Uprkos tome što su tržišta kriptovaluta zarobljena u teškoj medvjedašnjoj recesiji, prevare i hakovi u Web3 gorjeli su cijelu 2022. Određeni broj vrhunskih centraliziranih kriptovaluta teškaša također je propao zbog lošeg upravljanja rizikom i insajderskih manipulacija.
Kako se kripto segment približava Novoj godini, U.Today ponavlja najopasnije kripto prijevare, njihove korijene, dizajn i gubitke koje su izazvali. Pripremili smo i kratak pregled najčešćih kripto prevara na društvenim mrežama koje svakodnevno ciljaju milione korisnika.
Kripto prevare i hakovi 2022: Brze činjenice
Prema brojnim cybersec izvještajima, u prvih 11 mjeseci 2022. hakeri i prevaranti uspjeli su ukrasti neviđen iznos od 4.2 milijarde dolara u kriptovaluti, što je 37% više nego 2021. godine, kada su ključni kriptovaluti bili 2x-3x skuplji.
- Najveći napadi izvedeni su protiv protokola unakrsnog lanca — bridge mehanizam Ronin kompanije Axie Infinity i višeprotokolski ekosistem Wormhole.
- Kolaps ekosistema Terra (LUNA), njegovog glavnog DeFi Anchor protokola (ANC) i stabilnog coin-a TerraUSD (UST) vezanog za USD, doprinijeli su Q2-Q4, 2022, fazi medvjeđe recesije.
- Drama oko sada nepostojeće kripto berze FTX i povezane trgovačke firme Alameda Research bila je najveći kolaps centralizovanih usluga tokom 2022.
- Unatoč tome što se o najvećim hakovima naširoko raspravlja u medijima, velika većina kripto prijevara organizirana je starim metodama: lažnim airdropovima, zlonamjernim „programima za oporavak“, šemama arbitraže za prevare i slično.
- Činilo se da su brojne velike hakove bile operacije bijelog šešira: napadači su vraćali ukradeni novac u zamjenu za impresivne nagrade za bube.
- Skoro 12% svih BEP-20 tokena i 8% ERC-20 tokena su lažni; Dnevno se lansira 350 novih prevara.
U ovom pregledu ćemo namjerno pokrenute prevare i projekte koji su u početku bili legitimni nazivati „prevarama“, dok su „hakovi“ napadi trećih strana na legitimne projekte koji se izvršavaju bez događaja „insajderskog posla“.
Najpopularnije kripto prevare i kolapsi 2022
U 2022. Bitcoin (BTC), Ethereum (ETH) i sve glavne kriptovalute izgubile su preko 70-80% od svog ATH-a, dok u najugroženijim segmentima - metaverse tokeni, GameFi tokeni, Solana (SOL) ekosistem - srednji gubitak prelazi 90 %. Neke kriptovalute nisu uspjele preživjeti tako bolan pad.
Terra (LUNA)/Terra USD (UST)
Platforma pametnih ugovora Terra (LUNA) kompatibilna sa EVM bila je među najuspešnijim ubicama Ethereuma (ETH) 2021. Međutim, lavovski dio njenog TVL-a bio je koncentriran na Anchor Protocol (ANC), jednostavnu farmersku mašinu koja je nudila 19% APY na depozite u Terra USD (UST), Terra sada nefunkcionalnom stabilnom coinu vezanom za USD. Ukupno, više od 20 milijardi dolara u ekvivalentu je zaključano u Anchor-u (ANC) u prvom kvartalu 1.
Međutim, početkom maja 2022., neko je počeo agresivno slati UST u grupe na Curve Finance (CRV) DeFi i razmjenjivati tokene na USD Coin (USDC). UST je izgubio svoj klin. Terraform Labs i njen izvršni direktor Do Kwon počeli su ubrizgavati likvidnost u mehanizam UST/LUNA. Međutim, zbog velikog priliva kapitala, i LUNA i UST su pale na gotovo nulte vrijednosti. Terra (LUNA) blockchain je zauvijek zaustavljen.
Kao što je U.Today ranije pokrio, istraživači su otkrili da je Terraform Labs inicirao kolaps: Do Kwon je odobrio masivne UST transfere. Osnivač Terre je navodno pobegao u Srbiju i tamo pokušava da unovči svoje bitkoine (BTC).
