И покрај тоа што пазарите на криптовалути беа заробени во тешка надолна рецесија, измамите и хакерите во Web3 беа запалени во текот на целата 2022 година. Голем број централизирани криптовалути од највисоко ниво, исто така, пропаднаа поради лошото управување со ризикот и инсајдерски манипулации.
Како што се приближува крипто сегментот до Нова Година, U.Today ги повторува најопасните крипто измами, нивните корени, дизајни и загубите што ги предизвикале. Подготвивме и краток преглед на најчестите крипто измами во социјалните медиуми кои таргетираат милиони корисници дневно.
Крипто измами и хакови од 2022 година: Брзи факти
Според бројни извештаи на сајберсек, во првите 11 месеци од 2022 година, хакерите и измамниците успеале да украдат невиден износ од 4.2 милијарди долари во криптовалути, што е за 37% повеќе отколку во 2021 година, кога клучните криптови беа 2x-3x поскапи.
- Најголемите напади беа извршени против протоколи со вкрстени синџири - механизмот за мост на Axie Infinity Ronin и мултипротоколниот екосистем Wormhole.
- Уривањето на екосистемот Terra (LUNA), неговиот главен DeFi Anchor Protocol (ANC) и стабилната валута TerraUSD (UST) поврзана со американски долари придонесоа за Q2-Q4, 2022 година, фаза на надолна рецесија.
- Драмата околу сега непостоечката крипто берза FTX и поврзаната трговска фирма Alameda Research беше најголемиот централизиран колапс на услугата во 2022 година.
- И покрај најголемите хакери за кои нашироко се дискутира во медиумите, огромното мнозинство на крипто измами се организирани преку стари методи: лажни пуштања во воздух, малициозни „програми за обновување“, шеми за арбитража за измама и слично.
- Се чинеше дека голем број големи хакери се операции со бела капа: напаѓачите ги вратија украдените пари во замена за импресивни награди за грешки.
- Речиси 12% од сите токени BEP-20 и 8% од токените ERC-20 се измамнички; Дневно се лансираат 350 нови измами.
Во овој преглед, ќе се осврнеме на намерно лансираните измами и проекти кои првично биле легитимни како „измами“, додека „хаковите“ се напади од трета страна врз легитимни проекти извршени без настани од „инсајдерска работа“.
Топ крипто измами и колабирања од 2022 година
Во 2022 година, Bitcoin (BTC), Ethereum (ETH) и сите главни криптовалути изгубија преку 70-80% од нивниот ATH, додека во повеќето погодени сегменти - метаверзни токени, токени GameFi, екосистемот Solana (SOL) - просечната загуба надминува 90 %. Некои крипто големи не успеаја да преживеат таков болен пад.
Тера (ЛУНА)/Тера УСД (САД)
Платформата за паметни договори компатибилна со EVM, Terra (LUNA) беше меѓу најнагласените убијци на Ethereum (ETH) во 2021 година. Сепак, лавовскиот дел од неговиот TVL беше концентриран на Anchor Protocol (ANC), едноставна земјоделска машина која нуди 19% APY за депозити во Terra USD (UST), сега веќе непостоечката стабилна валута на Terra, врзана за американски долари. Вкупно, повеќе од 20 милијарди американски долари во противвредност беа заклучени во Anchor (ANC) во Q1, 2022 година.
Сепак, на почетокот на мај 2022 година, некој почна агресивно да испраќа UST во базените на Curve Finance (CRV) DeFi и да ги разменува токените на USD Coin (USDC). UST го загуби својот колче. Terraform Labs и нејзиниот извршен директор До Квон започнаа со инјектирање ликвидност во механизмот UST/LUNA. Како и да е, поради огромното движење на капиталот, и LUNA и UST паднаа на речиси нула вредности. Блокчејнот Terra (LUNA) беше запрен засекогаш.
Како што претходно беше покриено од U.Today, истражувачите открија дека лабораториите Тераформ го иницирале колапсот: масивните трансфери на УСТ беа одобрени од До Квон. Основачот на Terra, наводно, истрчал во Србија и се обидува да ги искешира своите биткоини (BTC) таму.
