Annak ellenére, hogy a kriptovaluta-piacok súlyos bearany recesszió csapdájába estek, a Web3 csalásai és hackelései 2022 egészében lángokban álltak. Számos csúcskategóriás központi kriptovaluta nehézsúlyú cég is összeomlott a rossz kockázatkezelés és a bennfentes manipulációk miatt.
Ahogy a kriptoszegmens közeledik az újévhez, az U.Today összefoglalja a legveszélyesebb kriptográfiai csalásokat, azok gyökereit, kialakítását és az általuk okozott veszteségeket. Készítettünk egy rövid áttekintést a közösségi médiában előforduló leggyakoribb kriptográfiai csalásokról is, amelyek naponta több millió felhasználót céloznak meg.
2022-es kriptográfiai csalások és hackelések: Gyors tények
Számos cybersec-jelentés szerint 11 első 2022 hónapjában a hackereknek és csalóknak soha nem látott mennyiségű, 4.2 milliárd dolláros kriptovalutát sikerült ellopniuk, ami 37%-kal több, mint 2021-ben, amikor a kulcsos kriptók 2-3-szor drágábbak voltak.
- A legnagyobb támadásokat a láncok közötti protokollok – az Axie Infinity Ronin hídmechanizmusa és a Wormhole többprotokollú ökoszisztéma – ellen hajtották végre.
- A Terra (LUNA) ökoszisztéma összeomlása, a fő DeFi Anchor Protocol (ANC) és az USD-hez kötött TerraUSD (UST) stabil érme hozzájárult a bearish recesszió 2. második és negyedik negyedévi szakaszához.
- A már megszűnt FTX kriptotőzsde és a kapcsolódó Alameda Research kereskedelmi cég körüli dráma volt a legnagyobb központosított szolgáltatási összeomlás 2022-ben.
- Annak ellenére, hogy a legnagyobb hackeket széles körben vitatják meg a médiában, a kriptocsalások túlnyomó többsége régi módszerekkel szerveződik: hamis airdrops, rosszindulatú „helyreállító programok”, átverési arbitrázs sémák és hasonlók.
- Számos jelentős feltörés fehérkalapos műveletnek tűnt: a támadók visszaadták az ellopott pénzt lenyűgöző hibajavításért cserébe.
- Az összes BEP-12 tokenek csaknem 20%-a és az ERC-8 tokenek 20%-a csalárd; Naponta 350 új csalást indítanak el.
Ebben az áttekintésben a szándékosan indított csalásokat és a kezdetben jogos projekteket „átverésként” fogjuk hivatkozni, míg a „hackek” harmadik felek támadásai törvényes projektek ellen, amelyeket „bennfentes munka” események nélkül hajtanak végre.
2022 legnépszerűbb kriptocsalásai és összeomlásai
2022-ben a Bitcoin (BTC), Ethereum (ETH) és az összes jelentősebb kriptovaluta több mint 70-80%-ot veszített az ATH-ból, míg a legtöbb érintett szegmensben – a metaverzum tokenek, GameFi tokenek, a Solana (SOL) ökoszisztéma – a medián veszteség meghaladja a 90-et. %. Egyes kriptográfiai cégeknek nem sikerült túlélniük egy ilyen fájdalmas visszaesést.
Terra (LUNA)/Terra USD (UST)
Az EVM-kompatibilis okosszerződéses platform Terra (LUNA) 2021 egyik legtúlzottabban hangoztatott Ethereum (ETH) gyilkosa volt. TVL-jének oroszlánrésze azonban az Anchor Protocolra (ANC) összpontosult, egy egyszerű hozamú mezőgazdasági gép, amely 19%-ot kínált. APY a Terra USD-ben (UST), a Terra már megszűnt, USD-hez kötött stabil érmében betétekre. 20 első negyedévében összesen több mint 1 milliárd dollárt zártak az Anchorban (ANC).
2022 májusának elején azonban valaki agresszíven UST-t kezdett küldeni a Curve Finance (CRV) DeFi-n lévő poolokhoz, és kicserélte a tokeneket az USD Coin (USDC) eszközön. Az UST elvesztette a csapját. A Terraform Labs és vezérigazgatója, Do Kwon likviditást injektáltak az UST/LUNA mechanizmusba. A hatalmas tőkekiáramlás miatt azonban a LUNA és az UST is majdnem nulla értékre esett. A Terra (LUNA) blokkláncot végleg leállították.
Amint arról az U.Today korábban írt, a kutatók felfedték, hogy a Terraform Labs kezdeményezte az összeomlást: a hatalmas UST-transzfereket Do Kwon engedélyezte. A Terra alapítója állítólag Szerbiába futott, és ott próbálja kiváltani bitcoinjait (BTC).
Három nyilak fővárosa
A Su Zhu és Kyle Davies, a Columbia Egyetem öregdiákjai és a Credit Suisse veteránjai által indított Three Arrows Capital (3AC) a legbefolyásosabb kriptofedezeti alapok közé tartozott. Több mint 20 milliárd dollárnyi AUM-ot halmozott fel, köszönhetően annak, hogy korai befektető volt az Ethereum (ETH), az Avalanche (AVAX), a Solana (SOL) és mások piacán.
Az összeomlott LUNA azonban a 3AC portfólió egyik kulcseleme volt. A csapat több mint 600 millió dollárt fektetett be a Terrába (LUNA): ezt a hatalmas részesedést a LUNA/UST összeomlása után két héttel törölték.
16. június 2022-án az FT bejelentette, hogy a 3AC a Terra Anchor Protocol-jának veszteségei miatt nem tudta teljesíteni a letéti felhívásait. A cég a Lido Finance (LDO) DeFi Staked Ether-ben (stETH) és a Grayscale Bitcoin Trustban (GBTC) is a víz alatt volt. Júniusban nem tudta visszafizetni a kölcsönét a Voyager kriptoóriásnak. Július végén a BVI bíróság felszámolta a céget, míg a 3AC vezetése csődöt jelentett. A 20AC 3 befektetője összesen több mint 3.5 milliárd dollárt veszített.
Hajóutas
Az Egyesült Államokban bejegyzett hitelező, a Voyager is a rossz kockázatkezelés áldozata lett: 650 millió dollár fedezetlen kölcsönt nyújtott a Three Arrows Capitalnek, miközben nettó hitelállománya csaknem 5.9 milliárd dollár volt. A platform 3.5 millió ügyféllel büszkélkedhet, akiknek 97%-a 10,000 XNUMX dollárnál kevesebbet fektetett be.
Általánosságban elmondható, hogy a Voyager összeomlott, mert csapata kockázatos üzleti stratégiát választott: több kereskedési szolgáltatásnak és egyéni kriptovaluta kereskedőknek kínált kölcsönt. Mivel a hitelezők tömegesen elkezdték kivenni a pénzüket, július elején a Voyager befagyasztotta az ügyfelek pénzeszközeit. Néhány nappal később csődvédelmet kért New Yorkban.
Mivel a platform a kisméretű lakossági ügyfelekre összpontosított, összeomlása volt a legfájdalmasabb a kriptovaluta-rajongóknak.
Celsius
Valójában a Celsius volt az első cég, amely jelezte problémáit: 2022 áprilisában a platform bejelentette, hogy a nem akkreditált befektetők minden eszközét letétben tartja: az ügyfelek ezen része ezért nem tudott új likviditást injektálni és jutalmakat kapni.
2022 májusában, az UST és a Terra drámáktól megijedve, a felhasználók elkezdték kihelyezni a pénzt a Celsius protokollból. 12. június 2022-én a Celsius 1.7 millió ügyfél (főleg lakossági befektető) pénzeszközét zárolta be. Akárcsak a Voyager, július elején csődöt jelentett.
14. július 2022-én a Celsius jogi tanácsadója, Kirkland & Ellis megosztotta, hogy a platform vezetői 1.3 milliárd dolláros lyukról értesültek a mérlegében.
FTX
Sam Bankman-Fried FTX kriptovaluta tőzsdéjének és a hozzá kapcsolódó kriptobefektetési cégnek, az Alameda Researchnek az összeomlása volt a Web3 legmeglepőbb drámája: az SBF és csapata több tucat partnerség aláírásával, a Forbes címlapjain és hamar.
Az Alameda Research mérlege azonban nagymértékben függött az FTX Tokentől (FTT), az FTX natív kriptovalutájától. Ez az oka annak, hogy az egész rendszer összeomlott, amikor a Binance vezérigazgatója, Changpeng „CZ” Zhao elkezdett agresszívan eladni az FTT-t (CZ több mint 500 millió dollárt bocsátott ki ennek megfelelőjeként).
Mint minden hasonló esetben, a befektetők elkezdték tömegesen kivenni a pénzüket az FTX-ről. A platform leállította a kivonásokat, az SBF lemondott vezérigazgatói posztjáról, és csődöt jelentett. Közben ismertté vált, hogy saját kereskedőcégében, az Alameda Researchben használta fel a befektetők és ügyfelek pénzét. A szörnyű helytelen gazdálkodás miatt az Alameda Research jócskán a víz alatt volt. Az SBF-et letartóztatták és óvadék ellenében szabadlábra helyezték, míg az FTX összeomlásából származó realizált veszteségek 9 milliárd dollárt értek el.
A legnépszerűbb kriptográfiai hackek 2022-ben
Mint egy an elemzés Merkle Science kiberbiztonsági szakértői szerint a hálózatokon átívelő hidak műszaki összetettségük és erősen kísérleti jellegük miatt különösen ki vannak téve a kihasználásoknak:
A láncok közötti hidak gyakran érzékenyebbek a kihasználásokra, mivel több interakciót és szerződés-jóváhagyást igényelnek, mint a többi protokoll. Ezenkívül a hidak érzékenyebbek a támadásokra, mivel nem auditált számítógépes kódok működtetik őket. Ezenkívül a tranzakciókat lebonyolító érvényesítők/csomópontok kiléte sem ismert
2022-ben a hidak voltak a támadások elsődleges célpontjai, miközben más DeFi-mechanizmusokat is kihasználtak a hackerek.
szú járat
3. február 2022-án hackerek megtámadták a Wormhole-t, egy hidat, amelyet a heterogén blokkláncok közötti zökkenőmentes értékátvitel megkönnyítésére terveztek. A kód sérülékenysége miatt 120,000 XNUMX Wrapped Ethert (wETH) sikerült kiadniuk a Solana (SOL) blokkláncon anélkül, hogy a megfelelő Ethereum (ETH) biztosítékot feltették volna.
A feltörés bármely DeFi platform fizetésképtelenségéhez vezethet, amely kész lenne 120,000 XNUMX WETH-t (a levegőből nyomtatva) fedezetként elfogadni. Szerencsére a legrosszabb forgatókönyv nem történt meg.
A Jump Crypto, a Wormhole szolgáltatás anyavállalata vállalta az összes veszteséget: azonnal 120,000 XNUMX Ethert töltöttek fel a protokoll likviditási készleteibe.
Ronin
Március 23-án észak-koreai hackerek a Lazarustól, egy hírhedt állami támogatású számítógépes bűnözői csoporttól megtámadták a Ronin hálózatot. A Ronin egy Ethereum-szerű oldallánc, amelyet kifejezetten az Axie Infinity, a GameFi zászlóshajója számára fejlesztettek ki. A támadók óriási 568 millió dollárt fogyasztottak el Ronintól.
A hackereknek sikerült megszerezniük az irányítást a Ronin Bridge kilenc érvényesítő aláírásából öt felett. Ezután két tranzakciót engedélyeztek, 173,600 25.5 étert (ETH) és 445 millió USD értékű érmét (USDC). Ebből a szörnyű zsákmányból több mint XNUMX millió dollárt mostak ki a Tornado Cash kriptokeverőn keresztül.
Az Axie Infinity fejlesztője, a Sky Mavis extra finanszírozást vett fel, újabb biztonsági auditot rendelt el a CertiK-tól, és a multisig küszöböt 5/9-ről 8/9-re emelte.
nomád
2022 augusztusában a Nomad, egy többláncú hídmechanizmus, amely az Avalanche (AVAX), az Ethereum (ETH), az Evmos (EVMOS), a Moonbeam (GLMR) és más blokkláncok között mozgatja az értéket, 190.7 millió dollár kriptográfiai értékkel csökkent. A támadóknak sikerült kihasználniuk az intelligens szerződés kialakításának egy sebezhetőségét: a protokoll lehetővé tette a felhasználók számára, hogy pénzt vonjanak ki a cél blokkláncon anélkül, hogy ellenőrizték volna, hogy az megegyezik-e az eredetileg telepített összeggel.
12/ tl;dr egy rutin frissítés a nulla hash-t jelölte meg érvényes gyökérként, ami lehetővé tette az üzenetek hamisítását a Nomadon. A támadók visszaéltek ezzel a tranzakciók másolására/beillesztésére, és gyorsan lemerítették a hidat egy őrjöngő, mindenki számára ingyenes
— ez most egy shitpost fiók (@samczsun) 2. augusztus 2022.
Egyszerűen fogalmazva, a rendszeres frissítés után a felhasználók 1 ETH-t fizethettek be az Ethereum-ra (ETH), és 100 Ethereummal (ETH) egyenértékű kifizetést kérhettek az Avalanche-tól (AVAX).
A helyzet az, hogy minden technikailag hozzáértő Web3-rajongó képes volt megismételni ezt a támadási vektort, és pénzt lopni a Nomadtól a javítás megjelenése előtt. Ezért sok Ethereum (ETH) fejlesztő vont ki pénzt, csak azért, hogy visszaküldje a Nomad csapatnak: csaknem 40 millió dollárt küldtek vissza.