Kapital s tri strelice
Pokrenut od strane Su Zhua i Kylea Daviesa, bivših studenata Univerziteta Columbia i veterana Credit Suissea, Three Arrows Capital (3AC) bio je među najutjecajnijim kripto hedž fondovima. Sakupio je preko 20 milijardi dolara u AUM zahvaljujući tome što je bio rani investitor u Ethereum (ETH), Avalanche (AVAX), Solana (SOL) i druge.
Međutim, srušena LUNA bila je jedan od ključnih elemenata 3AC portfelja. Tim je uložio preko 600 miliona dolara u Terra (LUNA): ovaj ogroman udio je izbrisan za dvije sedmice nakon kolapsa LUNA/UST.
Dana 16. juna 2022., FT je objavio da 3AC nije uspio ispuniti svoje zahtjeve za marginom zbog gubitaka u Terrinom Anchor Protocolu. Firma je takođe bila pod vodom na svojim pozicijama u Staked Ether (stETH) u Lido Finance (LDO) DeFi iu Grayscale Bitcoin Trust (GBTC). U junu nije otplatio kredit kripto gigantu Voyageru. Krajem jula firmu je likvidirao sud na BVI-ju, dok je uprava 3AC-a podnijela zahtjev za bankrot. Ukupno je 20 investitora u 3AC izgubilo preko 3.5 milijardi dolara.
putnik
Američki kreditor Voyager takođe je postao žrtva lošeg upravljanja rizikom: dao je 650 miliona dolara neobezbeđenog kredita za Three Arrows Capital, dok je njegov neto AUM bio skoro 5.9 milijardi dolara. Platforma je imala 3.5 miliona korisnika, od kojih je 97% uložilo manje od 10,000 dolara.
Općenito, Voyager je propao zbog činjenice da je njegov tim odabrao rizičnu poslovnu strategiju: ponudio je kredite višestrukim uslugama trgovanja i pojedinačnim trgovcima kriptovalutama. Kako su zajmodavci počeli masovno podizati svoj novac, početkom jula, Voyager je zamrznuo sredstva klijenata. Nekoliko dana kasnije, podnijela je zahtjev za zaštitu od bankrota u New Yorku.
Kako je platforma bila fokusirana na male maloprodajne kupce, njen kolaps je bio najbolniji za entuzijaste kriptovaluta.
Celzijus
Celsius je, zapravo, bila prva firma koja je signalizirala svoje probleme: u aprilu 2022. platforma je objavila da će svu imovinu neakreditovanih investitora držati na čuvanju: ovaj dio kupaca stoga nije mogao ubrizgati novu likvidnost i dobiti nagrade.
U maju 2022., uplašeni dramama UST i Terra, korisnici su počeli premještati novac iz Celzijusovog protokola. Celsius je 12. juna 2022. zamrznuo sredstva 1.7 miliona kupaca (uglavnom maloprodajnih investitora). Baš kao i Voyager, početkom jula je podnio zahtjev za bankrot.
Dana 14. jula 2022, Celsiusov pravni savjetnik Kirkland & Ellis je podijelio da su čelnici platforme bili obaviješteni o rupi od 1.3 milijarde dolara u njenom bilansu stanja.
FTX
Kolaps berze kriptovaluta Sama Bankman-Frieda FTX i njene pridružene kripto-investicione firme Alameda Research bila je najiznenađujućija drama u Web3: SBF i njegov tim pokušali su da steknu ogromnu kontrolu nad industrijom potpisivanjem desetina partnerstava, pojavljujući se na naslovnicama Forbesa i tako dalje.
Međutim, bilans stanja Alameda Researcha uvelike je ovisio o FTX tokenu (FTT), izvornoj kriptovaluti FTX-a. Zbog toga se cijeli sistem srušio kada je Binance CEO Changpeng “CZ” Zhao počeo agresivno prodavati FTT (preko 500 miliona dolara u ekvivalentu je objavio CZ).
Kao iu svim sličnim slučajevima, investitori su počeli masovno podizati svoj novac sa FTX-a. Platforma je zaustavila povlačenja, SBF se povukao s mjesta izvršnog direktora i podnio zahtjev za bankrot. U međuvremenu, postalo je poznato da je koristio novac investitora i kupaca u vlastitoj trgovačkoj firmi Alameda Research. Zbog strašnog lošeg upravljanja, Alameda Research je bila pod vodom. SBF je uhapšen i pušten uz kauciju, dok su ostvareni gubici od kolapsa FTX-a dostigli vrhunac od 9 milijardi dolara u ekvivalentu.
