10 թվականի 2022 լավագույն ծպտյալ խարդախությունները և հաքերները

Չնայած կրիպտոարժույթների շուկաները ծանր անկումային անկման թակարդում էին, Web3-ում խարդախությունները և հաքերները կրակի մեջ էին ամբողջ 2022 թվականին: Մի շարք բարձրակարգ կենտրոնացված կրիպտոարժույթներ նույնպես փլուզվեցին ռիսկերի վատ կառավարման և ինսայդերական մանիպուլյացիաների պատճառով:

Քանի որ կրիպտո հատվածը մոտենում է Ամանորին, U.Today-ն ամփոփում է ամենավտանգավոր կրիպտո խարդախությունները, դրանց արմատները, ձևավորումը և դրանց պատճառած կորուստները: Մենք նաև պատրաստել ենք սոցիալական ցանցերում ամենահաճախակի կրիպտո խարդախությունների կարճ ակնարկ, որոնք ամեն օր թիրախավորում են միլիոնավոր օգտատերերի:

2022 թվականի ծպտյալ խարդախություններ և հաքեր. Արագ փաստեր

Համաձայն բազմաթիվ կիբերսեկի զեկույցների՝ 11 թվականի առաջին 2022 ամիսներին հաքերներին և խարդախներին հաջողվել է գողանալ աննախադեպ գումար՝ 4.2 միլիարդ դոլար կրիպտոարժույթ, ինչը 37%-ով ավելի է, քան 2021 թվականին, երբ հիմնական կրիպտոները 2x-3 անգամ ավելի թանկ էին:

• Ամենամեծ հարձակումները իրականացվել են խաչաձեւ շղթայական արձանագրությունների դեմ՝ Axie Infinity-ի կամուրջ մեխանիզմի Ronin-ը և բազմապրոթոկոլային էկոհամակարգի Wormhole-ը:
• Terra (LUNA) էկոհամակարգի, դրա հիմնական DeFi Anchor Protocol-ի (ANC) և ԱՄՆ դոլարով ամրագրված TerraUSD (UST) էկոհամակարգի փլուզումները նպաստել են անկման անկման 2-րդ եռամսյակի, 4թ. փուլին:
• Այժմ չգործող կրիպտո փոխանակման FTX-ի և առևտրային Alameda Research ֆիրմայի շուրջ տեղի ունեցած դրաման 2022 թվականի ընթացքում կենտրոնացված ծառայության ամենամեծ փլուզումն էր:
• Չնայած խոշորագույն հաքերներին, որոնք լայնորեն քննարկվում են ԶԼՄ-ներում, կրիպտո-խաբեությունների ճնշող մեծամասնությունը կազմակերպվում է հին մեթոդների միջոցով՝ կեղծ օդանավեր, վնասակար «վերականգնման ծրագրեր», խարդախության արբիտրաժային սխեմաներ և այլն:
• Մի շարք խոշոր հաքերային հարձակումներ, թվում էր, սպիտակ գլխարկի գործողություններ են. հարձակվողները վերադարձրել են գողացված գումարները՝ տպավորիչ սխալների համար պարգևների դիմաց:
• Բոլոր BEP-12 նշանների գրեթե 20%-ը և ERC-8 նշանների 20%-ը խարդախ են. Օրական 350 նոր խաբեություն է գործարկվում.

Այս վերանայման մեջ մենք կանդրադառնանք նպատակաուղղված խարդախություններին և նախագծերին, որոնք ի սկզբանե օրինական էին որպես «խարդախություններ», մինչդեռ «հակերը» երրորդ կողմի հարձակումներն են օրինական նախագծերի վրա, որոնք իրականացվում են առանց «ներքին աշխատանքի» իրադարձությունների:

2022 թվականի լավագույն կրիպտո խաբեությունները և փլուզումները

2022 թվականին Bitcoin-ը (BTC), Ethereum-ը (ETH) և բոլոր հիմնական կրիպտոարժույթները կորցրեցին իրենց ATH-ից ավելի քան 70-80%-ով, մինչդեռ տուժած հատվածների մեծ մասում՝ մետավերս թոքեններ, GameFi տոկեներ, Solana (SOL) էկոհամակարգ, միջին կորուստը գերազանցում է 90-ը: %: Որոշ կրիպտո մայորներ չկարողացան գոյատևել նման ցավալի անկումից:

Terra (LUNA)/Terra USD (UST)

EVM-ի հետ համատեղելի Terra (LUNA) խելացի պայմանագրային պլատֆորմը 2021 թվականի ամենաբարձրացված Ethereum (ETH) մարդասպաններից էր: Այնուամենայնիվ, դրա TVL-ի առյուծի բաժինը կենտրոնացած էր Anchor Protocol-ի (ANC) վրա՝ պարզ բերքատվության գյուղատնտեսական մեքենայի վրա, որն առաջարկում էր 19%: APY՝ Terra USD-ով (UST) ավանդների համար՝ Terra-ի այժմ չգործող ԱՄՆ դոլարով ամրացված stablecoin-ը: Ընդհանուր առմամբ, 20 թվականի 1-ին եռամսյակում խարիսխում (ANC) փակվել է ավելի քան 2022 միլիարդ դոլարի համարժեք գումար:

Այնուամենայնիվ, 2022 թվականի մայիսի սկզբին ինչ-որ մեկը սկսեց ագրեսիվ կերպով UST ուղարկել Curve Finance (CRV) DeFi-ի լողավազաններ և փոխանակել նշանները USD Coin-ով (USDC): UST կորցրեց իր կեռը: Terraform Labs-ը և նրա գործադիր տնօրեն Դո Կվոնը սկսեցին իրացվելիություն ներարկել UST/LUNA մեխանիզմին: Այնուամենայնիվ, հսկայական կապիտալի շնորհիվ և՛ LUNA-ն, և՛ UST-ն իջել են գրեթե զրոյական արժեքների: Terra (LUNA) բլոկչեյնը վերջնականապես դադարեցվեց:

Ինչպես նախկինում լուսաբանվել է U.Today-ում, հետազոտողները բացահայտեցին, որ հենց Terraform Labs-ն է նախաձեռնել փլուզումը. UST-ի զանգվածային փոխանցումները թույլատրվել են Do Kwon-ի կողմից: Terra-ի հիմնադիրը իբր վազել է Սերբիա և փորձում է այնտեղ կանխիկացնել իր բիթքոյնները (BTC):

Երեք նետաձիգ կապիտալ

Երեք Arrows Capital (3AC)-ը, որը գործարկվել է Կոլումբիայի համալսարանի շրջանավարտների և Credit Suisse-ի վետերանների կողմից Սու Չժուի և Քայլ Դեյվիսի կողմից եղել է ամենաազդեցիկ կրիպտո հեջ-ֆոնդերից մեկը: Այն կուտակել է ավելի քան 20 միլիարդ ԱՄՆ դոլար AUM-ում Ethereum (ETH), Ավալանշ (AVAX), Solana (SOL) և այլնի վաղ ներդրող լինելու շնորհիվ:

Այնուամենայնիվ, փլուզված LUNA-ն 3AC պորտֆելի առանցքային տարրերից մեկն էր: Թիմը ներդրել է ավելի քան 600 միլիոն դոլար Terra-ում (LUNA). այս հսկայական մասնաբաժինը ջնջվել է LUNA/UST-ի փլուզումից երկու շաբաթվա ընթացքում:

16 թվականի հունիսի 2022-ին FT-ն հայտարարեց, որ 3AC-ը չի կարողացել բավարարել իր մարժա պահանջները Terra's Anchor Protocol-ում կորուստների պատճառով: Ընկերությունը նաև ստորջրյա դիրքերում էր Staked Ether-ում (stETH)՝ Lido Finance (LDO) DeFi-ում և Grayscale Bitcoin Trust-ում (GBTC): Հունիսին նա չկարողացավ մարել կրիպտո հսկա «Վոյաջեր»-ին տրված վարկը: Հուլիսի վերջին ընկերությունը լուծարվեց BVI դատարանի կողմից, մինչդեռ 3AC-ի ղեկավարությունը սնանկության դիմում ներկայացրեց: Ընդհանուր առմամբ, 20AC-ում 3 ներդրողներ կորցրել են ավելի քան 3.5 միլիարդ դոլար:

Ուղեվոր

ԱՄՆ-ում գրանցված վարկատու Voyager-ը նույնպես զոհ դարձավ ռիսկերի վատ կառավարմանը՝ այն տրամադրեց 650 միլիոն դոլարի չապահովված վարկ Three Arrows Capital-ին, մինչդեռ նրա զուտ AUM-ը կազմում էր գրեթե 5.9 միլիարդ դոլար: Պլատֆորմը պարծենում էր 3.5 միլիոն հաճախորդներով, որոնց 97%-ը ներդրել է 10,000 դոլարից պակաս:

Ընդհանուր առմամբ, Voyager-ը փլուզվեց այն պատճառով, որ նրա թիմն ընտրեց ռիսկային բիզնես ռազմավարություն. նա վարկեր էր առաջարկում բազմաթիվ առևտրային ծառայություններին և կրիպտոարժույթների անհատ թրեյդերներին: Երբ վարկատուները սկսեցին զանգվածաբար հանել իրենց գումարները, հուլիսի սկզբին Voyager-ը սառեցրեց հաճախորդների միջոցները: Մի քանի օր անց այն սնանկության պաշտպանության հայց է ներկայացրել Նյու Յորքում:

Քանի որ հարթակը կենտրոնացած էր փոքր մանրածախ հաճախորդների վրա, դրա փլուզումն ամենացավալին էր կրիպտոարժույթի սիրահարների համար:

Celsius

Celsius-ն, ըստ էության, առաջին ընկերությունն էր, որն ազդարարեց իր խնդիրների մասին. 2022 թվականի ապրիլին պլատֆորմը հայտարարեց, որ կալանքի տակ է պահելու ոչ հավատարմագրված ներդրողների բոլոր ակտիվները. հետևաբար, հաճախորդների այս մասը չկարողացավ ներարկել նոր իրացվելիություն և ստանալ պարգևներ:

2022 թվականի մայիսին, վախենալով UST-ից և Terra-ից, օգտատերերը սկսեցին գումար տեղափոխել Ցելսիուսի արձանագրությունից: 12 թվականի հունիսի 2022-ին Ցելսիուսը սառեցրել է 1.7 միլիոն հաճախորդների (հիմնականում մանրածախ ներդրողների) միջոցները։ Ինչպես Voyager-ը, այն սնանկության դիմում ներկայացրեց հուլիսի սկզբին:

14 թվականի հուլիսի 2022-ին Celsius-ի իրավախորհրդատու Kirkland & Ellis-ը կիսվել է, որ պլատֆորմի ղեկավարները տեղեկացվել են դրա հաշվեկշռում 1.3 միլիարդ դոլար արժողությամբ անցքի մասին:

FTX

Sam Bankman-Fried-ի կրիպտոարժույթների փոխանակման FTX բորսայի և դրա հետ կապված կրիպտո ներդրումային ընկերության՝ Alameda Research-ի փլուզումը Web3-ի ամենազարմանալին դրամա էր. SBF-ն և նրա թիմը փորձեցին հսկայական վերահսկողություն ձեռք բերել արդյունաբերության վրա՝ ստորագրելով տասնյակ համագործակցություններ՝ հայտնվելով Forbes-ի շապիկներին և այսպես շարունակ։

Այնուամենայնիվ, Alameda Research-ի հաշվեկշիռը մեծապես կախված էր FTX Token-ից (FTT)՝ FTX-ի բնիկ կրիպտոարժույթից: Ահա թե ինչու ամբողջ համակարգը փլուզվեց, երբ Binance-ի գործադիր տնօրեն Չանգպենգ Չժաոն սկսեց ագրեսիվորեն վաճառել FTT (ավելի քան 500 միլիոն դոլարին համարժեք գումար թողարկվեց CZ-ի կողմից):

