Ըստ TRM- ն լաբորատորիաների վերլուծությամբ, 2022 թվականը ռեկորդային տարի էր կրիպտո հաքերների համար՝ մոտ 3.7 միլիարդ դոլար արժողությամբ կրիպտո գողացված: defi Հարձակումները գերակշռում էին, մոտավորապես 80%-ով կամ 3 մլրդ դոլարով, որոնց մասնակցում էին DeFi-ի զոհերը:
Երբ մենք գնում ենք դեպի 2023 թվականը, լավատեսորեն նոր տեխնոլոգիաների խոստման վերաբերյալ, մենք պետք է հետ նայենք՝ սովորելու այն մարտահրավերներից և անհաջողություններից, որոնց հետ բախվել ենք հետին պլանում:
Ronin Bridge ենթակառուցվածքի կրիպտո կոտրվածք
առանցք անսահմանություն Ronin Bridge ծպտյալ հաքեր մարտին ցուցակը գլխավորում է $612 մլն. Ռոնինի կամուրջը ան Ethereum կողային շղթա Axie Infinity խաղ վաստակելու համար:
Կրիպտո հաքերները, որոնք այսօր ճանաչվել են որպես Հյուսիսային Կորեայի կիբերհանցագործությունների խումբ, որը կոչվում է Lazarus, մուտք են գործել Ronin Bridge գործարքների վավերացնող սարքերի ինը մասնավոր բանալիներ: Օգտագործելով բանալիները՝ նրանք հաստատել են խոշոր գործարքներ՝ մեկը 173,600 ETH-ի համար, իսկ մյուսը՝ 25.5 միլիոն USDC:
Հաքերները կրիպտոն տեղափոխել են Tornado cash, բաց կոդով կրիպտո-թամբլեր և մի քանի այլ փոխանակումներ:
Համայնքի համատեղ ջանքերով, Բինանս, Chainalysis-ը և իրավապահները օգնեցին գտնել որոշ միջոցներ:
BSC Beacon-ի խաչմերուկային կոդերի շահագործում
Հոկտեմբերին հաքերները շահագործեցին BSC Beacon խաչմերուկային կոդի խոցելիությունը՝ 570 միլիոն դոլար արժողությամբ կրիպտո գողանալու համար: Կամուրջը BNB շղթայի կարևոր բաղադրիչն է:
BSC Beacon շղթան, որը կոչվում է Token Hub, խաչաձեւ շղթայական կամուրջ է BNB Beacon Chain-ի (BEP2) և BNB Chain-ի (BEP20/BSC) միջև:
Հարձակումն աշխատել է գաղտնագրային ապացույցների կեղծում կոչվում է Merkle-ի ապացույց, որը հաստատում է այնպիսի տվյալներ, ինչպիսիք են գործարքները, որպես վավեր և ներառված են blockchain. Cyrpto հաքերն օգտագործել է Merkle-ի կեղծ ապացույցը՝ BSC Beacon cross-bridge-ից այլ շղթաներ փոխանցելու համար:
Tether-ը արգելափակել է հարձակվողի հասցեն, մինչդեռ BNB ցանցից տեղափոխված ավելի քան 7 միլիոն դոլարը փաստացի սառեցվել է:
Wormhole Bridge կոդի շահագործում
Crypto հաքերները փետրվարին շահագործել են 326 միլիոն դոլար արժողությամբ կրիպտոյի կոդը: Որդանանցքը խորհրդանշական կամուրջ է Սոլանայի և Էթերիումի միջև:
Ծպտյալ հաքերն օգտագործել է հնացած/մահացած անապահով ֆունկցիա՝ ստորագրության ստուգումը շրջանցելու համար:
Հնացած կոդը կարելի է համեմատել կպչուն գրության հետ, որտեղ ասվում է. «Ես դա կջնջեմ ապագայում»: Այժմ դուք չեք կարող ջնջել կոդը, քանի որ որոշ սպառողներ դեռ օգտագործում են այն:
Ստորագրության ստուգման պատվիրակությունների մի շղթա հնարավորություն է տվել կրիպտո կոտրումը: Հնացած գործառույթը չէր ստուգում հասցեները՝ թույլ տալով վավերացնել կեղծ ստորագրությունը:
Ըստ կիբերվերլուծաբանների՝ ծրագրավորողները կարող էին խուսափել հարձակումից, եթե կիրառեին «անվտանգ կոդավորում»:
Nomad bridge կոդի շահագործում
Օգոստոսին հաքերները շահագործել են Nomad կրիպտո կամուրջը, որի արժեքը կազմում է 190 միլիոն դոլար: Հաքերը փաստացիորեն սպառել է արձանագրության բոլոր միջոցները՝ աճող շահագործումները կասկածի տակ են դնում խաչաձեւ շղթայական նշանային կամուրջների անվտանգությունը:
Կամուրջներն աշխատում են՝ խելացի պայմանագրով բլոկները փակելով մի շղթայում և այնուհետև դրանք վերաթողարկելով «փաթաթված» ձևաչափով մեկ այլ շղթայի վրա: Nomad-ի դեպքում հարձակումը սաբոտաժի ենթարկեց պայմանագիրը՝ դրա փաթաթված նշանները անարժեք դարձնելով:
Nomad-ը, ըստ էության, պարգևավճար է սահմանել՝ հաքերից պահանջելով պահել միջոցների 10%-ը և չկանգնել որևէ իրավական գործողություն, գումարած բոնուս սպիտակ գլխարկ։ NFT. Հարձակվողն ի վերջո վերադարձրեց ընդամենը 36 միլիոն դոլար:
Beanstalk արձանագրային հարձակում
Ապրիլի ճակատագրական հանգստյան օրերին հաքերն օգտագործեց ֆլեշ վարկ՝ գողանալու 182 միլիոն դոլար ETH, BEAN stablecoin և Beanstalk stablecoin արձանագրության այլ ակտիվներ:
Ֆլեշ վարկը մի առանձնահատկություն է, որը հնարավորություն է տալիս օգտվողներին վարկ վերցնել ակտիվը, կատարել արագ առևտուր, այնուհետև մարել այն մեկ բարդ գործարքով մի քանի արձանագրությունների միջոցով:
Հարձակվողը երկու չարամիտ առաջարկ է ներկայացրել Beanstalk DAO-ին արտակարգ իրավիճակների կատարման գործառույթի միջոցով, որը պահանջել է ⅔ ձայն, այնուհետև իրականացվել 24 ժամ հետո:
Հարձակվողը չարաճճիաբար օգտագործել է ֆլեշ վարկի ֆունկցիան՝ 79% վերահսկողություն ստանալու և իր առաջարկը փոխանցելու համար։
Հարձակվողը արձանագրության մեջ եղած միջոցներն ուղարկել է իր արագ վարկը մարելու համար, իսկ մնացածը Ուկրաինայի հիմնադրամի հասցեով։ Ի վերջո նա ստացել է 76 մլն դոլարի շահույթ։
Ավելի շատ մեգա կրիպտո հաքերներ
Այլ մեգա կրիպտո հաքերները ներառում են Wintermute-ի 160 միլիոն դոլար արժողությամբ ենթակառուցվածքի հարձակումը ապրիլին, Maiar/Elrond-ի 113 միլիոն դոլարի Ենթակառուցվածքի հարձակումը հունիսին, Mango Markets-ի 112 միլիոն դոլարանոց Ենթակառուցվածքի հարձակումը հոկտեմբերին և Harmony Bridge-ի 100 միլիոն դոլարանոց Ենթակառուցվածքի հարձակումը հունիսին:
Աղբյուր՝ https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/