Najbolji kripto hakovi u 2022
Kao po an analiza stručnjaka za kibernetičku sigurnost kompanije Merkle Science, mostovi na više mreža su posebno osjetljivi na eksploatacije zbog svoje tehničke složenosti i izrazito eksperimentalnog karaktera:
Mostovi između lanaca su često podložniji eksploataciji jer zahtijevaju više interakcija i odobrenja ugovora nego drugi protokoli. Uz to, mostovi su podložniji napadima jer ih pokreću nerevidirani kompjuterski kodovi. Štaviše, identiteti validatora/čvorova, koji pokreću transakcije su takođe nepoznati
Godine 2022. mostovi su bili primarne mete napada, dok su druge DeFi mehanizme također iskoristili hakeri.
Crvotočina
Dana 3. februara 2022. hakeri su napali Wormhole, most dizajniran da olakša besprijekoran prijenos vrijednosti između heterogenih blockchaina. Zbog ranjivosti koda, uspjeli su izdati 120,000 omotanih etera (wETH) na Solana (SOL) blockchain bez davanja odgovarajućeg kolaterala Ethereum (ETH).
Hak bi mogao dovesti do nesolventnosti bilo koje DeFi platforme koja bi bila spremna da prihvati 120,000 WETH (odštampano iz ničega) kao kolateral. Na sreću, najgori scenario se nije dogodio.
Jump Crypto, matična kompanija servisa Wormhole, preuzela je sve gubitke: odmah su dopunili 120,000 etera u protokolarne bazene likvidnosti.
Ronin
Dana 23. marta, sjevernokorejski hakeri iz Lazarusa, zloglasne cyber kriminalne grupe koju podržava država, napali su Ronin mrežu. Ronin je bočni lanac sličan Ethereumu razvijen posebno za Axie Infinity, vodeći GameFi. Napadači su oduzeli Roninu ogromnih 568 miliona dolara.
Hakeri su uspjeli steći kontrolu nad pet od devet potpisa validatora za Ronin Bridge. Zatim su odobrili dvije transakcije, 173,600 Ether (ETH) i 25.5 miliona USD Coin (USDC). Od ovog monstruoznog plijena, preko kripto miksera Tornado Cash je oprano preko 445 miliona dolara.
Axie Infinity programer Sky Mavis prikupio je dodatna sredstva, naručio još jednu sigurnosnu reviziju od strane CertiK-a i povećao prag za više znakova sa 5/9 na 8/9.
nomad
U avgustu 2022. godine, Nomad, višelančani mehanizam za premošćavanje koji prenosi vrijednost između Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) i drugih blockchaina, iscrpljen je 190.7 miliona dolara u kripto. Napadači su uspjeli iskoristiti ranjivost dizajna pametnog ugovora: protokol je omogućio korisnicima da povuku sredstva na ciljnom blockchainu bez provjere da li su jednaka prvobitno raspoređenom iznosu.
12/ tl;dr rutinska nadogradnja označila je nulti heš kao važeći korijen, što je imalo efekat omogućavanja lažiranja poruka na Nomadu. Napadači su to zloupotrijebili da kopiraju/zalijepe transakcije i brzo su isušili most u mahnitom besplatnom za sve
— ovo je sada shitpost račun (@samczsun) Avgust 2, 2022
Jednostavno rečeno, nakon redovne nadogradnje, korisnici su mogli deponovati 1 ETH na Ethereum (ETH) i tražiti povlačenje ekvivalentno 100 Ethereum (ETH) sa Avalanche (AVAX).
Stvar je u tome da je svaki entuzijasta Web3 koji se bavi tehnologijom bio u mogućnosti da replicira ovaj vektor napada i ukrade sredstva od Nomada prije nego što je zakrpa objavljena. Kao takvi, mnogi programeri Ethereuma (ETH) povukli su sredstva samo da bi ih poslali nazad Nomad timu: skoro 40 miliona dolara je vraćeno.
