Pagal TRM Labs analizės duomenimis, 2022-ieji buvo rekordiniai kriptovaliutų įsilaužimų metai, kai buvo pavogta apie 3.7 mlrd. USD vertės kriptovaliutų. defi išpuolių buvo paplitę, maždaug 80 % arba 3 mlrd.
Kai žengiame į 2023 metus, optimistiškai žiūrime į besikuriančios technologijos pažadą, turime atsigręžti atgal, kad pasimokytume iš iššūkių ir nesėkmių, su kuriais susidūrėme vėliau.
Ronin Bridge infrastruktūros kriptovaliutų įsilaužimas
„Axie Infinity“ Ronino tilto kriptovaliutų įsilaužimas kovo mėnesį sąrašo viršūnėje – 612 mln. Ronino tiltas yra Ethereum šoninė grandinėlė, skirta žaidimui „Axie Infinity“, skirta užsidirbti.
Kriptografiniai įsilaužėliai, šiandien įvardijami kaip Šiaurės Korėjos elektroninių nusikaltimų grupė, vadinama Lazarus, gavo prieigą prie devynių privačių Ronino tilto transakcijų tikrintuvų raktų. Naudodami raktus jie patvirtino dideles operacijas – vieną už 173,600 25.5 ETH, kitą – už XNUMX mln. USDC.
Piratai perkėlė kriptovaliutą į grynuosius „Tornado“, atvirojo kodo kriptovaliutą ir keletą kitų biržų.
Bendromis bendruomenės pastangomis, Binansas, Chainalysis ir teisėsaugininkai padėjo susekti kai kurias lėšas.
BSC Beacon kryžminio tilto kodo išnaudojimas
Spalio mėnesį įsilaužėliai pasinaudojo BSC Beacon kryžminio tilto kodo pažeidžiamumu, kad pavogtų kriptovaliutų už 570 mln. Tiltas yra svarbi BNB grandinės dalis.
BSC švyturių grandinė, vadinama Token Hub, yra kryžminis tiltas tarp BNB švyturių grandinės (BEP2) ir BNB grandinės (BEP20 / BSC).
Ataka pavyko kriptografinių įrodymų klastojimas vadinamas Merkle įrodymu, kad patvirtino tokius duomenis kaip sandoriai kaip galiojantys ir įtraukti į blockchain. Cypto įsilaužėlis panaudojo klaidingą Merkle įrodymą, kad pervestų lėšas iš BSC Beacon kryžminio tilto į kitas grandines.
Tether užblokavo užpuoliko adresą, o iš BNB grandinės perkelta daugiau nei 7 mln. USD buvo veiksmingai įšaldyta.
Kirmgraužos tilto kodo išnaudojimas
Kriptovaliutų įsilaužėliai vasarį išnaudojo kirmgraužos kodą, kurio vertė 326 mln. Kirmgrauža yra simbolinis tiltas tarp Solanos ir Ethereum.
Kriptografijos įsilaužėlis naudojo pasenusią / mirusią nesaugią funkciją, kad apeitų parašo patikrinimą.
Nebenaudojamą kodą galima palyginti su lipniu lapeliu, kuriame rašoma: „Ateityje tai ištrinsiu“. Dabar negalite ištrinti kodo, nes kai kurie vartotojai jį vis dar naudoja.
Parašo tikrinimo delegacijų grandinė įgalino kriptovaliutų įsilaužimą. Nebenaudojama funkcija netikrino adresų, todėl buvo galima patikrinti suklastotą parašą.
Kibernetinių analitikų teigimu, kūrėjai būtų galėję išvengti atakos, jei būtų praktikavę „saugų kodavimą“.
Nomad tilto kodo išnaudojimas
Rugpjūčio mėnesį įsilaužėliai išnaudojo Nomad kriptovaliutų tiltą, kurio vertė 190 mln. Įsilaužėlis iš esmės išnaudojo visas protokole nurodytas lėšas – didėjantys išnaudojimai kėlė abejonių dėl kryžminių grandinių žetonų tiltų saugumo.
Tiltai veikia užrakindami žetonus išmaniojoje sutartyje vienoje grandinėje ir iš naujo juos išleidžiant „supakuotu“ formatu kitoje grandinėje. Nomado atveju ataka sužlugdė sutartį, todėl suvynioti žetonai tapo beverčiai.
Tiesą sakant, Nomadas skyrė premiją, prašydamas įsilaužėlio pasilikti 10% lėšų ir jam nereikės jokių teisinių veiksmų, taip pat papildomą baltą kepurę. NFT. Užpuolikas galiausiai grąžino tik 36 mln.
Beanstalk protokolo ataka
Lemtingą balandžio savaitgalį įsilaužėlis pasinaudojo greita paskola, kad pavogtų 182 mln. USD ETH, BEAN stablecoin ir kito turto iš Beanstalk stablecoin protokolo.
Greita paskola yra funkcija, leidžianti vartotojams pasiskolinti turtą, greitai sudaryti sandorį, tada grąžinti jį vienu sudėtingu sandoriu naudojant kelis protokolus.
Užpuolikas pateikė du kenkėjiškus pasiūlymus „Beanstalk DAO“, naudodamas avarinio įsipareigojimo funkciją, kuriai reikėjo ⅔ balsavimo, o po 24 valandų jis buvo įgyvendintas.
Užpuolikas išdykęs pasinaudojo greitos paskolos funkcija, kad įgytų 79 % kontrolę ir priimtų savo pasiūlymą.
Protokole nurodytas lėšas greitajai paskolai sumokėti, o likusią dalį užpuolikas išsiuntė Ukrainos fondo adresu. Galiausiai jis uždirbo 76 mln.
Daugiau mega kriptovaliutų įsilaužimų
Kiti didžiuliai kriptovaliutų įsilaužimai apima Wintermute 160 mln. USD infrastruktūros ataką balandžio mėn., Maiar/Elrond 113 mln. USD infrastruktūros ataką birželio mėn., Mango Markets 112 mln. USD infrastruktūros ataką spalį ir Harmony tilto 100 mln. USD infrastruktūros ataką birželį.
Šaltinis: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/