მიმოხილვა: 2022 წლის "მეგა" კრიპტო ჰაკები

მიხედვით MRT ლაბორატორიული ანალიზის დროს, 2022 წელი იყო რეკორდული წელი კრიპტო ჰაკერებისთვის, დაახლოებით 3.7 მილიარდი დოლარის ღირებულების კრიპტოვალუტის მოპარვით. Defi გავრცელებული იყო თავდასხმები, დაახლოებით 80%-ით, ანუ 3 მილიარდი დოლარით, რომელშიც მონაწილეობდნენ DeFi-ს მსხვერპლი.

როდესაც 2023 წელს ოპტიმისტურად მივდივართ ახალშობილი ტექნოლოგიის დაპირების მიმართ, ჩვენ უნდა გავიხედოთ უკან, რათა ვისწავლოთ იმ გამოწვევებზე და წარუმატებლობებზე, რომლებიც წინდახედულების წინაშე აღმოვჩნდით.

Ronin Bridge ინფრასტრუქტურის კრიპტო ჰაკი

აქსი უსასრულობა რონინის ხიდის კრიპტო ჰაკი მარტის თვეში ლიდერობს სიაში $612 მილიონი. რონინის ხიდი არის Ethereum გვერდითი ჯაჭვი Axie Infinity სათამაშო-მოგების თამაშისთვის.

კრიპტო ჰაკერებმა, რომლებიც დღეს იდენტიფიცირებულია, როგორც ჩრდილოეთ კორეის კიბერდანაშაულის ჯგუფი სახელად Lazarus, მიიღეს წვდომა რონინის ხიდის ტრანზაქციის ვალიდატორების ცხრა პირად გასაღებზე. გასაღებების გამოყენებით მათ დაამტკიცეს დიდი ტრანზაქციები, ერთი 173,600 ETH და მეორე 25.5 მილიონი USDC.

ჰაკერებმა კრიპტო გადაიტანეს Tornado Cash-ში, ღია კოდის მქონე კრიპტო-თამბლერში და რამდენიმე სხვა ბირჟაზე. 

საზოგადოების ერთობლივი ძალისხმევით, ბინას, Chainalysis და სამართალდამცავები დაეხმარნენ ზოგიერთი თანხების დადგენას.

BSC Beacon cross-bridge კოდის ექსპლუატაცია

ოქტომბერში ჰაკერებმა გამოიყენეს დაუცველობა BSC Beacon-ის ხიდის კოდში 570 მილიონი დოლარის ღირებულების კრიპტოვალუტის მოპარვის მიზნით. ხიდი არის BNB ჯაჭვის მნიშვნელოვანი კომპონენტი.

BSC Beacon ჯაჭვი, მოხსენიებული, როგორც Token Hub, არის ჯვარედინი ხიდი BNB Beacon Chain-სა (BEP2) და BNB Chain-ს (BEP20/BSC) შორის.

შეტევა მუშაობდა კრიპტოგრაფიული მტკიცებულებების გაყალბება უწოდა Merkle-ს მტკიცებულება, რომელიც ადასტურებდა მონაცემებს, როგორიცაა ტრანზაქციები, როგორც მოქმედი და შეტანილი blockchain. ცირპტო ჰაკერმა გამოიყენა ცრუ Merkle-ის მტკიცებულება BSC Beacon cross-bridge-დან სხვა ჯაჭვებზე თანხების გადასატანად. 

Tether-მა დაბლოკა თავდამსხმელის მისამართი, ხოლო BNB ჯაჭვიდან გადატანილი 7 მილიონ დოლარზე მეტი ფაქტიურად გაიყინა.

Wormhole Bridge კოდის ექსპლუატაცია

კრიპტო ჰაკერებმა თებერვალში გამოიყენეს ჭიის ხვრელის კოდი 326 მილიონი დოლარის ღირებულების კრიპტოვალუტაზე. ჭიის ხვრელი არის სიმბოლური ხიდი სოლანასა და ეთერიუმს შორის.

კრიპტო ჰაკერმა გამოიყენა მოძველებული/მკვდარი დაუცველი ფუნქცია ხელმოწერის გადამოწმების გვერდის ავლით.

მოძველებული კოდი შეიძლება შევადაროთ წებოვან ჩანაწერს: „ამას მომავალში წავშლი“. კოდს ახლა ვერ წაშლით, რადგან ზოგიერთი მომხმარებელი კვლავ იყენებს მას.

ხელმოწერის გადამოწმების დელეგაციების ჯაჭვმა ჩართო კრიპტო ჰაკი. მოძველებული ფუნქცია არ ამოწმებდა მისამართებს, რაც ყალბი ხელმოწერის ვალიდაციის საშუალებას იძლევა.

კიბერანალიტიკოსების აზრით, დეველოპერებს შეეძლოთ თავდასხმის თავიდან აცილება, თუ ისინი იყენებდნენ „უსაფრთხო კოდირებას“.

მომთაბარე ხიდის კოდის ექსპლუატაცია

ჰაკერებმა გამოიყენეს Nomad კრიპტო ხიდი აგვისტოში 190 მილიონი დოლარის ღირებულების კრიპტოვალუტით. ჰაკერმა ფაქტობრივად გაანადგურა პროტოკოლში არსებული ყველა თანხები - მზარდმა ექსპლოიტებმა კითხვის ნიშნის ქვეშ დააყენა ჯაჭვის ტოკენის ხიდების უსაფრთხოება.

ხიდები მუშაობენ ჟეტონების ჭკვიან კონტრაქტში ერთ ჯაჭვში ჩაკეტვით და შემდეგ მათი ხელახალი გამოცემით სხვა ჯაჭვზე „შეფუთული“ ფორმატით. Nomad-ის შემთხვევაში, თავდასხმამ დაარღვია კონტრაქტი, რამაც მისი შეფუთული ჟეტონები უსარგებლო გახადა.

Nomad-მა, ფაქტობრივად, დააწესა პრემია, რომელიც ჰაკერს სთხოვს, შეენარჩუნებინა თანხების 10% და არ დაემუქრებინა სამართლებრივი ქმედება, პლუს ბონუსი Whitehat. NFT. თავდამსხმელმა საბოლოოდ მხოლოდ 36 მილიონი დოლარი დააბრუნა.

Beanstalk პროტოკოლის შეტევა

აპრილის საბედისწერო შაბათ-კვირას, ჰაკერმა გამოიყენა ფლეშ სესხი და მოიპარა 182 მილიონი აშშ დოლარი ETH, BEAN stablecoin და სხვა აქტივები Beanstalk stablecoin პროტოკოლიდან.

ფლეშ სესხი არის ფუნქცია, რომელიც საშუალებას აძლევს მომხმარებლებს ისესხონ აქტივი, განახორციელონ სწრაფი ვაჭრობა, შემდეგ დაფარონ იგი ერთ კომპლექსურ ტრანზაქციაში მრავალი პროტოკოლით.

თავდამსხმელმა წარუდგინა ორი მავნე წინადადება Beanstalk DAO-ს საგანგებო ჩადენის ფუნქციის მეშვეობით, რომელიც მოითხოვდა ⅔ ხმის მიცემას და შემდეგ განხორციელდა 24 საათის შემდეგ. 

თავდამსხმელი ეშმაკურად გამოიყენა ფლეშ სესხის ფუნქცია 79%-იანი კონტროლის მოსაპოვებლად და თავისი წინადადების გასავლელად.

თავდამსხმელმა ოქმში ჩაწერილი თანხები გადასცა სწრაფი სესხის დასაფარად, დანარჩენი კი უკრაინის ფონდის მისამართზე. საბოლოოდ მან 76 მილიონი დოლარის მოგება მიიღო.

მეტი მეგა კრიპტო ჰაკი

სხვა მეგა კრიპტო ჰაკები მოიცავს Wintermute-ის $160 მილიონიანი ინფრასტრუქტურის შეტევას აპრილში, Maiar/Elrond-ის $113 მილიონიანი ინფრასტრუქტურის შეტევა ივნისში, Mango Markets-ის $112 მილიონის ინფრასტრუქტურის შეტევა ოქტომბერში და Harmony bridge-ის $100 მილიონიანი ინფრასტრუქტურის შეტევა ივნისში.