Laut der TRM Labs war 2022 ein Rekordjahr für Krypto-Hacks, mit gestohlenen Kryptos im Wert von etwa 3,7 Milliarden US-Dollar. DeFi Angriffe waren weit verbreitet, wobei etwa 80 % oder 3 Milliarden US-Dollar DeFi Opfer betrafen.
Während wir optimistisch in das Jahr 2023 gehen, was das Versprechen einer aufstrebenden Technologie angeht, müssen wir zurückblicken, um aus den Herausforderungen und Rückschlägen zu lernen, denen wir im Nachhinein gegenüberstanden.
Krypto-Hack der Ronin Bridge-Infrastruktur
Axie Infinity Ronin Bridge Krypto-Hack im März führt die Liste mit 612 Millionen US-Dollar an. Ronin Bridge ist eine Ethereum -Seitenkette für das Axie Infinity Play-to-Earn-Spiel.
Die Krypto-Hacker, die heute als nordkoreanische dent namens Lazarus identifiziert werden, erhielten Zugriff auf neun private Schlüssel der Ronin-Bridge-Transaktionsprüfer. Mit den Schlüsseln genehmigten sie große Transaktionen, eine für 173.600 ETH und die andere für 25,5 Millionen USDC.
Hacker haben die Krypto zu Tornado cash , einem Open-Source-Krypto-Tumbler, und mehreren anderen Börsen verschoben.
Gemeinsame Bemühungen der Community, Binance , Chainalysis und Strafverfolgungsbehörden halfen dabei trac einige der Gelder aufzuspüren.
Cross-Bridge-Code-Exploit von BSC Beacon
Im Oktober nutzten Hacker eine Schwachstelle im Cross-Bridge-Code von BSC Beacon aus, um Krypto im Wert von 570 Millionen US-Dollar zu stehlen. Die Brücke ist ein kritischer Bestandteil der BNB -Kette.
Die BSC-Beacon-Kette, bezeichnet als Token Hub, ist eine kettenübergreifende Brücke zwischen der BNB -Beacon-Kette (BEP2) und der BNB -Kette (BEP20/BSC).
Der Angriff funktionierte durch die Fälschung kryptografischer Beweise namens Merkle Proof, die Daten wie Transaktionen als gültig und in der Blockchain . Der Krypto-Hacker benutzte den falschen Merkle-Beweis, um Gelder von der BSC Beacon Crossbridge zu anderen Ketten zu transferieren.
Tether setzte die Adresse des Angreifers auf die Blockliste, während über 7 Millionen US-Dollar, die von der BNB -Kette bewegt wurden, effektiv eingefroren wurden.
Wurmloch-Bridge-Code-Exploit
Krypto-Hacker nutzten im Februar den Code von Wormhole in Krypto im Wert von 326 Millionen US-Dollar aus. Ein Wurmloch ist eine symbolische Brücke zwischen Solana und Ethereum .
Der Krypto-Hacker verwendete eine veraltete/unsichere Funktion, um die Signaturüberprüfung zu umgehen.
Ein veralteter Code kann mit einer Haftnotiz verglichen werden, auf der steht: „Ich werde dies in Zukunft löschen.“ Sie können den Code jetzt nicht löschen, da einige Verbraucher ihn immer noch verwenden.
Eine Kette von Delegationen zur Signaturüberprüfung ermöglichte den Krypto-Hack. Die veraltete Funktion überprüfte keine Adressen, was die Validierung einer gefälschten Signatur ermöglichte.
Laut Cyberanalysten hätten Entwickler den Angriff vermeiden können, wenn sie „sichere Codierung“ praktiziert hätten.
Nomad Bridge-Code-Exploit
Hacker nutzten im August die Kryptobrücke Nomad von Krypto im Wert von 190 Millionen US-Dollar aus. Der Hacker hat praktisch alle Gelder im Protokoll aufgebraucht – die zunehmenden Exploits stellten die Sicherheit von Cross-Chain-Token-Bridges in Frage.
Bridges funktionieren, indem sie Token in einem Smart trac in einer Kette sperren und sie dann in einem „verpackten“ Format in einer anderen Kette neu ausgeben. Im Fall von trac sabotierte der Angriff den Vertrag und machte seine verpackten Token wertlos.
Nomad hat tatsächlich ein Kopfgeld ausgesetzt, in dem der Hacker aufgefordert wird, 10 % der Gelder zu behalten und keine rechtlichen Schritte zu unternehmen, sowie eine Bonus-Whitehat- NFT . Der Angreifer gab schließlich nur 36 Millionen Dollar zurück.
Angriff auf das Beanstalk-Protokoll
An einem schicksalhaften Wochenende im April nutzte ein Hacker ein Flash-Darlehen, um 182 Millionen Dollar an ETH, BEAN-Stablecoin und anderen Vermögenswerten aus dem Beanstalk-Stablecoin-Protokoll zu stehlen.
Ein Flash-Darlehen ist eine Funktion, die es Benutzern ermöglicht, einen Vermögenswert zu leihen, einen schnellen Handel zu tätigen und ihn dann in einer einzigen komplexen Transaktion über mehrere Protokolle hinweg zurückzuzahlen.
Der Angreifer präsentierte der Beanstalk-DAO über die Notfall-Commit-Funktion zwei böswillige Vorschläge, die eine ⅔-Abstimmung erforderten und dann nach 24 Stunden umgesetzt wurden.
Der Angreifer schelmisch die Flash-Darlehensfunktion, um 79 % der Kontrolle zu erlangen und sein Angebot weiterzugeben.
Der Angreifer schickte die Gelder im Protokoll zur Rückzahlung seines Flash-Darlehens und den Rest an die Adresse des ukrainischen Fonds. Am Ende machte er einen Gewinn von 76 Millionen Dollar.
Mehr Mega-Krypto-Hacks
Andere Mega-Krypto-Hacks sind der 160-Millionen-Dollar-Infrastrukturangriff von Wintermute im April, der 113-Millionen-Dollar-Infrastrukturangriff von Maiar/Elrond im Juni, der 112-Millionen-Dollar-Infrastrukturangriff von Mango Markets im Oktober und der 100-Millionen-Dollar-Infrastrukturangriff von Harmony Bridge im Juni.
