10 geriausių 2022 m. kriptovaliutų sukčiavimo ir įsilaužimų

Nepaisant to, kad kriptovaliutų rinkos buvo įstrigusios smarkaus meškų nuosmukio spąstuose, aferos ir įsilaužimai Web3 tinkle liepsnojo visus 2022 m. Nemažai aukščiausio lygio centralizuotų kriptovaliutų sunkiasvorių taip pat žlugo dėl prasto rizikos valdymo ir manipuliacijų viešai neatskleista informacija.

Kriptovaliutų segmentui artėjant Naujiesiems metams, U.Today apibendrina pavojingiausius kriptovaliutų sukčiavimus, jų šaknis, dizainą ir sukeltus nuostolius. Taip pat parengėme trumpą socialinėje žiniasklaidoje dažniausiai pasitaikančių kriptovaliutų sukčiavimo, kurie kasdien nukreipiami į milijonus vartotojų, apžvalgą.

2022 m. kriptovaliutų sukčiai ir įsilaužimai: trumpi faktai

Remiantis daugybe „cybersec“ ataskaitų, per pirmuosius 11 2022 m. mėnesių įsilaužėliams ir sukčiams pavyko pavogti precedento neturinčią 4.2 mlrd. USD kriptovaliutos sumą, o tai yra 37% daugiau nei 2021 m., kai raktinės kriptovaliutos buvo 2–3 kartus brangesnės.

• Didžiausios atakos buvo įvykdytos prieš kryžminių grandinių protokolus – „Axie Infinity“ tilto mechanizmą „Ronin“ ir kelių protokolų ekosistemą „Wormhole“.
• Terra (LUNA) ekosistemos žlugimas, jos pagrindinis DeFi inkaro protokolas (ANC) ir su USD susieta stabili moneta TerraUSD (UST) prisidėjo prie 2 m. II–4 ketvirčio, ​​meškų nuosmukio fazės.
• Drama apie dabar nebeegzistuojančią kriptovaliutų biržą FTX ir su ja susijusią prekybos įmonę „Alameda Research“ buvo didžiausias centralizuotų paslaugų žlugimas 2022 m.
• Nepaisant to, kad žiniasklaidoje plačiai diskutuojama apie didžiausius įsilaužimus, didžioji dauguma kriptovaliutų sukčiavimo atvejų organizuojami senais metodais: netikromis oro lašelinėmis, kenkėjiškomis „atkūrimo programomis“, sukčiavimo arbitražo schemomis ir panašiai.
• Nemažai didelių įsilaužimų pasirodė kaip „baltos kepurės“ operacijos: užpuolikai grąžino pavogtus pinigus mainais už įspūdingas dovanas už klaidas.
• Beveik 12 % visų BEP-20 žetonų ir 8 % ERC-20 žetonų yra apgaulingi; Kasdien paleidžiama 350 naujų sukčiavimo atvejų.

Šioje apžvalgoje tikslingai pradėtus sukčiavimus ir projektus, kurie iš pradžių buvo teisėti, vadinsime „sukčiavimu“, o „įsilaužimai“ yra trečiųjų šalių atakos prieš teisėtus projektus, vykdomus be „neviešai neatskleistos informacijos“ įvykių.

Populiariausios 2022 m. kriptovaliutų sukčiavimas ir žlugimas

2022 m. Bitcoin (BTC), Ethereum (ETH) ir visos pagrindinės kriptovaliutos prarado daugiau nei 70–80% savo ATH, o daugumoje paveiktų segmentų – metaverse žetonų, GameFi žetonų, Solana (SOL) ekosistemos – nuostolių mediana viršija 90 %. Kai kurioms kriptovaliutų įmonėms nepavyko išgyventi tokio skausmingo nuosmukio.

