Saugumo pažeidimai ir įsilaužimai tapo atšiauria realybe sparčiai augančiame kriptovaliutų pasaulyje. Turėdami milijonų dolerių vertės turtą, labai svarbu išlikti žaidimo priekyje ir apsaugoti savo investicijas. Gilindamiesi į 2023 m. kriptovaliutų įsilaužimo pasaulį, išnagrinėsime stulbinantį iki šiol įvykusių incidentų skaičių.
Šiais metais jau įvyko nemažai įsilaužimų. „BonqDAO“, „dForce“, „Magic Eden“, „OpenSea“ ir „Harmony“ yra keletas vardų, kurie tapo šių įsilaužimų aukomis.
Trečiųjų šalių įsilaužimas kaltinamas netinkamais vaizdais, rodomais „Magic Eden“.
Šie metai „Magic Eden“ prasidėjo neįprasta veikla. Nekeičiamos (NFT) mainų „Magic Eden“ svetainė buvo užtvindyta keistomis nuotraukomis.
Sausio 3 d. Solana valdoma NFT prekyvietė (SOL) socialiniame tinkle „Twitter“ paskelbė, kad į jį nebuvo įsilaužta, tačiau vietoj to buvo įsilaužta į bendrovės nuotraukų prieglobos paslaugą, kuri buvo patalpinta trečiosios šalies svetainėje, dėl ko buvo atskleistos kelios nemalonios nuotraukos.
Tą dieną daugybė Magic Eden vartotojų pastebėjau kad spustelėjus kolekcijos puslapį pasirodo pornografinis vaizdas, o ne įprasta NFT miniatiūra. Keli asmenys sakė matę kadrą iš Didžiojo sprogimo teorijos.
Nežinoma organizacija ar asmuo užgrobė Twitter paskyrą, esančią už kriptovaliutų ir akcijų prekybos platformos Robinhood, kad paskatintų vartotojus įsigyti naują žetoną.
Sausio 25 d. keli kriptovaliutų „Twitter“ vartotojai pareiškė, kad Robinhood Twitter paskelbė tviterį, raginantį savo 1.1 mln. sekėjų sumokėti 0.0005 USD už BNB išmaniosios grandinės žetoną, pavadintą „RBH“. Prieš ištrinant įrašą, Coinbase produktų verslo operacijų vadovas Conoras Groganas teigė, kad mažiausiai dešimt klientų įsigijo apgaulingos monetos, kurių vertė apie 1,000 USD.
„Binance“ įkūrėjas ir generalinis direktorius Changpeng Zhao tuomet sakė, kad bendrovės saugumo komanda užšaldė su paštu susietą paskyrą ir „laukia tolesnių tyrimų“.
Liūdnai pagarsėjęs tviteris vėliau buvo ištrintas. „Robinhood“ atstovas informavo kriptovaliutų prekybos vietą „Cointelegraph“, kad įsilaužėlis, laikomas „trečiosios šalies pardavėju“, taip pat paskelbė informaciją platformos „Instagram“ ir „Facebook“ svetainėse.
Šiaurės Korėjos įsilaužėliai bando išplauti lėšas, pavogtas iš „Harmony“ atakos
Panašu, kad Šiaurės Korėjos aferistai, atsakingi už 2022 metų birželį įvykusį žygdarbį ant Harmonijos tilto, šių metų sausį tęsė pastangas išplauti pinigus. Remiantis grandininiais duomenimis, sausio 28 d. paskelbtais populiarioje „Twitter“ paskyroje ir save vadinančio „blockchain detektyvu“ ZachXBT, kaltininkai per tą savaitgalį pervedė 17,278 29 eterio, o tai atitinka maždaug XNUMX mln.
ZachXBT tvirtino, kad žetonai buvo išsiųsti dar šešioms kriptovaliutų biržoms, tačiau jis neatskleidė, į kurias svetaines žetonai buvo perkelti. Sandoriai buvo vykdomi iš trijų pirminių adresų.
ZachXBT teigia, kad biržos buvo informuotos apie pinigų pervedimus, todėl dalis pavogtų lėšų buvo užblokuota. Anot kriptovaliutų detektyvo, veiksmai, kurių ėmėsi išnaudotojai, norėdami išplauti pinigus, buvo stulbinančiai identiški tiems, kurie buvo atlikti praėjusių metų birželį, kai buvo išplauti daugiau nei 60 mln.
„AllianceBlock“ taip pat paveikė
„AllianceBlock“ prarado milijonus dolerių dėl neseniai įvykusios atakos, dėl kurios buvo pavogta 110 milijonų ALBT žetonų iš „Bonq“, decentralizuoto skolinimo projekto, paremto „Polygon“.
Dėl 12 milijonų dolerių išnaudojimo AllianceBlock, a platforma, kuri teigia, kad yra orientuota į decentralizuoto finansų (DeFi) ir tradicinio finansų (TradFi) pasaulių sujungimą, turi nukentėjo didžiulė nesėkmė.
Remiantis bendrovės pareiškimu, užpuolikai pasinaudojo Bonq saugumo klaida, kuri leido jiems pasiekti 110 milijonų ALBT žetonų. Projekte teigiama, kad pažeidžiamumas būdingas tik „Bonq“ ir atakos metu nebuvo pažeista jokia išmanioji sutartis.
BonqDAO vėl pataikė
Šiek tiek kukli decentralizuota autonominė organizacija (DAO) taip pat tapo gana reikšmingo išmaniųjų kontraktų įsilaužimo auka, dėl kurios iš jos protokolo buvo pavogta 120 mln.
Išnaudotojui pavyko kontroliuoti „AllianceBlock“ (ALBT) žetono kainą po to, kai „BonqDAO“ vasario 1 d. pranešė savo „Twitter“ pasekėjams, kad „Oracle“ pažeidimas pakenkė jo „Bonq“ protokolui. Tai leido išnaudotojui pavogti žetonus.
Remiantis blokų grandinės saugos bendrovės „PeckShield“ atlikto nepriklausomo tyrimo išvadomis, „Bonq“ įsilaužimo metu pavogta pinigų suma siekė maždaug 120 mln. Šis skaičius buvo apskaičiuotas atėmus 108 mln. USD iš 98.65 mln. BEUR žetonų ir 11 mln. USD iš 113.8 mln. supakuotų ALBT (wALBT) žetonų.
„PeckShield“ teigimu, užpuolikas sugadino wALBT prieigos rakto kainą, pakeisdamas „Oracle“ atnaujinimo kainos funkciją. vienoje iš BonqDAO išmaniųjų sutarčių.
Dėl to BEUR ir WALBT buvo išnaudoti. Tada įsilaužėlis sudegino visus 113.8 mln. WALBT, kad atrakintų ALBT, ir iškeitė maždaug 500,000 XNUMX USD vertės BEUR į USDC „Uniswap“.
Sperax kenčia dar vieną tiltą
Spreekas, „Twitter“ vartotojas, vasario 4 d. perspėjo bendruomenę, kad buvo piktnaudžiaujama 250,000 XNUMX USD vertės Sperax USD (USD).
Remiantis jo išvadomis, užpuolimas labai padidino turimus USD. Perdavimo žurnaluose nepaliko jokių pėdsakų, rodančių, kad buvo nukaldinta ar perkeltas begalinis žetonų kiekis.
„Sperax USD“ išmanioji sutartis neparodė jokių požymių, kad ji buvo piktybiškai atnaujinta. Atitinkamai, tyrėjas iškėlė hipotezę, kad užpuolikas galėjo panaudoti stabilios monetos perskaičiavimo funkcijos pažeidžiamumą.
Grandininiai rąstai pasiūlyti kad užpuolikas pasidarė su stabiliomis monetomis, kurių vertė didesnė nei 250,000 XNUMX USD, kol Sperax sustabdė USDs sistemą.
dForce taip pat kenčia nuo išnaudojimo
„dForce“ tinklas buvo dar viena vasario mėnesio rimto įsilaužimo auka, dėl kurios buvo padaryta žala, viršijanti apie 3.65 mln.
Po metų, kai kriptovaliutų erdvė buvo patyrusi keletą išpuolių, vasaris, kaip ir sausis, prasidėjo ritmiškai. Vasario 10 d. PeckShield paskelbė įspėjimą dėl kibernetinės atakos prieš dForce tinklą. Bendrovė apskaičiavo, kad prarastų pinigų suma siekė apie 3.65 mln.
PeckShield atnešė dėmesys į tai, kad pinigai buvo paimti iš dviejų skirtingų lygių: Optimizmo ir Arbitrum. Pagal jų tviterį, tariami nuostoliai buvo susiję su trimis skirtingais kriptovaliutų turto tipais. Pavyzdžiui, „blockchain“ saugos platforma atrado, kad „dForce“ išmetė apie 1,236.65 719,437 ETH ir 2 XNUMX USX tiesiogiai dėl Arbitrum layer-XNUMX protokolo.
Tada „PeckShield“ tviteryje paskelbė prašymą, kad „dForce“ ištirtų pažeidžiamumą. Praėjus pusantros valandos po pirminio pranešimo, „dForce“ patikrino detales. Anot tinklo, neseniai buvo išnaudoti „wstETH/ETH“ saugyklos „Arbitrum“ ir „Optimism“.
„dForce“ teigė, kad problemas atrado keliomis valandomis anksčiau ir greitai sustabdė saugyklas, kad apribotų krizę. Tačiau jie pabrėžė, kad didžioji šio proceso dalis vis dar veikia ir kad pinigai vis dar saugiai laikomi „dForce Lending“. Tačiau rašymo metu „dForce“ neatskleidė visų užpuolimo aspektų. Jie sakė, kad bus parengtas dokumentas, kuriame bus išsamiai išdėstyti sprendimai.
OpenSea neliko nuošalyje
2022 m. vasario mėn. „OpenSea“ tapo didelio sukčiavimo atakos auka, dėl kurios iš jos vartotojų buvo pavogti nepakeičiami žetonai (NFT), kurių vertė viršija 1.7 mln. USD. Per pastaruosius metus NFT rinka buvo surengta daug atakų. Pranešama, kad vien 3.9 m. „OpenSea“ vartotojai dėl nesąžiningos veiklos iš viso prarado 2022 mlrd.
Tinkamos saugumo priemonės, kas nors?
Kai persikėlėme į 2023 m., buvo gausu pažadų padidinti saugumą kriptovaliutų sektoriuje. Tačiau iki šiol padėtis pasikeitė nedaug. „Blockchain“ pagrindu veikiančios įmonės turi padaryti daugiau, kad apsaugotų savo klientus nuo nesąžiningos veiklos.
Atrodo, kad nuo FTX žlugimo daugelis biržų daugiausia dėmesio skyrė skaidrumui ir lėšų įrodymui, tačiau turto užtikrinimo klausimas visada turėtų būti prioritetas.
Patys naudotojai turi imtis veiksmų, kad apsaugotų savo turtą, būdami atsargūs dėl sukčiavimo ir sudarydami sandorius tik su patikimais mainais ir piniginėmis.
Šaltinis: https://crypto.news/millions-of-dollars-already-lost-to-hacks-in-2023/