Ինչպես բոլոր նմանատիպ դեպքերում, ներդրողները սկսեցին զանգվածաբար դուրս բերել իրենց գումարները FTX-ից: Պլատֆորմը դադարեցրեց դուրսբերումները, SBF-ը հեռացավ գլխավոր տնօրենի պաշտոնից և սնանկության դիմում ներկայացրեց: Միևնույն ժամանակ հայտնի դարձավ, որ նա օգտագործում է ներդրողների և հաճախորդների փողերը իր սեփական՝ Alameda Research ընկերությունում։ Սարսափելի սխալ կառավարման պատճառով Alameda Research-ը լավ ջրի տակ էր: SBF-ն ձերբակալվել և գրավի դիմաց ազատ է արձակվել, մինչդեռ FTX-ի փլուզման հետևանքով հասցված վնասը հասել է 9 միլիարդ դոլարին համարժեք գումարի:

Կրիպտո հաքերները 2022 թվականին

Համաձայն դրա վերլուծություն Merkle Science-ի կիբերանվտանգության փորձագետների կողմից, միջցանցային կամուրջները հատկապես խոցելի են շահագործումների նկատմամբ՝ իրենց տեխնիկական բարդության և խիստ փորձարարական բնույթի պատճառով.

Շղթաների միջև կամուրջները հաճախ ավելի ենթակա են շահագործման, քանի որ դրանք պահանջում են ավելի շատ փոխազդեցություններ և պայմանագրերի հաստատումներ, քան մյուս արձանագրությունները: Բացի այդ, կամուրջները ավելի ենթակա են հարձակումների, քանի որ դրանք գործարկվում են չաուդիտի ենթարկված համակարգչային կոդերով: Ավելին, անհայտ են նաև վավերացնողների/հանգույցների ինքնությունը, որոնք իրականացնում են գործարքները

2022 թվականին կամուրջները հարձակումների հիմնական թիրախն էին, մինչդեռ այլ DeFi մեխանիզմները նույնպես շահագործվեցին հաքերների կողմից։

Ողնաշար

3 թվականի փետրվարի 2022-ին հաքերները հարձակվեցին Wormhole կամուրջի վրա, որը նախատեսված էր տարասեռ բլոկչեյնների միջև արժեքի անխափան փոխանցումը հեշտացնելու համար: Կոդի խոցելիության պատճառով նրանց հաջողվել է թողարկել 120,000 Փաթաթված Եթեր (wETH) Solana (SOL) բլոկչեյնում՝ առանց Ethereum-ի (ETH) համապատասխան գրավ դնելու:

Հակումը կարող է հանգեցնել ցանկացած DeFi հարթակի անվճարունակության, որը պատրաստ կլինի որպես գրավ ընդունել 120,000 WETH (օդից տպված): Բարեբախտաբար, վատագույն սցենարը տեղի չունեցավ։

Jump Crypto-ն՝ Wormhole ծառայության մայր ընկերությունը, կրեց բոլոր կորուստները. նրանք անմիջապես համալրեցին 120,000 Եթերներ արձանագրությունների իրացվելիության լողավազաններում:

Ronin

Մարտի 23-ին Հյուսիսային Կորեայի հաքերները Lazarus-ից՝ տխրահռչակ պետության կողմից աջակցվող կիբեր հանցավոր խմբավորումից, հարձակվել են Ronin ցանցի վրա: Ronin-ը Ethereum-ի նմանվող կողային շղթա է, որը մշակվել է հատուկ Axie Infinity-ի՝ առաջնակարգ GameFi-ի համար: Հարձակվողները Ռոնինին զրկել են հսկայական 568 միլիոն դոլարից:

Հաքերներին հաջողվել է վերահսկողություն հաստատել Ronin Bridge-ի ինը վավերացնող ստորագրություններից հինգի վրա: Այնուհետև նրանք թույլատրեցին երկու գործարք՝ 173,600 Եթեր (ETH) և 25.5 միլիոն ԱՄՆ դոլարի մետաղադրամ (USDC): Այս հրեշավոր թալանից ավելի քան 445 միլիոն դոլար է լվացվել Tornado Cash կրիպտո խառնիչի միջոցով:

Axie Infinity-ի ծրագրավորող Sky Mavis-ը լրացուցիչ ֆինանսավորում է հավաքել, պատվիրել է անվտանգության ևս մեկ աուդիտ CertiK-ի կողմից և մեծացրել է multisig շեմը 5/9-ից մինչև 8/9:

Քոչվոր

2022 թվականի օգոստոսին Nomad-ը՝ բազմաշղթայական կամուրջների մեխանիզմը, որը փոխադրում է արժեքը Ավալանշի (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) և այլ բլոկչեյնների միջև, 190.7 միլիոն դոլար արժողությամբ ծպտյալ արտահոսք է ստացել: Հարձակվողներին հաջողվել է օգտագործել խելացի պայմանագրի դիզայնի խոցելիությունը. արձանագրությունը թույլ է տվել օգտատերերին միջոցներ հանել թիրախային բլոկչեյնից՝ առանց ստուգելու, թե արդյոք դրանք համարժեք են ի սկզբանե տեղակայված գումարին:

12/ tl;dr սովորական արդիականացումը նշում էր զրոյական հեշը որպես վավեր արմատ, ինչը թույլ էր տալիս հաղորդագրությունները կեղծել Nomad-ում: Հարձակվողները չարաշահել են դա՝ պատճենելու/տեղադրելու գործարքները և արագորեն ցամաքեցրել են կամուրջը՝ կատաղած բոլորի համար անվճար:

— սա այժմ shitpost հաշիվ է (@samczsun) Օգոստոս 2, 2022

Պարզ ասած, կանոնավոր թարմացումից հետո օգտատերերը կարողացան 1 ETH ավանդ դնել Ethereum-ում (ETH) և խնդրել 100 Ethereum (ETH) համարժեք դուրսբերում Ավալանշից (AVAX):

Բանն այն է, որ Web3-ի տեխնոլոգիային տիրապետող յուրաքանչյուր էնտուզիաստ կարողացել է կրկնօրինակել այս հարձակման վեկտորը և գումարներ գողանալ Nomad-ից՝ նախքան կարկատակի թողարկումը: Որպես այդպիսին, Ethereum (ETH) շատ ծրագրավորողներ միջոցներ են հանել միայն Nomad թիմին ուղարկելու համար. գրեթե 40 միլիոն դոլար հետ է ուղարկվել:

Beanstalk 

16 թվականի ապրիլի 2022-ին Ethereum-ի վրա հիմնված stablecoin նախագիծը Beanstalk (BEAN) թիրախ էր դարձել բարդ ֆլեշ վարկային հարձակման թիրախում: Մասնավորապես, չարագործներին հաջողվել է արագ վարկ ստանալ Aave Finance-ից (AAVE) և գնել կառավարման նշաններ, որոնք անհրաժեշտ են արձանագրությունների շղթայական հանրաքվեների վրա վերահսկողությունը զավթելու համար:

Այնուհետև հարձակվողները ստացել են քվեարկության գերակշիռ մեծամասնություն և հաստատել գումարի փոխանցում իրենց հաշվին։ Երբ 180 միլիոն դոլար փոխանցեցին, անմիջապես մարեցին ֆլեշ վարկը; զուտ շահույթը գերազանցել է 80 մլն դոլարը։

Ձմեռային համր

2022 թվականի սեպտեմբերին Wintermute-ը՝ շուկայի ստեղծման ամենամեծ հարթակներից մեկը, իր դրամապանակները 160 միլիոն դոլարով ցամաքեցին: Հարձակվողները բացահայտեցին, որ Wintermute-ի որոշ առանցքային դրամապանակներ ստեղծվել են Profanity-ով, որը Ethereum (ETH) ցանցի «ունայնության հասցեների» գեներատոր է: Նման ծրագրերը կարող են ստեղծել կրիպտո դրամապանակներ մարդու կողմից ընթեռնելի հասցեներով, օրինակ. 0xJohnDoe1111… եւ այլն:

Profanity-ի դիզայնի խոցելիության պատճառով հարձակվողներին հաջողվել է կոպիտ կերպով պարտադրել ունայնության հասցեները և վերականգնել անձնական բանալիները: Հարձակումը հնարավոր դարձավ չարագործների կողմից օգտագործված զգալի հաշվողական ռեսուրսների շնորհիվ:

Բոնուս. Մի ընկեք այս երկարատև խարդախությունների վրա

Բարդ սցենարների կողքին, որոնք ներառում են 1 միլիարդ դոլար արժողությամբ վարկեր, հյուսիսկորեացի հաքերները և կոպիտ պարտադրող, շատ պարզունակ խարդախության արշավների տպավորիչ սարքավորումները հայտնվում են այստեղ և այնտեղ: Երեք հարձակման ձևավորում շատ տարածված է կրիպտոյում 2022 թվականի դրությամբ.