Terra (LUNA) / Terra USD (UST)

Su EVM suderinama išmaniųjų sutarčių platforma „Terra“ (LUNA) buvo viena iš labiausiai populiarių Ethereum (ETH) žudikų 2021 m. Tačiau didžioji jos TVL dalis buvo skirta Anchor Protocol (ANC) – paprastam derliaus auginimo įrenginiui, kuris pasiūlė 19 proc. APY indėliams Terra USD (UST), dabar nebeegzistuoja Terra USD susieta stabili moneta. Iš viso 20 m. pirmąjį ketvirtį Anchor (ANC) buvo užblokuota daugiau nei 1 mlrd.

Tačiau 2022 m. gegužės pradžioje kažkas pradėjo agresyviai siųsti UST į Curve Finance (CRV) DeFi fondus ir keistis USD Coin (USDC) žetonais. UST prarado kaištį. „Terraform Labs“ ir jos generalinis direktorius Do Kwon pradėjo investuoti likvidumą į UST/LUNA mechanizmą. Tačiau dėl didžiulio kapitalo paleidimo tiek LUNA, tiek UST nukrito iki beveik nulinių verčių. „Terra“ (LUNA) blokų grandinė buvo sustabdyta visam laikui.

Kaip anksčiau rašė U.Today, mokslininkai atskleidė, kad „Terraform Labs“ inicijavo žlugimą: didžiulius UST perkėlimus leido Do Kwon. „Terra“ įkūrėjas tariamai nubėgo į Serbiją ir ten bando išsigryninti savo bitkoinus (BTC).

Trijų strėlių sostinė

Su Zhu ir Kyle'o Davieso, Kolumbijos universiteto absolventų ir „Credit Suisse“ veteranų įsteigtas Three Arrows Capital (3AC) buvo vienas įtakingiausių kriptovaliutų rizikos draudimo fondų. Ji surinko daugiau nei 20 milijardų USD AUM, nes buvo ankstyvas investuotojas į Ethereum (ETH), Avalanche (AVAX), Solana (SOL) ir kt.

Tačiau žlugęs LUNA buvo vienas iš pagrindinių 3AC portfelio elementų. Komanda investavo daugiau nei 600 milijonų dolerių į Terra (LUNA): šis didžiulis akcijų paketas buvo panaikintas per dvi savaites po LUNA/UST žlugimo.

16 m. birželio 2022 d. FT paskelbė, kad 3AC nesugebėjo įvykdyti savo įmokos reikalavimų dėl Terra Inchor Protocol nuostolių. Įmonė taip pat buvo povandeninė savo pozicijoje Staked Ether (stETH) Lido Finance (LDO) DeFi ir Grayscale Bitcoin Trust (GBTC). Birželį nepavyko grąžinti paskolos kriptovaliutų milžinui „Voyager“. Liepos pabaigoje įmonė buvo likviduota BVI teismo, o 3AC vadovybė iškėlė bankroto bylą. Iš viso 20 investuotojų į 3AC prarado daugiau nei 3.5 mlrd.

Keliautojas

JAV registruotas kreditorius „Voyager“ taip pat tapo prasto rizikos valdymo auka: „Three Arrows Capital“ suteikė 650 mln. USD neužtikrintą paskolą, o grynoji AUM buvo beveik 5.9 mlrd. USD. Platforma galėjo pasigirti 3.5 milijono klientų, iš kurių 97% investavo mažiau nei 10,000 XNUMX USD.

Apskritai „Voyager“ žlugo dėl to, kad jos komanda pasirinko rizikingą verslo strategiją: siūlė paskolas kelioms prekybos tarnyboms ir pavieniams kriptovaliutų prekiautojams. Kai skolintojai pradėjo masiškai atsiimti savo pinigus, liepos pradžioje „Voyager“ įšaldė klientų lėšas. Po kelių dienų ji Niujorke pateikė bankroto apsaugą.

Kadangi platforma buvo orientuota į mažus mažmeninius klientus, jos žlugimas buvo skaudžiausias kriptovaliutų entuziastams.