Beanstalk
16. április 2022-án az Ethereum-alapú stablecoin projekt, a Beanstalk (BEAN) egy kifinomult gyorskölcsön-támadás célpontja volt. A gonosztevőknek ugyanis sikerült gyorskölcsönt szerezniük az Aave Finance-nél (AAVE), és meg kellett vásárolniuk a szükséges mennyiségű kormányzási jelzőt, hogy átvegyék az irányítást a protokolláris láncon belüli népszavazások felett.
Ezután a támadók megszerezték a szavazati szupertöbbséget, és jóváhagyták a pénz átutalását a saját számlájukra. Amikor 180 millió dollárt utaltak át, azonnal visszafizették a gyorskölcsönt; a nettó nyereség meghaladta a 80 millió dollárt.
téli néma
2022 szeptemberében az egyik legnagyobb piaccsináló platform, a Wintermute pénztárcáját 160 millió dollárral ürítették ki. A támadók bemutatták, hogy a Wintermute kulcstárcái közül néhányat a Profanity-vel hozták létre, amely az Ethereum (ETH) hálózat „hiú címeit” generálja. Az ilyen programok kriptopénztárcákat hozhatnak létre ember által olvasható címekkel, pl. 0xJohnDoe1111… és a hasonlók.
A Profanity tervezési sérülékenysége miatt a támadóknak sikerült brutálisan kényszeríteniük a hiúsági címeket és visszaállítaniuk a privát kulcsokat. A támadás a gonosztevők által felhasznált jelentős számítási erőforrások miatt vált lehetségessé.
Bónusz: Ne dőljön be ezeknek a régóta húzódó csalásoknak
A kifinomult forgatókönyvek mellett, amelyek egymilliárd dolláros gyorskölcsönöket tartalmaznak, észak-koreai hackerek és lenyűgöző hardverek brutális erőszakhoz, nagyon primitív átverési kampányok bukkannak fel itt-ott. 1-től három támadási terv nagyon elterjedt a kriptográfia területén:
1. Hamis légcseppek. Ennek az átverésnek a végrehajtásához a gonosztevők vagy YouTube-hirdetési kampányt szerveznek, vagy elhelyezik hirdetésüket a Twitteren. Aztán bejelentik, hogy egy internetes híresség (Snoop Dogg), egy csúcstechnológiai vállalkozó (Vitalik Buterin vagy Elon Musk) vagy akár politikus (Donald Trump) kriptovalutát dob levegőbe. Mindenkinek, aki készen áll a bónuszainak igénylésére, vagy egy kezdeti befizetést kell küldenie (amely állítólag 100%-os haszonnal járna vissza), vagy a privát kulcsait. Mondanunk sem kell, hogy mindkét csoport elveszti betéteit vagy az összes pénzt a pénztárcájából.
Hogyan védekezhetsz: Soha ne küldje el pénzét „airdrop-szervezőknek”, és ne fedje fel privát kulcsait vagy kezdő kifejezéseit.
2. Kézzel készített MEV botok. A maximális kinyerhető érték (MEV) az a maximális jutalom, amelyet az Ethereum (ETH) hálózat résztvevői a blokkellenőrzési folyamatban nyújtott hozzájárulásukért kaphatnak. A kifinomult technikák lehetővé teszik számunkra, hogy profitáljunk a MEV optimalizálásából. A csalók videós vagy szöveges kézikönyveket helyeznek el a saját „MEV-botok” felépítéséről, hogy hozzáférhessenek az Ethereum (ETH) pénztárcához, és lemerülhessenek a pénzeszközök.
Hogyan védekezhetsz: Kerülje az „azonnali” MEV-botokat a YouTube kézikönyveiben.
3. A csalók jönnek a segítségre. Mivel 2022 határozottan a hackelés éve lesz, sok kriptográfiai felhasználó ellenőrzi, hogy kedvenc blokkláncaik megszakadtak-e. A csalók hamis bejelentéseket tesznek közzé arról, hogy ezt vagy azt a projektet feltörték, és hamis „kárpótlási” programokat indítanak. A kártérítés iránt érdeklődőket arra kérik, hogy küldjék el a csalóknak a magmondataikat.
Hogyan védekezhetsz: Csak a blokkláncok hivatalos médiacsatornáin ellenőrizze a feltörésekről szóló híreket.
Záró gondolatok
2022-ben az összeomlások többségét a kriptovaluta árának fájdalmas zuhanása, a rossz kockázatkezelés és a központosított kriptovaluta termékek tulajdonosainak kapzsisága váltotta ki. Ezért nagy dolog a decentralizáció: a DAO tömeges bölcsessége megakadályozná az FTX/Celsius/Voyager-méretű összeomlásokat.
Eközben a láncon belüli termékeknek gondoskodniuk kell a biztonsági ellenőrzésekről, a frissítésekről és a magánrepülőgépek kezeléséről.
Forrás: https://u.today/top-10-crypto-scams-and-hacks-of-2022