Капитал со три стрели
Лансиран од Су Жу и Кајл Дејвис, алумни на Универзитетот Колумбија и ветерани на Credit Suisse, Three Arrows Capital (3AC) беше меѓу највлијателните крипто хеџ фондови. Собра над 20 милијарди долари во AUM благодарение на тоа што беше ран инвеститор во Ethereum (ETH), Avalanche (AVAX), Solana (SOL) и други.
Сепак, пропадната LUNA беше еден од клучните елементи на портфолиото 3AC. Тимот инвестираше над 600 милиони долари во Terra (LUNA): овој огромен удел беше избришан за две недели по колапсот на LUNA/UST.
На 16 јуни 2022 година, FT објави дека 3AC не успеа да ги исполни своите повици за маргина поради загуби во Протоколот за сидро на Terra. Фирмата исто така беше под вода на своите позиции во Staked Ether (stETH) во Lido Finance (LDO) DeFi и во Grayscale Bitcoin Trust (GBTC). Во јуни не успеа да го отплати заемот на крипто гигантот Војаџер. Кон крајот на јули фирмата беше ликвидирана од судот на BVI, додека раководството на 3AC поднесе барање за стечај. Вкупно, 20 инвеститори во 3AC изгубија над 3.5 милијарди долари.
Војаџер
Доверителот регистриран во САД „Војаџер“, исто така, стана жртва на лошото управување со ризиците: тој обезбеди заем од 650 милиони долари необезбеден на Three Arrows Capital додека неговата нето AUM изнесуваше речиси 5.9 милијарди долари. Платформата се пофали со 3.5 милиони клиенти, од кои 97% инвестирале помалку од 10,000 долари.
Генерално, Војаџер пропадна поради фактот што неговиот тим избра ризична деловна стратегија: нудеше заеми на повеќе трговски услуги и индивидуални трговци со криптовалути. Како што заемодавачите почнаа масовно да ги повлекуваат своите пари, на почетокот на јули, Војаџер ги замрзна средствата на клиентите. Неколку дена подоцна, таа поднесе барање за заштита од стечај во Њујорк.
Бидејќи платформата беше фокусирана на малите малопродажни клиенти, нејзиниот колапс беше најболен за ентузијастите за криптовалути.
целзиусови
Целзиус беше, всушност, првата фирма што сигнализираше за своите проблеми: во април 2022 година платформата објави дека ќе ги држи во притвор сите средства на неакредитираните инвеститори: затоа овој дел од клиентите не можеше да внесе нова ликвидност и да добие награди.
Во мај 2022 година, исплашени од UST и Terra драми, корисниците почнаа да префрлаат пари од протоколот Целзиусови. На 12 јуни 2022 година, Целзиус ги замрзна средствата на 1.7 милиони клиенти (главно инвеститори на мало). Исто како Војаџер, тој поднесе барање за стечај на почетокот на јули.
На 14 јули 2022 година, правниот советник на Целзиус, Киркланд и Елис, сподели дека лидерите на платформата биле информирани за дупка од 1.3 милијарди долари во нејзиниот биланс.
FTX
Колапсот на берзата за криптовалути FTX на Сем Бенкмен-Фрид и нејзината поврзана криптоинвестициска фирма Alameda Research беше најизненадувачката драма во Web3: SBF и неговиот тим се обидоа да стекнат огромна контрола врз индустријата со потпишување десетици партнерства, појавувајќи се на насловните страници на Форбс и така натаму.
Сепак, билансот на состојба на Alameda Research во голема мера зависеше од FTX Token (FTT), матичната криптовалута на FTX. Затоа целиот систем пропадна кога извршниот директор на Binance, Changpeng “CZ” Zhao започна агресивно да продава FTT (над 500 милиони долари во еквивалент беа објавени од CZ).
Исто како и во сите слични случаи, инвеститорите почнаа масовно да ги повлекуваат своите пари од FTX. Платформата ги прекина повлекувањата, SBF се повлече од функцијата извршен директор и поднесе барање за стечај. Во меѓувреме, се дозна дека тој ги користел парите на инвеститорите и клиентите во сопствената трговска фирма, Alameda Research. Поради ужасно лошо управување, Аламеда Рисрч беше добро под вода. SBF беше уапсен и ослободен со кауција, додека остварените загуби од колапсот на FTX достигнаа врв од 9 милијарди долари во противвредност.
Најдобри хакери на крипто во 2022 година
Како на ан анализа на експертите за сајбер безбедност на Merkle Science, мостовите меѓу мрежите се особено ранливи на експлоатации поради нивната техничка сложеност и високо експериментален карактер:
Мостовите меѓу синџирите често се поподложни на експлоатирања бидејќи бараат повеќе интеракции и одобренија на договори од другите протоколи. Дополнително, мостовите се поподложни на напади бидејќи се управувани од неревидирани компјутерски кодови. Покрај тоа, идентитетите на валидаторите/јазлите кои ги извршуваат трансакциите исто така се непознати
Во 2022 година, мостовите беа примарни цели на напади, додека другите механизми на DeFi исто така беа искористени од хакери.
Wormhole
На 3 февруари 2022 година, хакери го нападнаа Wormhole, мост дизајниран да го олесни непречениот пренос на вредност помеѓу хетерогени блокчејнови. Поради ранливоста во кодот, тие успеаја да издадат 120,000 Wrapped Ethers (wETH) на блокчејнот Solana (SOL) без да го стават соодветниот Ethereum (ETH) колатерал.
Хакирањето може да доведе до несолвентност на која било платформа DeFi која би била подготвена да прифати 120,000 WETH (отпечатени од тенок воздух) како колатерал. За среќа, најлошото сценарио не се случи.
Jump Crypto, матичната компанија на услугата Wormhole, ги презеде сите загуби: тие веднаш надополнија 120,000 етери во протоколарните базени за ликвидност.
Ronin
На 23 март, севернокорејски хакери од Лазарус, озлогласена сајбер криминална група поддржана од државата, ја нападнаа мрежата Ронин. Ronin е страничен синџир сличен на Ethereum, развиен специјално за Axie Infinity, предводник на GameFi. Напаѓачите го исцедија Ронин од огромни 568 милиони долари.
Хакерите успеаја да добијат контрола над пет од девет потписи за валидација за Ронин Бриџ. Потоа тие одобрија две трансакции, 173,600 етер (ETH) и 25.5 милиони американски долари (USDC). Од овој монструозен плен, над 445 милиони долари беа испрани преку крипто миксерот Tornado Cash.
Програмерот на Axie Infinity, Sky Mavis, собра дополнително финансирање, нареди уште една безбедносна ревизија од CertiK и го зголеми прагот на мултисиг од 5/9 на 8/9.
Номад
Во август 2022 година, Nomad, механизам за мост со повеќе синџири што ја движи вредноста помеѓу Лавина (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) и други блокчејн, беше исцеден од 190.7 милиони долари во крипто. Напаѓачите успеаја да ја искористат ранливоста на дизајнот на паметниот договор: протоколот им дозволуваше на корисниците да повлечат средства од целниот блокчејн без да проверат дали се еквивалентни на првично распоредениот износ.
12/ tl;dr рутинска надградба го означи нултиот хаш како валиден корен, што имаше ефект да дозволи пораките да се лажираат на Nomad. Напаѓачите го злоупотребија ова за да копираат/залепат трансакции и брзо го исцедија мостот во бесплатен бесплатен за сите
— ова е сега сметка на shitpost (@samczsun) Август 2, 2022
Едноставно кажано, по редовната надградба, корисниците можеа да депонираат 1 ETH на Ethereum (ETH) и да побараат повлекување еквивалентно на 100 Ethereum (ETH) од Лавина (AVAX).
Работата е во тоа што секој Веб3 љубител на технологијата можеше да го реплицира овој вектор за напад и да украде средства од Номад пред да се објави закрпата. Како такви, многу програмери на Ethereum (ETH) повлекоа средства само за да ги вратат назад во тимот на Номад: речиси 40 милиони долари беа вратени назад.