Celsijaus

Tiesą sakant, „Celsius“ buvo pirmoji įmonė, pranešusi apie savo problemas: 2022 m. balandį platforma paskelbė, kad saugos visą neakredituotų investuotojų turtą: todėl ši klientų dalis negalėjo suteikti naujo likvidumo ir gauti atlygio.

2022 m. gegužės mėn., išsigandę UST ir Terra dramų, vartotojai pradėjo pervesti pinigus iš Celsijaus protokolo. 12 m. birželio 2022 d. „Celsius“ įšaldė 1.7 mln. klientų (daugiausia mažmeninių investuotojų) lėšas. Kaip ir „Voyager“, ji liepos pradžioje iškėlė bankroto bylą.

14 m. liepos 2022 d. „Celsius“ patarėjas teisės klausimais Kirkland & Ellis pasidalijo, kad platformos lyderiai buvo informuoti apie 1.3 mlrd. USD skylę jos balanse.

FTX

Sam Bankman-Fried kriptovaliutų biržos FTX ir su ja susijusios kriptovaliutų investavimo įmonės Alameda Research žlugimas buvo pati nuostabiausia Web3 drama: SBF ir jo komanda bandė įgyti didžiulę pramonės kontrolę pasirašydami daugybę partnerysčių, pasirodę Forbes viršeliuose ir taip toliau.

Tačiau „Alameda Research“ balansas labai priklausė nuo FTX Token (FTT), gimtosios FTX kriptovaliutos. Štai kodėl visa sistema žlugo, kai „Binance“ generalinis direktorius Changpeng „CZ“ Zhao pradėjo agresyviai pardavinėti FTT (CZ išleido daugiau nei 500 mln. USD ekvivalento).

Kaip ir visais panašiais atvejais, investuotojai pradėjo masiškai atsiimti savo pinigus iš FTX. Platforma sustabdė išėmimus, SBF pasitraukė iš generalinio direktoriaus pareigų ir pateikė bankroto bylą. Tuo tarpu tapo žinoma, kad jis naudoja investuotojų ir klientų pinigus savo prekybos įmonėje Alameda Research. Dėl baisaus netinkamo valdymo „Alameda Research“ buvo gerokai po vandeniu. SBF buvo areštuotas ir paleistas už užstatą, o patirti nuostoliai dėl FTX žlugimo pasiekė aukščiausią 9 milijardų dolerių ekvivalentą.

Populiariausi kriptovaliutų įsilaužimai 2022 m

Kaip už analizė Merkle Science kibernetinio saugumo ekspertų teigimu, kelių tinklų tiltai yra ypač pažeidžiami išnaudojimų dėl savo techninio sudėtingumo ir labai eksperimentinio pobūdžio:

Tiltai tarp grandinių dažnai yra labiau jautrūs išnaudojimui, nes jiems reikia daugiau sąveikos ir sutarčių patvirtinimų nei kitiems protokolams. Be to, tiltai yra labiau jautrūs atakoms, nes juos valdo neaudituoti kompiuterio kodai. Be to, tikrintojų / mazgų, kurie vykdo operacijas, tapatybės taip pat nežinomos

2022 m. tiltai buvo pagrindiniai atakų taikiniai, o įsilaužėliai taip pat išnaudojo kitus DeFi mechanizmus.

Sliekas

3 m. vasario 2022 d. įsilaužėliai užpuolė Wormhole – tiltą, sukurtą palengvinti sklandų vertės perdavimą tarp nevienalyčių blokų grandinių. Dėl kodo pažeidžiamumo jiems pavyko išleisti 120,000 XNUMX suvyniotų eterių (wETH) Solana (SOL) blokų grandinėje, nepateikdami atitinkamo Ethereum (ETH) užstato.

Įsilaužimas gali sukelti nemokumą bet kuriai DeFi platformai, kuri būtų pasirengusi priimti 120,000 XNUMX WETH (atspausdinta iš oro) kaip užstatą. Laimei, blogiausias scenarijus neįvyko.

