalk үшін айтарлықтай жоғары болды. PeckShield қауіпсіздік фирмасы Бағалады оқиға Beanstalk-ке 182 миллион доллар шығын келтірді.
Mango Markets — $114 млн
Техникалық түрде бұзу болмаса да, Solana негізіндегі несиелік платформа қазан айында жаппай нарықтық манипуляцияларға ұшырады.
Шабуылшы - кейінірек DeFi трейдері Авраам Эйзенберг болды - команданы Mango Markets-ке шабуыл жасау үшін басқарды $ 114 млн платформадан клиенттердің депозиттерінде. Кейін ол өзінің қатысы барын мойындады.
Шабуыл екі есе болды. Біріншіден, Эйзенберг ондаған миллион өтімсіз Mango таңбалауыштарын сатып алды деген болжам бар, ол оны несие кепілі ретінде хаттамаға енгізді.
Екіншіден, USDC стабилкоинінде шамамен 5 миллион доллары бар ол Mango токендерінің бағасын бірнеше рет өсірді, осылайша Mango-дағы несиелік кепілдік депозиттерінің долларлық құнын жасанды түрде өсірді. Ол мұны істей алды, өйткені Mango токендері көптеген биржаларда өте жұқа өтімділікке ие.
Mango токендерінің өскен нарықтық құны Айзенберг депозитке салған активтердің құны 400 миллион доллардан асады деп ойлап, деректерді алдады.
Кепілдік құнының жоғарылауымен ол оны қайтармау ниетімен 114 миллион доллар крипто активтерін қарызға алды, бұл өзіне үлкен пайда әкелді. Бір күннен кейін ол Мангоның басқаруын мәжбүрледі дауыс беру, ақ қалпақ келіссөздер келісімі ретінде 47 миллион долларды қайтаруға келіскен. Осы уақытқа дейін шабуыл жасаған адамның кім екені белгісіз еді.
Тізбектегі слейттер шабуылды Эйзенбергке дейін анықтады. Ол мойындады оның қатысы бар, бірақ ол «хаттаманы жобаланғандай қолданды» деп, заңсыз әрекетті жоққа шығарды. Билік Эйзенберг айтқан «код – заң» деген дәлелді сатып алмағаны анық.
Желтоқсан айында Эйзенберг болды қамауға алынған және Америка Құрама Штаттарының Әділет министрлігі нарықты манипуляциялауға байланысты қылмыстар үшін айыпталған. Додж оны Пуэрто-Рикодағы тауарларды алаяқтық және тауарды манипуляциялау айыптары бойынша қамауға алды.
BNB Token Hub — $120 млн
6 қазанда белгісіз тұлға ауқымды әрекетті жүзеге асырды Шабуыл BNB Token Hub-те, BNB Chain — Binance крипто биржасы негізін қалаған блокчейн — және Ethereum арасында жұмыс істейтін көпір қызметі.
Көпірдің криптографиялық дәлелдеу жүйесіндегі қатені пайдаланып, хакер көпірде құлыпталған және сол кездегі $2 миллионға бағаланған 550 миллион BNB токенін бақылауға алды.
Хакер тек BNB Chain-тен 120 миллионнан 130 миллион долларға дейін кез келген жерге аудара алды. желі тоқтатылғанға дейін басқа тізбектер. Шабуыл анықталған бойда BNB Chain валидаторлары хакердің мекенжайында сақталған 430 миллион доллардан астам долларды алу үшін желіні тоқтатуға келісті. Желі бірнеше сағат бойы істен шықты, бірақ бір күннен кейін қайта қосылып, іске қосылды.
Горизонт — $100 млн
Жаппай бұзудың құрбаны болған тағы бір хаттама - Horizon, Ethereum-ды Harmony блокчейнімен байланыстыратын көпір. Маусым айында шабуылдаушы 100 миллион долларды ұрлады көпірді басқаратын қауіпсіздік әкімшісінің есептік жазбаларына тиесілі бірнеше жеке кілттерді бұзғаннан кейін Horizon жүйесінде құлыпталған.
Активтерді Horizon-тың орналастырушы келісім-шартынан Ethereum-ға көшіру процесі бес әкімші тіркелгісінің тек екеуінің мақұлдауын қажет ететін көп қолтаңба схемасын қамтыды. Бұл зиянды актер рұқсат етілмеген аударымдарды мақұлдау үшін екі жеке кілтті ұрлауы керек дегенді білдіреді, бұл дәл осылай болды. деп атап өтті Halborn қауіпсіздік фирмасы.
Көпірдің екі әкімші жеке кілтіне қол жеткізгеннен кейін, мүмкін әкімшілерге фишингтік шабуылдар арқылы. Содан кейін хакер олардың бақылауына 100 миллион доллар шығарған транзакцияны мақұлдай алды.
Qubit — $80 млн
Qubit, BNB Chain несиелендіру және көпір протоколы қаңтарда жылдың бірінші ауқымды крипто-бұзуының мақсаты болды. Qubit-те пайдаланушылар Ethereum-дан эфирді (ETH) депозитке сала алады және көпір BNC Chain-де бекітілген «xETH» активін шығарды. xETH Qubit несиелік платформасында кепіл ретінде пайдаланылуы мүмкін.
27 қаңтарда хакер пайдаланылған xETH-ті Ethereum-ға ETH қоймастан BNB тізбегінде пайдалану үшін қолжетімді ететін Qubit-тегі бағдарламалық логикалық осалдық. Осалдықтың сипаты шабуылдаушыға ешқандай нақты активтерді қоймастан үлкен көлемде xETH шығаруға мүмкіндік беретіндей болды.
Хакер көптеген xETH шығара алғаннан кейін, олар Qubit-тен кепіл ретінде осы белгілермен бірнеше несие алды. Ақырында, шабуылдаушы Qubit Finance-те тұрған 206,000 80 BNB-дің барлығын сол кездегі шамамен XNUMX миллион долларды құрайтын несие алу арқылы құртып жіберді.
Жауапкершіліктен бас тарту: 2021 жылдан бастап The Block компаниясының бұрынғы бас директоры және негізгі иесі Майкл Маккаффри негізін қалаушы және бұрынғы FTX және Alameda бас директоры Сэм Банкман-Фридтен бірқатар несие алды. Маккаффри 2022 жылдың желтоқсанында бұл транзакцияларды ашпаған соң компаниядан отставкаға кетті.
Дереккөз: https://www.theblock.co/post/196941/the-biggest-crypto-hacks-of-2022?utm_source=rss&utm_medium=rss