Според TRM анализа на лаборатории, 2022 година беше рекордна година за крипто хакирање, со украдени крипто вредни околу 3.7 милијарди долари. на определен обем, Нападите беа распространети, со приближно 80%, или 3 милијарди долари, во кои беа вклучени жртви на DeFi.
Додека се упатуваме во 2023 година оптимисти за ветувањето за нова технологија, мораме да погледнеме наназад за да научиме од предизвиците и неуспесите со кои се соочивме во ретроспектива.
Крипто хакирање на инфраструктурата на Ronin Bridge
Акси Бесконечност Крипто хакирање на мостот Ронин во март е на врвот на листата со 612 милиони долари. Мостот Ронин е Ethereum страничен ланец за играта за заработка Axie Infinity.
Крипто хакерите, денес идентификувани како севернокорејска група за сајбер криминал наречена Лазарус, добија пристап до девет приватни клучеви од валидаторите на трансакциите на мостот Ронин. Користејќи ги клучевите, тие одобрија големи трансакции, едната за 173,600 ETH, а другата за 25.5 милиони USDC.
Хакерите го преместиле крипто во готовина Торнадо, крипто-транспорт со отворен код и неколку други размени.
Заеднички напори од заедницата, Binance, Chainalysis и спроведувачите на законот помогнаа да се пронајдат некои од средствата.
Експлоатација на кодот меѓу мостот на BSC Beacon
Во октомври, хакерите ја искористија ранливоста во кодот за вкрстени мостови на BSC Beacon за да украдат крипто во вредност од 570 милиони долари. Мостот е критична компонента на синџирот BNB.
Синџирот BSC Beacon, познат како Token Hub, е вкрстен мост помеѓу синџирот BNB Beacon (BEP2) и BNB Chain (BEP20/ BSC).
Нападот работел од фалсификување криптографски докази наречен Merkle доказ кој потврди дека податоците како трансакции се валидни и вклучени во blockchain. Цирпто хакерот го искористи лажниот доказ за Меркл за да префрли средства од вкрстениот мост BSC Beacon на други синџири.
Тетер ја блокираше адресата на напаѓачот додека над 7 милиони долари преместени од синџирот БНБ беа ефективно замрзнати.
Експлоатација на кодот на мостот на црвата дупка
Крипто хакери во февруари го искористија кодот на wormhole на крипто во вредност од 326 милиони долари. Црвата дупка е симболичен мост помеѓу Солана и Етереум.
Крипто хакерот користеше застарена/мртва несигурна функција за да ја заобиколи верификацијата на потписот.
Застарената шифра може да се спореди со леплива белешка која вели: „Ќе го избришам ова во иднина“. Сега не можете да го избришете кодот бидејќи некои потрошувачи сè уште го користат.
Синџирот на делегации за проверка на потписот го овозможи хакирањето на крипто. Застарената функција не ги проверуваше адресите, дозволувајќи валидација на фалсификуван потпис.
Според сајбер аналитичарите, програмерите можеле да го избегнат нападот доколку практикувале „безбедно кодирање“.
Искористување на кодот на номадскиот мост
Хакери го искористија крипто мостот Номад во август со крипто во вредност од 190 милиони долари. Хакерот практично ги исцедил сите средства во протоколот - зголемените експлоатирања ја доведуваат во прашање безбедноста на токените мостови со вкрстени синџири.
Мостовите работат така што ги заклучуваат токените во паметен договор во еден синџир и потоа ги реиздаваат во „завиткан“ формат на друг синџир. Во случајот на Номад, нападот го саботираше договорот што ги прави неговите завиткани токени безвредни.
Номад, всушност, постави награда барајќи од хакерот да задржи 10% од средствата и да не се соочи со правна постапка плус бонус Whitehat NFT. Напаѓачот на крајот вратил само 36 милиони долари.
Напад на протоколот Beanstalk
Во еден кобен викенд во април, хакер искористи флеш заем за да украде 182 милиони долари во ETH, BEAN stablecoin и други средства од протоколот Beanstalk stablecoin.
Флеш заемот е карактеристика што им овозможува на корисниците да позајмат средство, да направат брза трговија и потоа да го вратат во една сложена трансакција преку повеќе протоколи.
Напаѓачот изнел два злонамерни предлози до Beanstalk DAO преку функцијата за итни случаи, за кои е потребно гласање ⅔, а потоа имплементирано по 24 часа.
Напаѓачот безобразно ја искористи функцијата за заем за блиц за да добие 79% контрола и да го помине својот предлог.
Напаѓачот ги испратил средствата во протоколот за да го исплати својот блиц заем, а остатокот на адресата на фондот во Украина. На крајот оствари профит од 76 милиони долари.
Повеќе мега крипто хакови
Други мега крипто хакери вклучуваат инфраструктурен напад на Wintermute од 160 милиони долари во април, напад на Maiar/Elrond од 113 милиони долари за инфраструктура во јуни, напад на Mango Markets во вредност од 112 милиони долари во октомври и напад на Harmony bridge од 100 милиони долари за инфраструктура во јуни.
Извор: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/