Beanstalk
На 16 април 2022 година, проектот Beanstalk (BEAN) заснован на Ethereum беше цел на софистициран флеш-заем напад. Имено, злосторниците успеаја да добијат флеш заем на Aave Finance (AAVE) и да го купат износот на токени за управување неопходни за преземање контрола врз протоколите на синџир референдуми.
Тогаш напаѓачите го добија гласачкото супермнозинство и одобрија трансфер на пари на сопствена сметка. Кога беа префрлени 180 милиони долари, тие веднаш го вратија блицот заем; нето добивката надмина 80 милиони долари.
Зимска немо
Во септември 2022 година, на Wintermute, една од најголемите платформи за создавање пазар, паричниците беа исцедени за 160 милиони долари. Напаѓачите открија дека некои од клучните паричници на Wintermute се создадени со Profanity, генератор на „суета адреси“ за мрежата Ethereum (ETH). Ваквите програми можат да креираат криптопаричници со адреси читливи за луѓе, на пр. 0xJohnDoe1111… и слично.
Поради ранливоста во дизајнот на Profanity, напаѓачите успеаја со брутална сила да ги присилат суетните адреси и да ги вратат приватните клучеви. Нападот стана возможен поради значителни пресметковни ресурси користени од злонамерници.
Бонус: Не потпаѓајте на овие долготрајни измами
Покрај софистицираните сценарија кои вклучуваат флеш заеми од 1 милијарда долари, севернокорејски хакери и импресивен хардвер за брутално принудување, многу примитивни кампањи за измами се појавуваат овде и таму. Три дизајни за напад се многу вообичаени во крипто од 2022 година:
1. Лажни авиони. За да ја спроведат оваа измама, злосторниците или организираат рекламна кампања на YouTube или ја поставуваат својата реклама на Твитер. Потоа објавуваат дека славна личност на Интернет (Снуп Дог), врвен технолошки претприемач (Виталик Бутерин или Илон Маск) или дури и политичар (Доналд Трамп) испушта криптовалути. Сите кои се подготвени да ги бараат своите бонуси треба или да испратат првичен депозит (кој наводно би бил вратен со 100% профит) или нивните приватни клучеви. Непотребно е да се каже дека и двете групи ќе ги загубат своите депозити или сите пари од нивните паричници.
Како да се заштитите: Никогаш не испраќајте ги вашите пари на „организаторите на авионите“ или не откривајте ги вашите приватни клучеви или фрази.
2. Рачно изработени MEV ботови. Максималната извлечена вредност (MEV) е максималната награда што може да ја добијат учесниците во мрежата на Ethereum (ETH) за нивниот придонес во процесот на валидација на блокови. Софистицираните техники ни овозможуваат да имаме корист од оптимизирањето на MEV. Измамниците поставуваат видео или текстуални прирачници за тоа како да изградите свои „MEV ботови“ со цел да добијат пристап до паричниците на Ethereum (ETH) и да ги трошат средствата.
Како да се заштитите: Избегнувајте „инстант“ MEV ботови од прирачниците на YouTube.
3. Измамниците доаѓаат на помош. Бидејќи 2022 година е дефинитивно година на хакери, многу корисници на крипто проверуваат дали нивните омилени блокчејнови се скршени. Измамниците објавуваат лажни објави за хакирање на овој или оној проект и започнуваат лажни програми за „компензација“. Сите заинтересирани за компензација се замолени да ги испратат своите семе фрази до измамниците.
Како да се заштитите: Проверувајте вести за хакери само на официјални медиумски канали на блокчејн.
Затворање мисли
Во 2022 година, поголемиот дел од колапсите беа предизвикани од болното паѓање на цените на криптовалутите, лошото управување со ризикот и алчноста на сопствениците на централизирани производи за криптовалути. Затоа децентрализацијата е голема работа: мудроста на толпата на DAO би спречила да се случат колапсови во скала на FTX/Целзиус/Војаџер.
Во меѓувреме, производите на синџирот треба да се грижат за безбедносните контроли, ажурирањата и управувањето со приватниот авион.
Извор: https://u.today/top-10-crypto-scams-and-hacks-of-2022