TRM 에 따르면 2022년은 약 37억 달러 상당의 암호화폐가 도난당한 암호화폐 해킹의 기록적인 해였습니다. DeFi DeFi 와 관련된 약 80% 또는 30억 달러로 널리 퍼졌습니다 .
초기 기술의 약속에 대해 낙관적인 2023년을 맞이하면서 뒤늦게 직면한 도전과 좌절로부터 배우기 위해 되돌아봐야 합니다.
Ronin Bridge 인프라 암호화 해킹
Axie Infinity Ronin 브리지 암호화 해킹은 3월에 6억 1,200만 달러로 1위를 차지했습니다. Ronin 브리지는 Axie Infinity 플레이 투 언 게임용 Ethereum
오늘날 Lazarus라는 북한 사이버 범죄 그룹으로 dent 된 암호화 해커는 Ronin 브리지 거래 유효성 검사기의 9개 개인 키에 액세스할 수 있었습니다. 키를 사용하여 하나는 173,600 ETH, 다른 하나는 2,550만 USDC의 대규모 트랜잭션을 승인했습니다.
해커들은 암호화폐를 토네이도 cash , 오픈소스 암호화폐 텀블러 및 기타 여러 거래소로 옮겼습니다.
커뮤니티, Binance , Chainalysis 및 법 집행 기관 일부 자금을 추적하는 데 trac
BSC Beacon 크로스 브리지 코드 익스플로잇
10월 해커는 BSC Beacon 크로스 브리지 코드의 취약점을 악용하여 5억 7천만 달러 상당의 암호화폐를 훔쳤습니다. 브리지는 BNB 체인의 중요한 구성 요소입니다.
토큰 허브라고 하는 BSC 비콘 체인은 BNB 비콘 체인(BEP2)과 BNB 체인(BEP20/BSC) 사이의 교차 체인 브리지입니다.
이 공격은 트랜잭션과 같은 데이터가 유효하고 블록체인 암호화 증명을 위조하여 . cyrpto 해커는 BSC Beacon 크로스 브리지에서 다른 체인으로 자금을 전송하기 위해 거짓 Merkle 증명을 사용했습니다.
Tether는 공격자의 주소를 차단했고 BNB 체인에서 이동한 700만 달러 이상은 사실상 동결되었습니다.
웜홀 브리지 코드 익스플로잇
암호화 해커는 2월에 3억 2,600만 달러 상당의 암호화폐 웜홀 코드를 악용했습니다. 웜홀은 Solana 나와 Ethereum 사이의 토큰 브리지입니다.
암호화 해커는 서명 확인을 우회하기 위해 더 이상 사용되지 않거나 완전히 안전하지 않은 기능을 사용했습니다.
더 이상 사용되지 않는 코드는 '앞으로 이 코드를 삭제하겠습니다.'라고 적힌 스티커 메모에 비유할 수 있습니다. 일부 소비자가 여전히 코드를 사용하고 있기 때문에 지금은 코드를 삭제할 수 없습니다.
일련의 서명 확인 위임이 암호화 해킹을 가능하게 했습니다. 더 이상 사용되지 않는 기능은 주소를 확인하지 않아 위조된 서명의 유효성을 검사할 수 있습니다.
사이버 분석가들에 따르면 개발자들이 '시큐어 코딩'을 연습했다면 공격을 피할 수 있었을 것이다.
Nomad 브리지 코드 익스플로잇
해커들은 8월에 1억 9천만 달러 상당의 암호화폐인 Nomad 암호화 브리지를 악용했습니다. 해커는 사실상 프로토콜의 모든 자금을 고갈시켰습니다. 익스플로잇이 증가하면서 교차 체인 토큰 브릿지의 보안에 의문이 생겼습니다.
브리지는 하나의 체인에서 스마트 trac 의 토큰을 잠근 다음 다른 체인에서 '래핑된' 형식으로 재발행하는 방식으로 작동합니다. Nomad의 경우 공격은 래핑된 토큰을 쓸모없게 만드는 trac 을 방해했습니다.
사실상 Nomad는 해커에게 자금의 10%를 유지하고 법적 조치와 보너스 화이트햇 NFT . 공격자는 결국 3,600만 달러만 반환했습니다.
빈스토크 프로토콜 공격
4월의 운명적인 주말에 한 해커가 플래시론을 사용하여 ETH, BEAN 스테이블코인 및 Beanstalk 스테이블코인 프로토콜의 기타 자산에서 1억 8,200만 달러를 훔쳤습니다.
플래시론은 사용자가 자산을 빌리고 빠른 거래를 한 다음 여러 프로토콜에 걸쳐 하나의 복잡한 트랜잭션으로 상환할 수 있는 기능입니다.
공격자는 긴급 커밋 기능을 통해 Beanstalk DAO에 2개의 악의적인 제안을 제시했으며, 이는 ⅔ 투표가 필요하고 24시간 후에 구현되었습니다.
공격자는 장난스럽게 플래시 대출 기능을 사용하여 79%의 통제권을 획득하고 그의 제안을 통과시켰습니다.
공격자는 프로토콜에 있는 자금을 보내 자신의 플래시 대출금을 갚고 나머지는 우크라이나 펀드 주소로 보냈습니다. 결국 그는 7600만 달러의 이익을 챙겼다.
더 많은 메가 암호화 해킹
다른 메가 크립토 해킹에는 4월 Wintermute의 1억 6천만 달러 인프라 공격, 6월 Maiar/Elrond의 1억 1300만 달러 인프라 공격, 10월 Mango Markets의 1억 1200만 달러 인프라 공격, 6월 Harmony bridge의 1억 달러 인프라 공격이 포함됩니다.