1. Կեղծ օդային կաթիլներ. Այս խարդախությունը գործարկելու համար չարագործները կամ կազմակերպում են YouTube-ի գովազդային արշավ, կամ տեղադրում են իրենց գովազդը Twitter-ում: Այնուհետև նրանք հայտարարում են, որ համացանցային հայտնի անձը (Սնուփ Դոգ), տեխնոլոգիական առաջատար ձեռնարկատերը (Վիտալիկ Բուտերին կամ Իլոն Մասկ) կամ նույնիսկ քաղաքական գործիչը (Դոնալդ Թրամփ) օդափոխում է կրիպտոարժույթը: Բոլոր նրանք, ովքեր պատրաստ են պահանջել իրենց բոնուսները, պետք է կամ ուղարկեն նախնական ավանդ (որը, իբր, կվերադարձվի 100% շահույթով) կամ իրենց անձնական բանալիները: Ավելորդ է ասել, որ երկու խմբերն էլ կկորցնեն իրենց ավանդները կամ դրամապանակից ողջ գումարը:

Ինչպես պաշտպանել ինքներդԵրբեք մի ուղարկեք ձեր գումարը «օդափոխման կազմակերպիչներին» կամ մի բացահայտեք ձեր անձնական բանալիները կամ հիմնական արտահայտությունները:

2. Ձեռագործ MEV բոտեր. Առավելագույն արդյունահանվող արժեքը (MEV) առավելագույն պարգևն է, որը կարող են ստանալ Ethereum (ETH) ցանցի մասնակիցները բլոկի վավերացման գործընթացում իրենց ներդրման համար: Բարդ տեխնիկան թույլ է տալիս մեզ օգուտ քաղել MEV-ի օպտիմալացումից: Խաբեբաները տեղադրում են վիդեո կամ տեքստային ձեռնարկներ այն մասին, թե ինչպես ստեղծել ձեր սեփական «MEV բոտերը»՝ Ethereum (ETH) դրամապանակներից օգտվելու և դրամական միջոցները արտահոսելու համար:

Ինչպես պաշտպանել ինքներդԽուսափեք «ակնթարթային» MEV բոտերից YouTube ձեռնարկներից:

3. Օգնության են գալիս խաբեբաները. Քանի որ 2022 թվականը, անկասկած, հաքերների տարի է, շատ կրիպտո օգտատերեր ստուգում են, թե արդյոք իրենց սիրելի բլոկչեյնները կոտրված են: Խաբեբաները կեղծ հայտարարություններ են տեղադրում այս կամ այն ​​նախագծի կոտրման մասին և գործարկում կեղծ «փոխհատուցման» ծրագրեր։ Փոխհատուցմամբ հետաքրքրված բոլորին խնդրում ենք ուղարկել իրենց սկզբնական արտահայտությունները խաբեբաներին:

Ինչպես պաշտպանել ինքներդՍտուգեք միայն բլոկչեյնների պաշտոնական մեդիա ալիքներում հաքերների մասին լուրերը:

Փակող մտքերը

2022 թվականին փլուզումների մեծամասնությունը պայմանավորված էր կրիպտոարժույթների գների ցավալի անկմամբ, ռիսկերի վատ կառավարմամբ և կենտրոնացված կրիպտոարժույթի արտադրանքի սեփականատերերի ագահությամբ: Ահա թե ինչու ապակենտրոնացումը մեծ խնդիր է. DAO-ի ամբոխի իմաստությունը կկանխի FTX/Celsius/Voyager մասշտաբի փլուզումները:

Միևնույն ժամանակ, շղթայական արտադրանքները պետք է հոգ տանեն անվտանգության աուդիտների, թարմացումների և մասնավոր ինքնաթիռների կառավարման մասին: