Незважаючи на те, що криптовалютні ринки опинилися в пастці серйозної ведмежої рецесії, шахрайство та хакерство в Web3 тривали протягом усього 2022 року. Через погане управління ризиками та маніпуляції з інсайдерами також зазнали краху низка централізованих криптовалютних важковаговиків вищого рівня.
Оскільки криптосегмент наближається до Нового року, U.Today підсумовує найнебезпечніші криптошахрайства, їх коріння, схеми та збитки, які вони спричинили. Ми також підготували короткий огляд найпоширеніших криптошахрайств у соціальних мережах, націлених на мільйони користувачів щодня.
Криптошахрайство та хакі 2022 року: короткі факти
Згідно з численними звітами про кіберсекцію, за перші 11 місяців 2022 року хакерам і шахраям вдалося вкрасти безпрецедентну суму в $4.2 млрд у криптовалюті, що на 37% більше, ніж у 2021 році, коли ключові криптовалюти коштували в 2-3 рази дорожче.
- Найбільші атаки були здійснені проти міжланцюжкових протоколів — мостового механізму Axie Infinity Ronin і багатопротокольної екосистеми Wormhole.
- Крах екосистеми Terra (LUNA), її основного протоколу DeFi Anchor Protocol (ANC) і стейблкойну TerraUSD (UST), прив’язаного до долара США, сприяв фазі рецесії у 2-4 кварталах 2022 року.
- Драма навколо вже неіснуючої криптобіржі FTX і пов’язаної торгової компанії Alameda Research стала найбільшим крахом централізованих послуг у 2022 році.
- Незважаючи на те, що найбільші зломи широко обговорюються в засобах масової інформації, переважна більшість криптошахраїв організовується за допомогою старих методів: фальшиві аеродроми, шкідливі «програми відновлення», арбітражні схеми шахрайства тощо.
- Кілька серйозних хакерських атак видалися операціями «білих капелюхів»: зловмисники повертали вкрадені гроші в обмін на вражаючі винагороди за помилки.
- Майже 12% усіх токенів BEP-20 і 8% токенів ERC-20 є шахрайськими; Щодня запускається 350 нових шахраїв.
У цьому огляді ми називатимемо «шахрайство» навмисно запущене шахрайство та проекти, які спочатку були законними, тоді як «зломи» — це сторонні атаки на законні проекти, які виконуються без подій «інсайдерської роботи».
Найпопулярніші криптошахрайства та крахи 2022 року
У 2022 році біткойн (BTC), Ethereum (ETH) і всі основні криптовалюти втратили понад 70-80% від свого ATH, тоді як у більшості постраждалих сегментів — токени metaverse, токени GameFi, екосистема Solana (SOL) — середня втрата перевищує 90 %. Деякі криптокомпанії не змогли пережити таке болісне падіння.
Terra (LUNA)/Terra USD (UST)
Платформа смарт-контрактів Terra (LUNA), сумісна з EVM, була однією з найбільш розкручених вбивць Ethereum (ETH) у 2021 році. Однак левова частка її TVL була зосереджена на Anchor Protocol (ANC), простій машині для вирощування врожаю, яка пропонувала 19% APY на депозити в Terra USD (UST), прив’язаному до долара стейблкоіні Terra, який тепер не існує. Загалом у I кварталі 20 року в Anchor (ANC) було заблоковано понад 1 мільярдів доларів в еквіваленті.
Однак на початку травня 2022 року хтось почав агресивно надсилати UST до пулів на Curve Finance (CRV) DeFi та обмінювати токени на USD Coin (USDC). UST втратив прив'язку. Terraform Labs та її генеральний директор До Квон почали вливати ліквідність у механізм UST/LUNA. Однак через масовий приплив капіталу і LUNA, і UST впали майже до нульових значень. Блокчейн Terra (LUNA) було остаточно зупинено.
