Prema TRM laboratorijske analize, 2022. je bila rekordna godina za kripto hakove, sa oko 3.7 milijardi dolara vrijednih kripto ukradenih. Defi napadi su bili rasprostranjeni, sa približno 80% ili 3 milijarde dolara, uključujući žrtve DeFi.
Dok idemo u 2023. optimistični u pogledu obećanja tehnologije u nastajanju, moramo se osvrnuti kako bismo učili iz izazova i neuspjeha s kojima smo se suočili.
Kripto hakiranje infrastrukture Ronin Bridgea
axie infinity Ronin bridge kripto hak u martu je na vrhu liste sa 612 miliona dolara. Ronin most je an Ethereum bočni lanac za Axie Infinity igru igraj za zaradu.
Kripto hakeri, danas identifikovani kao severnokorejska grupa za sajber kriminal pod nazivom Lazarus, dobili su pristup devet privatnih ključeva validatora transakcija Ronin mosta. Koristeći ključeve, odobrili su velike transakcije, jednu za 173,600 ETH, a drugu za 25.5 miliona USDC.
Hakeri su prebacili kriptovalute u Tornado cash, kripto tumbler otvorenog koda i nekoliko drugih berzi.
Zajedničkim naporima zajednice, Binance, Chainalysis i organi za sprovođenje zakona pomogli su u pronalaženju nekih sredstava.
Eksploatacija koda BSC Beacon cross-bridge
U oktobru su hakeri iskoristili ranjivost u kodu BSC Beacon cross-bridge da ukradu kriptovalute u vrijednosti od 570 miliona dolara. Most je kritična komponenta lanca BNB-a.
BSC Beacon lanac, nazvan Token Hub, je unakrsni most između BNB Beacon lanca (BEP2) i BNB lanca (BEP20/BSC).
Napad je uspio falsifikovanje kriptografskih dokaza pod nazivom Merkle dokaz koji potvrđuje da su podaci poput transakcija validni i uključeni u blockchain. Cyrpto haker je koristio lažni Merkle dokaz za prijenos sredstava sa BSC Beacon cross-bridgea na druge lance.
Tether je blokirao adresu napadača, dok je preko 7 miliona dolara premještenih iz lanca BNB-a efektivno zamrznuto.
Eksploatacija koda mosta crvotočine
Kripto hakeri su u februaru iskoristili kod crvotočine kripto vrijedan 326 miliona dolara. Crvotočina je token most između Solane i Ethereuma.
Kripto haker je koristio zastarjelu/mrtvu nesigurnu funkciju da zaobiđe verifikaciju potpisa.
Zastarjeli kod se može uporediti sa ljepljivom bilješkom na kojoj piše: 'Ovo ću izbrisati u budućnosti.' Ne možete sada izbrisati kod jer ga neki potrošači još uvijek koriste.
Lanac delegiranja provjere potpisa omogućio je kripto hakiranje. Zastarjela funkcija nije provjeravala adrese, dozvoljavajući provjeru valjanosti krivotvorenog potpisa.
Prema cyber analitičarima, programeri su mogli izbjeći napad da su prakticirali 'sigurno kodiranje'.
Nomad bridge code eksploatacija
Hakeri su u avgustu iskoristili Nomad kripto most za kripto vrijednu 190 miliona dolara. Haker je bukvalno iscrpio sva sredstva iz protokola - sve veći eksploatacija dovela je u pitanje sigurnost unakrsnih tokenskih mostova.
Mostovi rade tako što zaključavaju tokene u pametnom ugovoru u jednom lancu, a zatim ih ponovo izdaju u 'upakovanom' formatu u drugom lancu. U Nomadovom slučaju, napad je sabotirao ugovor, čineći njegove umotane tokene bezvrijednim.
Nomad je, u stvari, dao nagradu tražeći od hakera da zadrži 10% sredstava i da se ne suoči sa pravnim postupcima plus bonus bijeli šešir Nft. Napadač je na kraju vratio samo 36 miliona dolara.
Napad protokola Beanstalk
Sudbonosnog vikenda u aprilu, haker je iskoristio flash zajam da ukrade 182 miliona dolara u ETH, BEAN stabilnoj valuti i drugoj imovini iz protokola Beanstalk stablecoin.
Flash zajam je funkcija koja omogućava korisnicima da pozajme sredstvo, izvrše brzu trgovinu, a zatim ga otplate u jednoj složenoj transakciji kroz više protokola.
Napadač je predstavio dva zlonamjerna prijedloga Beanstalk DAO-u kroz funkciju hitnog preuzimanja, koja je zahtijevala ⅔ glasova, a zatim implementirana nakon 24 sata.
Napadač nestašno koristio je funkciju brzog zajma kako bi dobio 79% kontrole i prošao njegov prijedlog.
Napadač je poslao sredstva u protokolu za otplatu svog flash kredita, a ostatak na adresu ukrajinskog fonda. Na kraju je ostvario profit od 76 miliona dolara.
Još mega kripto hakova
Ostali mega kripto hakovi uključuju Wintermute-ov infrastrukturni napad od 160 miliona dolara u aprilu, Maiar/Elrondov infrastrukturni napad od 113 miliona dolara u junu, Mango Markets-ov infrastrukturni napad od 112 miliona dolara u oktobru i Harmony bridge-ov napad na infrastrukturu od 100 miliona dolara u junu.
Izvor: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/