„Jump Crypto“, pagrindinė „Wormhole“ paslaugos įmonė, prisiėmė visus nuostolius: jie iš karto papildė 120,000 XNUMX eterių į protokolo likvidumo fondus.

Ronin

Kovo 23 dieną Šiaurės Korėjos įsilaužėliai iš Lazarus – liūdnai pagarsėjusios valstybės remiamos kibernetinės nusikalstamos grupuotės – užpuolė Ronino tinklą. „Ronin“ yra „Ethereum“ tipo šoninė grandinė, sukurta specialiai „Axie Infinity“, pavyzdiniam „GameFi“. Užpuolikai iš Ronino atėmė milžiniškus 568 mln.

Įsilaužėliams pavyko valdyti penkis iš devynių Ronin Bridge patvirtinimo parašų. Tada jie patvirtino du sandorius – 173,600 25.5 eterio (ETH) ir 445 milijono USD monetų (USDC). Iš šio siaubingo grobio daugiau nei XNUMX milijonai dolerių buvo išplauti per Tornado Cash kriptovaliutų maišytuvą.

„Axie Infinity“ kūrėjas „Sky Mavis“ surinko papildomą finansavimą, užsakė dar vieną „CertiK“ saugos auditą ir padidino „multi-sig“ slenkstį nuo 5/9 iki 8/9.

klajoklių

2022 m. rugpjūtį „Nomad“ – kelių grandžių tilto mechanizmas, perkeliantis vertę tarp „Avalanche“ (AVAX), „Ethereum“ (ETH), „Evmos“ (EVMOS), „Moonbeam“ (GLMR) ir kitų blokų grandinių, kriptovaliuta buvo nusausinta 190.7 mln. Užpuolikams pavyko išnaudoti išmaniosios sutarties dizaino pažeidžiamumą: protokolas leido vartotojams atsiimti lėšas iš tikslinės blokų grandinės nepatikrinus, ar jos atitinka iš pradžių įdiegtą sumą.

12/ tl;dr įprastas atnaujinimas pažymėjo nulinę maišą kaip galiojančią šaknį, o tai leido suklastoti pranešimus Nomad. Užpuolikai tuo piktnaudžiaudavo norėdami nukopijuoti / įklijuoti operacijas ir greitai nusausino tiltą pašėlusiai nemokamai.

– dabar tai „shitpost“ paskyra (@samczsun) Rugpjūtis 2, 2022

Paprasčiau tariant, po įprasto atnaujinimo vartotojai galėjo įnešti 1 ETH į Ethereum (ETH) ir paprašyti 100 Ethereum (ETH) ekvivalento išėmimo iš Avalanche (AVAX).

Reikalas tas, kad kiekvienas techniką išmanantis „Web3“ entuziastas sugebėjo atkartoti šį atakos vektorių ir pavogti lėšas iš „Nomad“ prieš išleidžiant pataisą. Todėl daugelis „Ethereum“ (ETH) kūrėjų atsiėmė lėšas, kad jas grąžintų „Nomad“ komandai: beveik 40 mln.

Kėdutė 

16 m. balandžio 2022 d. Ethereum pagrindu sukurtas stabilių monetų projektas Beanstalk (BEAN) buvo taikinys į sudėtingą skubios paskolos ataką. Būtent, piktadariams pavyko gauti greitą paskolą „Aave Finance“ (AAVE) ir nusipirkti valdymo žetonų, reikalingų norint perimti protokolo grandinės referendumų kontrolę.

Tada užpuolikai gavo didžiąją balsų daugumą ir patvirtino pinigų pervedimą į savo sąskaitą. Kai buvo pervesta 180 milijonų dolerių, jie iškart grąžino greitąją paskolą; grynasis pelnas viršijo 80 mln.

Žiemos garsas

2022 m. rugsėjį vienos didžiausių rinką formuojančių platformų „Wintermute“ piniginės buvo išeikvotos už 160 mln. Užpuolikai atskleidė, kad kai kurios pagrindinės „Wintermute“ piniginės buvo sukurtos naudojant „Profanity“ – „tuštybės adresų“ generatorių Ethereum (ETH) tinklui. Tokios programos gali sukurti kriptovaliutų pinigines su žmogaus skaitomais adresais, pvz. 0xJohnDoe1111… ir panašiai.

Dėl „Profanity“ dizaino pažeidžiamumo užpuolikai sugebėjo žiauriai priverstinai panaudoti tuščius adresus ir atkurti privačius raktus. Ataka tapo įmanoma dėl didelių skaičiavimo išteklių, kuriuos panaudojo piktadariai.

Premija: nepasikliaukite šiomis ilgai trunkančiomis aferomis

Greta sudėtingų scenarijų, apimančių 1 milijardo dolerių greitąsias paskolas, Šiaurės Korėjos įsilaužėliai ir įspūdinga aparatinė įranga, skirta žiauriai prievartavimui, šen bei ten pasirodo labai primityvios sukčiavimo kampanijos. Nuo 2022 m. kriptovaliutų srityje labai paplitę trys atakų modeliai:

1. Netikri oro lašai. Norėdami įvykdyti šią sukčiavimą, piktadariai organizuoja „YouTube“ reklamos kampaniją arba įdeda savo skelbimą „Twitter“. Tada jie praneša, kad interneto įžymybė (Snoop Dogg), geriausias technologijų verslininkas (Vitalikas Buteris ar Elonas Muskas) ar net politikas (Donaldas Trumpas) leidžia kriptovaliutą į aviaciją. Visi, kurie yra pasirengę reikalauti savo premijų, turėtų atsiųsti pradinį įnašą (kuris tariamai būtų grąžintas su 100% pelnu) arba savo privačius raktus. Nereikia nė sakyti, kad abi grupės praras indėlius arba visus pinigus iš savo piniginės.

Kaip apsisaugoti: Niekada nesiųskite pinigų „airdrop organizatoriams“ ir neatskleiskite savo privačių raktų ar pradinių frazių.

2. Rankų darbo MEV botai. Didžiausia išgaunama vertė (MEV) yra didžiausias atlygis, kurį Ethereum (ETH) tinklo dalyviai gali gauti už savo indėlį bloko patvirtinimo procese. Sudėtingi metodai leidžia mums gauti naudos iš MEV optimizavimo. Sukčiai pateikia vaizdo ar teksto vadovus, kaip sukurti savo „MEV robotus“, kad gautų prieigą prie „Ethereum“ (ETH) piniginių ir išleistų lėšas.

Kaip apsisaugoti: Venkite „momentinių“ MEV robotų iš „YouTube“ vadovų.

3. Sukčiai ateina į pagalbą. Kadangi 2022-ieji neabejotinai yra įsilaužimų metai, daugelis kriptovaliutų naudotojų tikrina, ar jų mėgstamos blokų grandinės nėra pažeistos. Sukčiai skelbia netikrus pranešimus apie įsilaužimą į tą ar kitą projektą ir pradeda netikras „kompensavimo“ programas. Visų besidominčių kompensacija prašoma atsiųsti savo pradines frazes sukčiams.

Kaip apsisaugoti: Tikrinkite naujienas apie įsilaužimus oficialiuose „blockchain“ žiniasklaidos kanaluose.

Uždarymo mintis

2022 metais daugumą žlugimo lėmė skausmingas kriptovaliutų kainų kritimas, prastas rizikos valdymas ir centralizuotų kriptovaliutų produktų savininkų godumas. Štai kodėl decentralizacija yra didelė problema: DAO minios išmintis neleistų įvykti FTX / Celsijaus / „Voyager“ masto žlugimams.

Tuo tarpu grandinėje esantys produktai turėtų pasirūpinti saugumo auditais, atnaujinimais ir privačių lėktuvų valdymu.