Beanstalk
Dana 16. aprila 2022., stabilni coin projekat Beanstalk (BEAN) baziran na Ethereumu bio je na meti sofisticiranog napada flash kredita. Naime, zlonamjernici su uspjeli dobiti flash kredit na Aave Finance (AAVE) i kupiti količinu tokena upravljanja neophodnu da preuzmu kontrolu nad protokolarnim on-chain referendumima.
Tada su napadači dobili natpolovičnu većinu i odobrili transfer novca na svoj račun. Kada je prebačeno 180 miliona dolara, odmah su vratili brzi zajam; neto profit je premašio 80 miliona dolara.
wintermute
U septembru 2022., Wintermute, jednoj od najvećih platformi za kreiranje tržišta, potrošen je novčanik za 160 miliona dolara. Napadači su otkrili da su neki od Wintermuteovih ključnih novčanika kreirani pomoću Profanity, generatora „ispraznih adresa“ za Ethereum (ETH) mrežu. Takvi programi mogu kreirati kripto novčanike sa adresama čitljivim ljudima, npr. 0xJohnDoe1111… i slično.
Zbog ranjivosti u dizajnu Profanityja, napadači su uspjeli grubom silom protjerati isprazne adrese i povratiti privatne ključeve. Napad je postao moguć zbog značajnih računarskih resursa koje su koristili zlonamjernici.
Bonus: Nemojte nasjedati na ove dugotrajne prevare
Pored sofisticiranih scenarija koji uključuju brze zajmove od milijardu dolara, sjevernokorejske hakere i impresivan hardver za brutalno prisiljavanje, vrlo primitivne kampanje prevare pojavljuju se tu i tamo. Tri dizajna napada su vrlo česta u kripto od 1. godine:
1. Lažni airdrops. Da bi pokrenuli ovu prevaru, zlonamjernici ili organiziraju reklamnu kampanju na YouTubeu ili postavljaju svoj oglas na Twitter. Zatim objavljuju da internet slavna osoba (Snoop Dogg), vrhunski tehnološki poduzetnik (Vitalik Buterin ili Elon Musk) ili čak političar (Donald Trump) isporučuje kriptovalute. Svi koji su spremni da traže svoje bonuse treba da pošalju početni depozit (koji bi navodno bio vraćen sa 100% profita) ili svoje privatne ključeve. Nepotrebno je reći da će obje grupe izgubiti svoje depozite ili sav novac iz novčanika.
Kako se zaštititi: Nikada ne šaljite svoj novac „organizatorima airdrop“ ili otkrivajte svoje privatne ključeve ili osnovne fraze.
2. Ručno rađeni MEV botovi. Maksimalna vrijednost koja se može izdvojiti (MEV) je maksimalna nagrada koju učesnici Ethereum (ETH) mreže mogu dobiti za svoj doprinos u procesu validacije bloka. Sofisticirane tehnike nam omogućavaju da imamo koristi od optimizacije MEV-a. Prevaranti postavljaju video ili tekstualne priručnike o tome kako napraviti vlastite “MEV botove” kako bi dobili pristup Ethereum (ETH) novčanicima i odveli sredstva.
Kako se zaštititi: Izbjegavajte "instant" MEV botove iz YouTube priručnika.
3. Prevaranti dolaze u pomoć. Kako je 2022. godina definitivno godina hakova, mnogi kripto korisnici provjeravaju jesu li njihovi omiljeni blockchains pokvareni. Prevaranti objavljuju lažne najave o hakiranju ovog ili onog projekta i pokreću lažne programe "kompenzacije". Mole se svi zainteresirani za kompenzaciju da pošalju svoje početničke fraze prevarantima.
Kako se zaštititi: Vijesti o hakiranju provjerite samo na službenim medijskim kanalima blockchaina.
zatvaranje misli
U 2022. godini većina kolapsa izazvana je bolnim padom cijena kriptovaluta, lošim upravljanjem rizicima i pohlepom vlasnika centraliziranih proizvoda kriptovaluta. Zato je decentralizacija velika stvar: mudrost gomile DAO-a bi spriječila da se dogode kolapsi na FTX/Celzijusu/Voyager skali.
U međuvremenu, lančani proizvodi bi trebali voditi računa o sigurnosnim revizijama, ažuriranjima i upravljanju privatnim avionima.
Izvor: https://u.today/top-10-crypto-scams-and-hacks-of-2022