Szerint TRM Labs elemzése szerint 2022 rekordév volt a kriptográfiai hackek tekintetében, körülbelül 3.7 milliárd dollár értékben loptak el kriptot. Defi A támadások elterjedtek voltak, körülbelül 80%-ban, azaz 3 milliárd dollárban a DeFi áldozatai voltak.
Amint 2023-ban optimistán indulunk a születőben lévő technológia ígéretét illetően, vissza kell tekintenünk, hogy tanuljunk azokból a kihívásokból és kudarcokból, amelyekkel utólag szembesültünk.
Ronin Bridge infrastruktúra kripto hack
Axie Végtelen Ronin híd kripto hack márciusban 612 millió dollárral vezeti a listát. A Ronin híd egy Ethereum oldallánc az Axie Infinity játék-keresős játékhoz.
A ma egy észak-koreai, Lazarus nevű kiberbűnözők csoportjaként azonosított kriptohackerek hozzáfértek a Ronin-híd tranzakció-ellenőrzőjének kilenc privát kulcsához. A kulcsok segítségével nagy tranzakciókat hagytak jóvá, az egyiket 173,600 25.5 ETH-ért, a másikat pedig XNUMX millió USDC-ért.
A hackerek áthelyezték a kriptot a Tornado készpénzre, egy nyílt forráskódú kriptopohárra és számos más tőzsdére.
A közösség közös erőfeszítései, Binance, a Chainalysis és a rendfenntartók segítettek felkutatni az alapok egy részét.
BSC Beacon cross-bridge kódexploit
Októberben a hackerek a BSC Beacon cross-bridge kódjának biztonsági rését kihasználva 570 millió dollár értékben loptak el kriptot. A híd a BNB lánc kritikus eleme.
A Token Hub néven emlegetett BSC Beacon lánc egy keresztlánc híd a BNB Beacon Chain (BEP2) és a BNB Chain (BEP20/BSC) között.
A támadás sikerült kriptográfiai bizonyítékok meghamisítása Merkle-nek bizonyítja, hogy megerősítette az olyan adatokat, mint a tranzakciók érvényesek és szerepelnek a blockchain. A cyrpto hacker a hamis Merkle-bizonyítékot használta arra, hogy pénzt utaljon át a BSC Beacon kereszthídról más láncokhoz.
A Tether letiltotta a támadó címét, miközben a BNB-láncból áthelyezett több mint 7 millió dollárt gyakorlatilag befagyasztották.
Féreglyuk híd kódexploit
A kriptohackerek februárban 326 millió dollár értékben használták ki a féreglyuk kódját. A féreglyuk egy jelképes híd Solana és Ethereum között.
A kriptohacker egy elavult/halál insecure funkciót használt az aláírás ellenőrzésének megkerülésére.
Az elavult kód összehasonlítható egy öntapadó cetlivel, amely azt mondja: „Ezt a jövőben törölni fogom”. A kódot most nem törölheti, mert egyes fogyasztók még mindig használják.
Az aláírás-ellenőrzési delegációk lánca lehetővé tette a kriptográfiai feltörést. Az elavult funkció nem ellenőrizte a címeket, lehetővé téve a hamis aláírás ellenőrzését.
Kiberelemzők szerint a fejlesztők elkerülhették volna a támadást, ha „biztonságos kódolást” gyakoroltak volna.
Nomád híd kódexploit
A hackerek augusztusban kihasználták a Nomad kriptohidat 190 millió dollár értékben. A hacker gyakorlatilag kimerítette a protokollban szereplő összes forrást – a növekvő kihasználások megkérdőjelezték a láncokon átívelő token hidak biztonságát.
A hidak úgy működnek, hogy az egyik láncban intelligens szerződésben zárolják a tokeneket, majd egy másik láncban „becsomagolt” formátumban újra kiadják azokat. Nomad esetében a támadás szabotálta a szerződést, értéktelenné téve a becsomagolt jelzőket.
Nomad tulajdonképpen fejpénzt fizetett, és arra kérte a hackert, hogy tartsa meg az alapok 10%-át, és ne legyen vele szemben jogi eljárás, plusz egy bónusz fehérkalapot NFT. A támadó végül csak 36 millió dollárt fizetett vissza.
Beanstalk protokoll támadás
Egy végzetes áprilisi hétvégén egy hacker gyorskölcsön segítségével 182 millió dollárnyi ETH-t, BEAN stablecoint és egyéb eszközöket lopott el a Beanstalk stablecoin protokollból.
A gyorskölcsön egy olyan funkció, amely lehetővé teszi a felhasználók számára, hogy kölcsönkérjenek egy eszközt, gyors kereskedést kössenek, majd egyetlen összetett tranzakcióban, több protokollon keresztül visszafizessék.
A támadó két rosszindulatú javaslatot terjesztett elő a Beanstalk DAO-nak a vészhelyzeti véglegesítési funkción keresztül, amelyekhez ⅔ szavazat kellett, majd 24 óra elteltével végrehajtották.
A támadó huncutul a gyorskölcsön funkciót használta a 79%-os ellenőrzés megszerzéséhez és javaslatának elfogadásához.
A támadó az ukrajnai alap címére küldte a jegyzőkönyvben szereplő pénzeszközöket a gyorskölcsön kifizetésére és a többit. Végül 76 millió dollár nyereséget ért el.
Még több mega kripto hack
További mega kriptohackek közé tartozik a Wintermute 160 millió dolláros infrastruktúra-támadása áprilisban, a Maiar/Elrond 113 millió dolláros infrastruktúra-támadása júniusban, a Mango Markets 112 millió dolláros infrastruktúra-támadása októberben, és a Harmony Bridge 100 millió dolláros infrastruktúra-támadása júniusban.
Forrás: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/