Як повідомляв U.Today раніше, дослідники оприлюднили, що саме Terraform Labs ініціювала крах: масові перекази UST були санкціоновані До Квоном. Засновник Terra нібито втік до Сербії і намагається там перевести свої біткойни (BTC).
Три стріли капіталу
Three Arrows Capital (3AC), заснований Су Чжу та Кайлом Девісом, випускниками Колумбійського університету та ветеранами Credit Suisse, був одним із найвпливовіших криптохедж-фондів. Він зібрав понад 20 мільярдів доларів США в AUM завдяки тому, що був першим інвестором в Ethereum (ETH), Avalanche (AVAX), Solana (SOL) та інші.
Однак зруйнований LUNA був одним із ключових елементів портфоліо 3AC. Команда інвестувала понад 600 мільйонів доларів у Terra (LUNA): ця величезна частка була стерта через два тижні після краху LUNA/UST.
16 червня 2022 року FT оголосила, що 3AC не змогла задовольнити маржинальні вимоги через втрати в Anchor Protocol Terra. Фірма також була під водою у своїх позиціях у Staked Ether (stETH) у Lido Finance (LDO) DeFi та в Grayscale Bitcoin Trust (GBTC). У червні компанія не змогла погасити кредит криптогіганту Voyager. Наприкінці липня суд Британських Віргінських островів ліквідував фірму, а керівництво 3AC оголосило про банкрутство. Загалом 20 інвесторів 3AC втратили понад 3.5 мільярда доларів.
Мандрівник
Зареєстрований у США кредитор Voyager також став жертвою поганого управління ризиками: він надав Three Arrows Capital незабезпечений кредит у розмірі 650 мільйонів доларів, тоді як його чиста AUM становила майже 5.9 мільярда доларів. Платформа мала 3.5 мільйона клієнтів, 97% з яких інвестували менше 10,000 XNUMX доларів.
Загалом Voyager зазнав краху через те, що його команда обрала ризиковану бізнес-стратегію: пропонувала кредити багатьом трейдинговим сервісам і окремим трейдерам криптовалюти. Оскільки кредитори почали масово забирати свої гроші, на початку липня Voyager заморозив кошти клієнтів. Через кілька днів компанія подала заяву про банкрутство в Нью-Йорку.
Оскільки платформа була орієнтована на дрібних роздрібних клієнтів, її крах був найболючішим для ентузіастів криптовалюти.
Цельсія
Фактично Celsius була першою фірмою, яка повідомила про свої проблеми: у квітні 2022 року платформа оголосила, що зберігатиме всі активи неакредитованих інвесторів: тому ця частина клієнтів не змогла влити нову ліквідність і отримати винагороду.
У травні 2022 року, налякані драмами UST і Terra, користувачі почали виводити гроші з протоколу Celsius. 12 червня 2022 року Celsius заморозила кошти 1.7 млн клієнтів (переважно роздрібних інвесторів). Як і Voyager, на початку липня він оголосив про банкрутство.
14 липня 2022 року юридичний радник Celsius Kirkland & Ellis поділився, що керівники платформи були поінформовані про дірку в 1.3 мільярда доларів в її балансі.
FTX
Крах криптовалютної біржі Сема Бенкмана-Фріда FTX і пов’язаної з нею фірми криптоінвестування Alameda Research став найдивовижнішою драмою в Web3: SBF і його команда намагалися отримати величезний контроль над галуззю, підписавши десятки партнерських угод, з’явившись на обкладинках Forbes і так далі.
Однак баланс Alameda Research значною мірою залежав від FTX Token (FTT), рідної криптовалюти FTX. Ось чому вся система зруйнувалася, коли генеральний директор Binance Чанпен «CZ» Чжао почав агресивно продавати FTT (понад 500 мільйонів доларів США було випущено CZ).
Як і у всіх подібних випадках, інвестори почали масово виводити свої гроші з FTX. Платформа припинила виведення коштів, SBF залишив посаду генерального директора та оголосив про банкрутство. Тим часом стало відомо, що він використовує гроші інвесторів і клієнтів у власній торговій фірмі Alameda Research. Через жахливу безгосподарність Alameda Research опинився глибоко під водою. SBF був заарештований і звільнений під заставу, тоді як реалізовані збитки від краху FTX досягли 9 мільярдів доларів США в еквіваленті.
