TRMによると、2022年は暗号通貨ハッキングの記録的な年となり、約37億ドル相当の暗号通貨が盗まれた。 DeFi攻撃が蔓延しており、その約80%、つまり30億ドルにDeFi被害者が関与していました。
初期テクノロジーの将来性について楽観的に 2023 年を迎えるにあたって、私たちは過去を振り返って、直面した課題や挫折から学ぶ必要があります。
Ronin Bridge インフラストラクチャの暗号ハッキング
Axie Infinity Roninブリッジ暗号ハッキングが6億1,200万ドルでリストのトップとなった。 Ronin ブリッジは、 Axie Infinity Play-to-Earn ゲーム用のEthereum
今日私がdent暗号ハッカーは、Lazarus と呼ばれる北朝鮮のサイバー犯罪グループであり、Ronin ブリッジのトランザクション検証者の 9 つの秘密鍵にアクセスしました。 彼らはキーを使用して、1 つは 173,600 ETH、もう 1 つは 2,550 万 USDC という大規模な取引を承認しました。
ハッカーは暗号通貨を、オープンソースの暗号タンブラーである Tornadocash、およびその他のいくつかの取引所に移動させました。
コミュニティ、Binance、チェイナリシス、法執行機関、資金の一部を追跡するtrac
BSC ビーコンのクロスブリッジ コード悪用
10月、ハッカーはBSCビーコンのクロスブリッジコードの脆弱性を悪用し、5億7,000万ドル相当の暗号通貨を盗みました。 ブリッジはBNBチェーンの重要なコンポーネントです。
トークン ハブと呼ばれる BSC ビーコン チェーンは、 BNBビーコン チェーン (BEP2) とBNBチェーン (BEP20/BSC) の間のクロスチェーン ブリッジです。
この攻撃は、トランザクションなどのデータが有効でブロックチェーン暗号証明を改ざんする。 暗号ハッカーは、偽のマークル証明を使用して、BSC ビーコン クロスブリッジから他のチェーンに資金を転送しました。
テザーは攻撃者のアドレスをブロックリストに登録し、 BNBチェーンから送金された700万ドル以上が事実上凍結された。
ワームホール ブリッジ コードのエクスプロイト
暗号ハッカーは2月にワームホールのコードを悪用し、3億2600万ドル相当の暗号資産を流出させた。 ワームホールは、 SolanaとEthereumの間のトークン ブリッジです。
暗号ハッカーは、廃止された/完全に安全ではない関数を使用して、署名検証をバイパスしました。
非推奨のコードは、「将来これを削除します」という付箋にたとえることができます。 一部の消費者がまだコードを使用しているため、現在このコードを削除することはできません。
署名検証の一連の委任により、暗号ハッキングが可能になりました。 非推奨の関数ではアドレスがチェックされず、偽造された署名の検証が可能でした。
サイバーアナリストによると、開発者が「安全なコーディング」を実践していれば攻撃を回避できた可能性があるという。
Nomad ブリッジ コードのエクスプロイト
ハッカーは 8 月に Nomad 暗号ブリッジを悪用し、1 億 9,000 万ドル相当の暗号通貨を盗み出しました。 ハッカーは事実上、プロトコル内のすべての資金を使い果たしました。エクスプロイトの増加により、クロスチェーン トークン ブリッジのセキュリティに疑問が生じました。
ブリッジは、1 つのチェーンのスマートtracにトークンをロックし、別のチェーンで「ラップされた」形式でトークンを再発行することによって機能します。 Nomad の場合、攻撃によりtrac妨害され、ラップされたトークンが無価値になりました。
NFTを要求する報奨金を設定しました。 最終的に攻撃者が返還したのはわずか 3,600 万ドルのみでした。
Beanstalk プロトコル攻撃
4 月の運命の週末、ハッカーがフラッシュ ローンを利用して、Beanstalk ステーブルコイン プロトコルから 1 億 8,200 万ドルの ETH、BEAN ステーブルコイン、その他の資産を盗みました。
フラッシュ ローンは、ユーザーが資産を借り、迅速な取引を行い、複数のプロトコルにわたる単一の複雑なトランザクションで返済できるようにする機能です。
攻撃者は、緊急コミット機能を通じて Beanstalk DAO に 2 つの悪意のある提案を提示しました。これには 2/3 の投票が必要で、24 時間後に実装されました。
攻撃者はフラッシュ ローン機能を悪用し
攻撃者は、フラッシュローンを返済するためのプロトコルにある資金と残りをウクライナの基金のアドレスに送金しました。 最終的に、彼は 7,600 万ドルの利益を上げました。
さらなる巨大暗号ハッキング
その他の巨大暗号ハッキングには、4月のWintermuteの1億6,000万ドルのインフラストラクチャ攻撃、6月のMaiar/Elrondの1億1,300万ドルのインフラストラクチャ攻撃、10月のMango Marketsの1億1,200万ドルのインフラストラクチャ攻撃、6月のハーモニーブリッジの1億ドルのインフラストラクチャ攻撃が含まれます。