2022 թվականին կրիպտոարժույթի վրա հիմնված նախագծերը ենթարկվեցին մի շարք կործանարար հաքերների և շահագործումների, որը համարվում է երբևէ վատթարագույն տարին, երբ խոսքը վերաբերում է թվային ակտիվների ապահովմանը:
Ընդհանուր առմամբ, կրիպտո հաքերների հաճախականությունը արագորեն արագացել է այս տարի՝ գերազանցելով ռեկորդային 3 միլիարդ դոլար կորցրած ընդհանուր միջոցները. ըստ a Chainalysis զեկուցել:
Տարին մեզ ցույց տվեց, թե ինչպես են սև գլխարկները կամ չարամիտ հաքերները օգտագործում ավելի առաջադեմ մարտավարություն՝ օգտագործելու ապակենտրոնացված հավելվածների թույլ կողմերը, որոնք կարող են ունենալ սխալներ, ինչպես ցանկացած այլ ծրագրակազմ:
2022 թվականի հիմնական կրիպտո թալանների թվում են անվտանգության հետ կապված միջադեպերը խաչաձեւ շղթայական կամուրջներ և ապակենտրոնացված ֆինանսական արձանագրությունները առանձնանում էին հարյուր միլիոնավոր դոլարների չափով վնասներ կրելով անհատական շահագործումներով: Նման շահագործումների ժամանակ հաքերները մուտք են գործել և գողացել կրիպտո ակտիվներ առանց թույլտվության՝ օգտվելով խելացի պայմանագրերի խոցելիությունից:
Այս հոդվածը ուսումնասիրում է 2022 թվականի ամենամեծ կրիպտո հաքերները, որոնք սխալ են եղել՝ յուրաքանչյուր հարձակման հետևանքով:
Ronin Network – $625 մլն
Մարտի 29-ին Ռոնինը, կողային շղթան, որը վարում է Sky Mavis-ի Axie Infinity խաղը, տեղի ունեցավ համար շահագործվել 625 միլիոն դոլար տարբեր կրիպտո ակտիվներում, ինչը այն դարձնում է մինչ օրս կրիպտո թալանման ամենամեծը: Sky Mavis-ը մշակել է Ronin-ը՝ իր հանրահայտ Axie Infinity բլոկչեյն խաղը վարելու համար: Բայց ամեն ինչ վատթարացավ, երբ թիմը չկարողացավ պաշտպանել Ronin ցանցը հանցագործներից ավելի ուշ հայտնաբերել լինել Հյուսիսային Կորեայի Lazarus հաքերային խումբը։
միջոցով էլփոստի վրա հիմնված ֆիշինգ հարձակումը նախկին աշխատակցի վրա հաքերային խումբը մուտք է գործել Sky Mavis-ի ՏՏ ենթակառուցվածք: Այնտեղ հաքերները հայտնաբերել և գողացել են Ronin բլոկչեյնի վավերացնող հանգույցների անձնական բանալիները, որոնք ընկերությունը պահել է իր ներքին սերվերներում: Երբ հաքերները մուտք ունեցան վավերացնող բանալիներ, նրանք վերահսկողություն վերցրեցին Ronin-ի ողջ ցանցի վրա և փոխանցեցին ավելի քան 173,600 եթեր (ETH) և 25.5 միլիոն USDC stablecoin՝ ընդհանուր առմամբ ավելի քան 625 միլիոն դոլար:
Բարեբախտաբար այն օգտատերերի համար, ում միջոցները խլել են այս միջադեպի ժամանակ, մեծ մասը ամբողջությամբ փոխհատուցվել է, պնդում է ընկերությունը: Հաքերից մեկ շաբաթ անց SkyMavis բարձրացրել 150 միլիոն դոլար ֆինանսավորման փուլում, որը գլխավորում էր Binance-ը և դա համատեղում էր իր սեփական ակտիվների հետ վերադարձնել բոլոր նրանց, ովքեր տուժել են շահագործումից:
FTX — 370-400 միլիոն դոլար
Ի տարբերություն տարվա ընթացքում անվտանգության այլ խոշոր կողոպուտների, օրինակ՝ խելացի պայմանագրերով գործող ապակենտրոնացված բլոկչեյն հավելվածների վրա, այժմ փլուզված կենտրոնացված FTX բորսան ընկավ 2022 թվականի ամենամեծ հաքերներից մեկի համար: Նոյեմբերին տեղի ունեցած FTX-ի կոտրումը հայտնի դարձավ բորսայի պաշտոնական Telegram-ի ադմիններից հետո մասին «չթույլատրված մուտք»:
Onchain-ի տվյալները ցույց են տվել, որ բորսայի դրամապանակները կորցրեցին միջոցները 370 միլիոն դոլարի սահմաններում $ 400 միլիոն դրանից կարճ ժամանակ անց Նախկին գործադիր տնօրեն Սեմ Բենքմեն-Ֆրիդը դիմել է Գլուխ 11-ի սնանկության պաշտպանության համար:
Մի քանի մedia կետերը շփոթված հաքերային խելքըՀերթական 400 միլիոն դոլարի կասկածելի փոխանցումը, որը կատարվել է FTX-ից Բահամյան կղզիների արժեթղթերի հանձնաժողովի հանձնարարությամբ՝ ակտիվները պահելու համար, ինչը շփոթություն է առաջացրել։ Այնուամենայնիվ, երկուսն առանձին միջադեպեր էին։
FTX-ի նոր ղեկավար Ջոն Ջ. Ռեյ III վկայեց Բահամյան կարգավորող մարմինների կողմից պատվիրված հաքերն ու մեկ այլ խոշոր ակտիվների փոխանցում առանձին էին: Սա ստուգվում է Chainalysis վերլուծական ընկերության կողմից, որն աշխատում է FTX-ի հետ՝ ակտիվները հայտնաբերելու համար:
«FTX-ից գողացված և կոտրված 400 միլիոն դոլարը լիովին տարբերվում է Բահամյան կղզիների արժեթղթերի հանձնաժողովի կողմից պահվող 400 միլիոն դոլարից: Միանգամայն հասկանալի է, որ մարդիկ շփոթված էին դրանով», - The Block-ին ասել է Chainalysis-ի խոսնակը:
Ռեյը նույնպես ցույց պատրաստված ցուցմունքում փաստաթուղթ որ FTX-ը պահում էր իր դրամապանակների մասնավոր բանալիները չգաղտնագրված ձևով և որդեգրել էր շատ վատ անվտանգության հսկողություն՝ գործոններ, որոնք հեշտությամբ կարող էին թույլ տալ, որ հաքերն իրականացվեր:
Wormhole — $325 մլն
Փետրվարին Wormhole-ը՝ խաչաձեւ շղթայական կամուրջների արձանագրությունը, կոտրվել է այս տարվա ամենամեծ կամրջի շահագործման արդյունքում: Wormhole-ը թույլ է տալիս օգտատերերին կողպել իրենց ETH-ը և ստանալ միացված ակտիվ, որը կոչվում է Wormhole ETH (wETH) Solana ցանցում:
Փետ. $ 325 միլիոն օդից դուրս. Հաքերը փոխանակել է ապօրինի կերպով հատված wETH-ը Ethereum ցանցի իրական ETH-ի հետ՝ դրանով իսկ չորացնելով Wormhole-ում պահվող բոլոր ակտիվները:
Միջադեպը դադարեցրեց կամրջի աշխատանքը և որոշ ժամանակ թվաց, որ Wormhole-ի վերջը մոտ էր: Կորուստները վերականգնելը աներևակայելի դժվար կլիներ, բայց ի զարմանս բոլորի, կոտրումից մի քանի օր անց Wormhole-ն ասաց. փոխարինվել ամբողջ գողացված ETH-ը և բացեց կամուրջը:
Jump Crypto-ն՝ առևտրային և վենչուրային կապիտալի ընկերություն, որը ինկուբացրել է Wormhole-ը, հաստատել է, որ այն համալրել է գողացված 120,000 ETH-ն իր սեփական միջոցներից՝ կամուրջի պահպանման համար:
Nomad — $190 մլն
Օգոստոսի 7-ին Nomad-ը՝ Ethereum, Avalanche, Moonbeam և Evmos բլոկչեյնները միացնող կամուրջը, ենթարկվել է տարվա երկրորդ ամենամեծ խաչաձեւ շղթայական կամրջի կոտրմանը։ $ 190 միլիոն կորցրած ակտիվների արժեքը. Հաքերն առաջացել է սխալ թարմացման արդյունքում, որում Nomad-ի մշակողները սխալմամբ նշել են 0x00 (զրոյական հասցեն) որպես վստահելի արմատ:
Այս գործառույթը նշանակում էր, որ ցանկացած մարդ կարող էր միջոցներ հանել կամուրջից՝ առանց վստահության պայմանագրի ստուգման անցնելու և հեշտությամբ շրջանցել դրա անվտանգությունը: Որպես թարմացում հարցը դարձավ հրապարակային, ավարտվեց 300 հասցե շտապել է Nomad-ից փող վերցնելու՝ բոլորի համար անվճար շահագործմամբ: Բարեբախտաբար, որոշ հասցեներ պատկանել են էթիկական հաքերներին, ովքեր հետագայում վերադարձավ $22 մլն վերադարձել է Nomad-ին։
Beanstalk Farms – $182 մլն
Beanstalk Farms-ը, stablecoin արձանագրություն էր հարձակվել 2022 թվականի ապրիլին՝ տարվա խոշորագույն կառավարման հաքերում:
Անհայտ հաքերն օգտվեց Beanstalk-ի ապակենտրոնացված ինքնավար կազմակերպության (DAO) անվտանգության բացից, որը վերահսկում է stablecoin նախագծի որոշումների կայացումը: Beanstalk-ում յուրաքանչյուրը կարող էր առաջարկ ներկայացնել և ստանալ այն մեկ օրում, եթե այն ստանար մեծամասնության ձայները Beanstalk-ի հայրենի կառավարման կրողներից, որը կոչվում է Bean:
Չարամիտ դերասանը առաջարկ է ներկայացրել՝ խնդրելով համայնքին ուղարկել կրիպտո ակտիվներ Beanstalk գանձարանից հաքերի կրիպտո հասցեին: Երբ քվեարկությունն անցավ, փոխանցումն ինքնաբերաբար կատարվեց։
Հարձակվողը վերցրել է Ա ֆլեշ վարկ, վարկ, որը կարելի է վերցնել առանց գրավի, եթե այն վերադարձվում է նույն գործարքի շրջանակներում։ Սրանով հաքեր ձեռք է բերվել միլիոնավոր դոլարների լոբի ժետոններ ապահովելու համար, որ նրանք ունեն բավականաչափ խորհրդանիշներ՝ քվեարկությունը հաստատելու համար:
Այս հնարքով հաքերը կարողացավ դուրս բերել մոտ 80 միլիոն դոլար արժողությամբ լոբի ժետոններ նախագծի գանձարանից՝ առանց Beanstalk-ի հիմնական ծրագրավորողների: Սրանից հետո հաքերը վաճառել են այդ լոբի նշանները հարթակում, վերջնական կորուստն ավարտվել է զգալիորեն ավելի բարձր Beanstalk-ի համար: Անվտանգության ընկերություն PeckShield գնահատվում Միջադեպը Beanstalk-ին արժեցել է 182 միլիոն դոլար՝ որպես արձանագրային կորուստ:
Mango Markets – $114 մլն
Թեև տեխնիկապես հաքեր չէ, սակայն Սոլանայի վրա հիմնված վարկային հարթակը հոկտեմբերին ենթարկվեց շուկայի մանիպուլյացիայի զանգվածային շահագործման:
Հարձակվողը, որը հետագայում ենթադրվում էր, որ եղել է DeFi-ի վաճառող Ավրահամ Էյզենբերգը, ղեկավարել է թիմին, որը հարձակվել է Mango Markets-ի վրա՝ դեպի ձագար: $ 114 միլիոն հաճախորդների ավանդներում հարթակից: Ավելի ուշ նա խոստովանեց իր մասնակցությունը:
Հարձակումը կրկնակի էր. Նախ, Էյզենբերգը, իբր, գնել է տասնյակ միլիոնավոր անլիկվիդային Mango նշաններ, որոնք նա ավանդադրել է արձանագրության մեջ որպես վարկի գրավ:
Երկրորդը, մոտ 5 միլիոն դոլարով USDC stablecoin-ում, նա, իբր, մի քանի անգամ բարձրացրեց Mango-ի նշանների գինը՝ դրանով իսկ արհեստականորեն մեծացնելով Mango-ում իր վարկային գրավի ավանդների դոլարային արժեքը: Նա կարողացավ դա անել, քանի որ Mango նշանները շատ բարակ իրացվելիություն ունեն բազմաթիվ բորսաներում:
Mango-ի նշանների աճող շուկայական արժեքը խաբեց տվյալների գուշակներին՝ մտածելով, որ Էյզենբերգի ավանդադրված ակտիվներն արժեն ավելի քան 400 միլիոն դոլար:
Ապահովված գրավի արժեքով նա 114 միլիոն դոլարի կրիպտո ակտիվներ է վերցրել՝ այն չվերադարձնելու մտադրությամբ՝ ինքն իրեն հսկայական շահույթ բերելով: Մեկ օր անց նա ստիպեց Մանգոյի կառավարմանը քվեարկություն անցկացնել, համաձայնելով վերադարձնել 47 միլիոն դոլար՝ որպես սպիտակ գլխարկի բանակցությունների գործարք: Այս պահին հարձակվողի ինքնությունը հայտնի չէր:
Շղթայական սլեյթները հարձակման հետևանքով հետևեցին Էյզենբերգին: Նա խոստովանել է նրա ներգրավվածությունը, սակայն նա հերքեց անօրինական որևէ բան անելը՝ պնդելով, որ «օգտագործում է արձանագրությունը, ինչպես նախատեսված է»: Ակնհայտ է, որ իշխանությունները չգնացին Էյզենբերգի «օրենքն օրենք է» փաստարկը:
Դեկտեմբերին Էյզենբերգն էր ձերբակալված և մեղադրվում է Միացյալ Նահանգների արդարադատության նախարարության կողմից շուկայի մանիպուլյացիայի հետ կապված հանցագործությունների մեջ: DoJ-ը նրան ձերբակալել է Պուերտո Ռիկոյում ապրանքների խարդախության և ապրանքների մանիպուլյացիայի մեղադրանքով:
BNB Token Hub – 120 միլիոն դոլար
Հոկտեմբերի 6-ին անհայտ անձը խոշոր չափի հարձակում BNB Token Hub-ում, կամուրջ ծառայություն, որն աշխատում է BNB Chain-ի՝ բլոկչեյնի, որը հիմնադրվել է կրիպտո փոխանակման Binance-ի և Ethereum-ի միջև:
Շահագործելով կամրջի գաղտնագրային ապացուցման համակարգում առկա սխալը՝ հաքերը կարողացավ վերահսկողության տակ առնել կամրջի վրա փակված և այն ժամանակ 2 միլիոն դոլար արժողությամբ 550 միլիոն BNB նշան:
Հաքերին հաջողվել է փոխանցել միայն 120-130 միլիոն դոլար արժողությամբ BNB Chain-ին: ցանցի դադարեցումից առաջ այլ շղթաներ: Հենց հարձակումը հայտնաբերվեց, BNB Chain-ի վավերացնողները համաձայնեցին սառեցնել ցանցը՝ հաքերների հասցեում պահվող ավելի քան 430 միլիոն դոլար վերցնելու համար: Ցանցը մի քանի ժամով անջատված էր, բայց մեկ օր անց նորից գործարկվեց:
Հորիզոն - 100 միլիոն դոլար
Մեկ այլ արձանագրություն, որը դարձավ զանգվածային հաքերային հարձակման զոհ, Horizon-ն էր՝ կամուրջը, որը միացնում է Ethereum-ը Harmony բլոկչեյնին: հունիսին՝ հարձակվող հափշտակել է 100 մլն դոլար արգելափակվել է Horizon-ում կամուրջը կառավարող անվտանգության ադմինիստրատորների հաշիվներին պատկանող մի քանի մասնավոր բանալիներ կոտրելուց հետո:
Horizon-ի տեղակայողի պայմանագրից Ethereum-ին ակտիվներ փոխանցելու գործընթացը ներառում էր մի քանի ստորագրությունների սխեմա, որը հաստատման կարիք ուներ հինգ ադմինիստրատորի հաշիվներից միայն երկուսի կողմից: Սա նշանակում էր, որ չարամիտ դերասանը պետք է գողանար երկու անձնական բանալի՝ չթույլատրված փոխանցումները հաստատելու համար, ինչն էլ տեղի ունեցավ, քանի որ նշել է, անվտանգության Halborn ընկերության կողմից:
Կամուրջի ադմինիստրատորներից երկուսի մասնավոր բանալիների հասանելիությունից հետո, հնարավոր է, ադմինների վրա ֆիշինգային հարձակումների միջոցով: Այնուհետև հաքերը կարողացել է հաստատել գործարքը, որը 100 միլիոն դոլար է հանել նրանց վերահսկողության տակ:
Qubit - 80 միլիոն դոլար
Qubit-ը՝ BNB Chain-ի վարկավորման և կամուրջների արձանագրությունը, եղել է տարվա առաջին լայնածավալ կրիպտո հաքի թիրախը հունվարին: Qubit-ում օգտվողները կարող էին ներդնել եթեր (ETH) Ethereum-ից, և կամուրջը թողարկեց ֆիքսված ակտիվ «xETH» BNC Chain-ում: xETH-ը կարող է օգտագործվել որպես գրավ Qubit-ի վարկավորման հարթակում:
հունվարի 27-ին հաքեր շահագործված ծրագրային ապահովման տրամաբանական խոցելիություն Qubit-ում, որը xETH-ին հասանելի դարձրեց BNB Chain-ում օգտագործելու համար՝ առանց ETH-ը Ethereum-ում պահելու: Խոցելիության բնույթն այնպիսին էր, որ այն հարձակվողին թույլ էր տալիս մեծ քանակությամբ xETH հատել՝ առանց իրական ակտիվների ավանդադրման:
Այն բանից հետո, երբ հաքերը կարողացավ շատ xETH հատել, նրանք Qubit-ից մի քանի վարկ վերցրեցին այդ նշաններով որպես գրավ: Ի վերջո, հարձակվողը սպառել է Qubit Finance-ում բաժնետոմսերի ամբողջ 206,000 BNB-ն՝ վերցնելով փոխառություններ, որոնց արժեքը այն ժամանակ կազմում էր մոտ 80 միլիոն դոլար:
Հրաժարում. 2021 թվականից սկսած Մայքլ Մաքքաֆրին՝ The Block-ի նախկին գործադիր տնօրենը և մեծամասնական սեփականատերը, մի շարք վարկեր վերցրեց հիմնադիր և FTX և Alameda-ի նախկին գործադիր տնօրեն Սեմ Բենքմեն-Ֆրիդից: Մաքքաֆրին հեռացավ ընկերությունից 2022 թվականի դեկտեմբերին այն բանից հետո, երբ չկարողացավ բացահայտել այդ գործարքները:
Աղբյուր՝ https://www.theblock.co/post/196941/the-biggest-crypto-hacks-of-2022?utm_source=rss&utm_medium=rss