Найпопулярніші криптозломи 2022 року
Відповідно до аналіз експертів Merkle Science з кібербезпеки, міжмережні мости особливо вразливі до експлойтів через їхню технічну складність і надзвичайно експериментальний характер:
Мости між ланцюгами часто більш сприйнятливі до експлойтів, оскільки вони вимагають більше взаємодії та схвалення контрактів, ніж інші протоколи. Крім того, мости більш сприйнятливі до атак, оскільки ними керують неперевірені комп’ютерні коди. Крім того, особи валідаторів/вузлів, які запускають транзакції, також невідомі
У 2022 році головними об’єктами атак були мости, а інші механізми DeFi також використовувалися хакерами.
Червоточина
3 лютого 2022 року хакери атакували Wormhole, міст, призначений для безперебійної передачі цінностей між різнорідними блокчейнами. Через уразливість у коді їм вдалося випустити 120,000 XNUMX Wrapped Ethers (wETH) на блокчейні Solana (SOL), не вносячи відповідної застави Ethereum (ETH).
Злом може призвести до неплатоспроможності будь-якої платформи DeFi, яка буде готова прийняти 120,000 XNUMX wETH (надрукованих з повітря) як заставу. На щастя, найгіршого сценарію не сталося.
Jump Crypto, материнська компанія сервісу Wormhole, взяла на себе всі збитки: вони відразу поповнили 120,000 XNUMX ефірів в пули ліквідності протоколу.
Ронін
23 березня північнокорейські хакери з Lazarus, сумнозвісного кіберзлочинного угруповання, яке підтримується державою, атакували мережу Ronin. Ronin — це сайдчейн, схожий на Ethereum, розроблений спеціально для Axie Infinity, флагманської GameFi. Зловмисники позбавили Ronin колосальних 568 мільйонів доларів.
Хакерам вдалося отримати контроль над п'ятьма з дев'яти підписів валідатора для Ronin Bridge. Потім вони санкціонували дві транзакції, 173,600 25.5 ефірів (ETH) і 445 мільйонів доларів монет (USDC). З цієї жахливої здобичі понад XNUMX мільйонів доларів було відмито через криптомікшер Tornado Cash.
Розробник Axie Infinity Sky Mavis залучив додаткове фінансування, замовив ще один аудит безпеки CertiK і підвищив поріг мультипідпису з 5/9 до 8/9.
Кочівник
У серпні 2022 року Nomad, багатоланцюговий мостовий механізм, який переміщує вартість між Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) та іншими блокчейнами, втратив 190.7 мільйона доларів у криптовалюті. Зловмисникам вдалося використати вразливість дизайну смарт-контракту: протокол дозволяв користувачам виводити кошти на цільовому блокчейні, не перевіряючи, чи вони еквівалентні початково розгорнутій сумі.
12/ tl;dr рутинне оновлення позначило нульовий хеш як дійсний корінь, що призвело до підробки повідомлень на Nomad. Зловмисники зловживали цим, щоб копіювати/вставляти транзакції, і швидко спустошили міст у шаленому безкоштовному режимі
— тепер це обліковий запис shitpost (@samczsun) Серпень 2, 2022
Простіше кажучи, після звичайного оновлення користувачі могли внести 1 ETH на Ethereum (ETH) і попросити вивести еквівалент 100 Ethereum (ETH) з Avalanche (AVAX).
Річ у тім, що кожен технічно підкований ентузіаст Web3 міг відтворити цей вектор атаки та вкрасти кошти з Nomad до виходу патча. Таким чином, багато розробників Ethereum (ETH) зняли кошти лише для того, щоб повернути їх команді Nomad: майже 40 мільйонів доларів було повернуто.
