За оцінками TRM Лабораторії аналізу показали, що 2022 рік став рекордним роком для криптозломів: було викрадено криптовалюти на суму близько 3.7 мільярда доларів. Defi атаки були поширеними, приблизно 80%, або 3 мільярди доларів США, стосувалися жертв DeFi.
Вступаючи в 2023 рік з оптимізмом щодо перспектив нової технології, ми повинні озирнутися назад, щоб отримати уроки з викликів і невдач, з якими ми зіткнулися заднім числом.
Криптозлом інфраструктури Ronin Bridge
вісь нескінченність Криптозлом Ronin bridge у березні очолює список із 612 мільйонами доларів. Міст Ронін є Ethereum бічний ланцюжок для гри Axie Infinity play-to-earn.
Криптохакери, яких сьогодні ідентифікували як північнокорейську кіберзлочинну групу під назвою Lazarus, отримали доступ до дев’яти приватних ключів валідаторів транзакцій Ronin bridge. Використовуючи ключі, вони схвалили великі транзакції, одну на 173,600 25.5 ETH, а іншу на XNUMX мільйонів доларів США.
Хакери перемістили крипто на Tornado cash, криптографію з відкритим вихідним кодом і кілька інших бірж.
Спільними зусиллями громади, Binance, Chainalysis і правоохоронці допомогли відстежити частину коштів.
Експлойт міжмостового коду BSC Beacon
У жовтні хакери скористалися вразливістю в коді перехресного мосту BSC Beacon, щоб викрасти криптовалюту на 570 мільйонів доларів. Міст є важливою складовою ланцюга BNB.
Ланцюжок BSC Beacon, відомий як Token Hub, є перехресним мостом між BNB Beacon Chain (BEP2) і BNB Chain (BEP20/BSC).
Атака спрацювала фальсифікація криптографічних доказів назвав Merkle доказом, який підтвердив такі дані, як транзакції, як дійсні та включені до blockchain. Хакер cyrpto використовував фальшивий доказ Merkle для переказу коштів із перехресного мосту BSC Beacon до інших мереж.
Tether заблокував адресу зловмисника, а понад 7 мільйонів доларів, переміщених із мережі BNB, було фактично заморожено.
Експлойт коду Wormhole bridge
Криптохакери скористалися кодом червоточини в лютому криптовалюти вартістю 326 мільйонів доларів. Червоточина — це символічний міст між Solana та Ethereum.
Криптохакер використовував застарілу/незахищену функцію, щоб обійти перевірку підпису.
Застарілий код можна порівняти з наліпкою з написом: «Я видалю це в майбутньому». Ви не можете видалити код зараз, оскільки деякі споживачі досі ним користуються.
Ланцюжок делегування перевірки підпису увімкнув криптозлом. Застаріла функція не перевіряла адреси, дозволяючи підтвердити підроблений підпис.
За словами кібераналітиків, розробники могли б уникнути атаки, якби вони практикували «безпечне кодування».
Експлойт коду Nomad bridge
У серпні хакери використали криптоміст Nomad із криптовалютою на 190 мільйонів доларів. Хакер фактично виснажив усі кошти в протоколі — зростаюча кількість експлойтів поставила під сумнів безпеку крос-чейн-токен-бриджів.
Мости працюють, блокуючи токени в смарт-контракті в одному ланцюжку, а потім перевипускаючи їх у «загорнутому» форматі в іншому ланцюжку. У випадку Nomad атака саботувала контракт, зробивши загорнуті токени марними.
Nomad, по суті, виставив винагороду, вимагаючи, щоб хакер залишив собі 10% коштів і не загрожував жодним судовим позовом, а також бонусом білий капелюх НФТ. Зловмисник у підсумку повернув лише 36 мільйонів доларів.
Атака на протокол Beanstalk
У фатальний уїк-енд у квітні хакер використав флеш-кредит, щоб вкрасти 182 мільйони доларів ETH, стейблкойнів BEAN та інших активів із протоколу стейблкойнів Beanstalk.
Миттєвий кредит — це функція, яка дає змогу користувачам позичити актив, здійснити швидку торгівлю, а потім повернути його в одній складній транзакції через кілька протоколів.
Зловмисник представив дві зловмисні пропозиції до Beanstalk DAO за допомогою функції екстреної фіксації, яка вимагала ⅔ голосування, а потім була реалізована через 24 години.
Зловмисник пустотливо використав функцію швидкої позики, щоб отримати 79% контролю та прийняти його пропозицію.
Зазначені в протоколі кошти зловмисник відправив на погашення свого флеш-кредиту, а решту – на адресу фонду «Україна». У підсумку він отримав прибуток у 76 мільйонів доларів.
Більше мега криптозломів
Інші мега-криптозломи включають атаку Wintermute на інфраструктуру на суму 160 мільйонів доларів у квітні, атаку на інфраструктуру Maiar/Elrond на суму 113 мільйонів доларів у червні, атаку на інфраструктуру Mango Markets на суму 112 мільйонів доларів у жовтні та атаку на інфраструктуру Harmony bridge на суму 100 мільйонів доларів у червні.
Джерело: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/