Бобове стебло
16 квітня 2022 року стейблкойн-проект Beanstalk (BEAN) на базі Ethereum став мішенню складної атаки флеш-позики. Зокрема, зловмисникам вдалося отримати флеш-кредит на Aave Finance (AAVE) і купити кількість токенів управління, необхідну для захоплення контролю над протокольними он-чейн референдумами.
Потім зловмисники отримали переважну більшість голосів і схвалили переказ грошей на власний рахунок. Коли було перераховано 180 мільйонів доларів, вони негайно повернули терміновий кредит; чистий прибуток перевищив 80 мільйонів доларів.
Вінтермут
У вересні 2022 року Wintermute, одна з найбільших маркет-мейкерських платформ, втратила гаманці на 160 мільйонів доларів. Зловмисники виявили, що деякі з ключових гаманців Wintermute були створені за допомогою Profanity, генератора «марних адрес» для мережі Ethereum (ETH). Такі програми можуть створювати криптогаманці з адресами, зрозумілими людині, наприклад, 0xJohnDoe1111… тощо.
Через вразливість у дизайні Profanity зловмисникам вдалося підібрати адреси та відновити приватні ключі. Атака стала можливою завдяки використанню зловмисниками значних обчислювальних ресурсів.
Бонус: не піддавайтеся на ці довгострокові шахрайства
Поряд зі складними сценаріями, які включають миттєві кредити на 1 мільярд доларів, північнокорейських хакерів і вражаюче обладнання для грубої форсування, тут і там з’являються дуже примітивні шахрайські кампанії. Станом на 2022 рік у криптографії дуже поширені три моделі атак:
1. Підроблені аеродропи. Щоб запустити цю аферу, зловмисники або організовують рекламну кампанію на YouTube, або розміщують свою рекламу в Twitter. Потім вони оголошують, що інтернет-знаменитість (Снуп Догг), провідний технологічний підприємець (Віталік Бутерін чи Ілон Маск) або навіть політик (Дональд Трамп) розміщує криптовалюту. Усі, хто готовий отримати свої бонуси, повинні або надіслати початковий депозит (який нібито буде повернено зі 100% прибутком), або свої приватні ключі. Зайве говорити, що обидві групи втратять свої депозити або всі гроші зі своїх гаманців.
Як захистити себе: Ніколи не надсилайте свої гроші «організаторам аеродрому» і не розголошуйте свої приватні ключі чи початкові фрази.
2. Боти MEV ручної роботи. Максимальна витягувана вартість (MEV) — це максимальна винагорода, яку учасники мережі Ethereum (ETH) можуть отримати за свій внесок у процес перевірки блоку. Складні методи дозволяють нам отримати вигоду від оптимізації MEV. Шахраї розміщують відео або текстові посібники про те, як створити власних «ботів MEV», щоб отримати доступ до гаманців Ethereum (ETH) і викачати кошти.
Як захистити себе: уникайте «миттєвих» ботів MEV з посібників YouTube.
3. На допомогу приходять шахраї. Оскільки 2022 рік, безумовно, рік хакерів, багато користувачів криптовалюти перевіряють, чи не зламано їхні улюблені блокчейни. Шахраї розміщують фейкові оголошення про злом того чи іншого проекту та запускають фейкові програми «компенсації». Усіх зацікавлених у компенсації просимо надсилати свої початкові фрази шахраям.
Як захистити себе: перевіряйте новини про хаки лише на офіційних медіа-каналах блокчейнів.
Закриття думок
У 2022 році більшість крахів були спровоковані болісним падінням цін на криптовалюту, поганим управлінням ризиками та жадібністю власників централізованих криптовалютних продуктів. Ось чому децентралізація є великою проблемою: мудрість натовпу DAO запобіжить колапсу FTX/Celsius/Voyager.
Водночас мережеві продукти повинні подбати про перевірки безпеки, оновлення та керування приватними літаками.
Джерело: https://u.today/top-10-crypto-scams-and-hacks-of-2022