Обзор: «мега» криптохаки 2022 года

Согласно TRM Labs, 2022 год стал рекордным по количеству взломов криптовалютных активов: было украдено криптовалюты на сумму около 3,7 миллиарда долларов. DeFi примерно 80% или 3 миллиарда долларов DeFi пострадало

Вступая в 2023 год с оптимизмом и верой в перспективы зарождающихся технологий, мы должны оглянуться назад и извлечь уроки из трудностей и неудач, с которыми мы столкнулись, оглядываясь назад.

Взлом криптовалютной инфраструктуры моста Ронин

Axie Infinity Взлом криптовалютного моста Ronin в в марте возглавил список с результатом в 612 миллионов долларов. Ronin Bridge — это Ethereum для игры Axie Infinity, в которой можно зарабатывать деньги, играя в игру.

Криптохакеры,dentсегодня как северокорейская киберпреступная группа Lazarus, получили доступ к девяти закрытым ключам валидаторов транзакций моста Ronin. Используя эти ключи, они одобрили крупные транзакции: одну на 173 600 ETH, а другую на 25,5 миллионов USDC.

Хакеры переместили криптовалюту на Tornado cash, криптомукс-счетчик с открытым исходным кодом, а также на несколько других бирж. 

Совместными усилиями сообщества, Binance, Chainalysis и правоохранительных органов удалось tracчасть средств.

эксплойт кода кросс-моста BSC Beacon

В октябре хакеры воспользовались уязвимостью в коде кросс-моста BSC Beacon, чтобы украсть криптовалюту на сумму 570 миллионов долларов. Этот мост является критически важным компонентом блокчейна BNB .

Цепочка BSC Beacon, называемая Token Hub, представляет собой межцепочечный мост между цепочкой BNB Beacon (BEP2) и цепочкой BNB (BEP20/BSC).

Атака осуществлялась путем фальсификации криптографических доказательств, называемых доказательствами Меркла, которые подтверждали действительность данных, таких как транзакции, и их включение в блокчейн. Криптограф использовал поддельное доказательство Меркла для перевода средств из кросс-моста BSC Beacon в другие блокчейны. 

Компания Tether внесла адрес злоумышленника в черный список, а более 7 миллионов долларов, переведенных из блокчейна BNB , были фактически заморожены.

эксплойт кода моста-червоточины

В феврале криптохакеры взломали код «червоточины», получив доступ к криптовалюте на сумму 326 миллионов долларов. «Червоточина» — это мост из токенов между Solana и Ethereum.

Криптограф использовал устаревшую/совершенно небезопасную функцию для обхода проверки подписи.

Устаревший код можно сравнить со стикером с надписью: «Я удалю это в будущем». Сейчас удалить код невозможно, потому что некоторые пользователи всё ещё им пользуются.

Цепочка делегирования проверки подписи позволила осуществить криптографический взлом. Устаревшая функция не проверяла адреса, что позволило подтвердить поддельную подпись.

По мнению кибераналитиков, разработчики могли бы избежать атаки, если бы придерживались принципов «безопасного программирования»

эксплойт кода моста Nomad

В августе хакеры взломали криптомост Nomad, украв криптовалюту на сумму 190 миллионов долларов. Хакеры фактически вывели все средства из протокола — рост числа взломов поставил под сомнение безопасность кроссчейн-токеновых мостов.

Мосты работают путем блокировки токенов в смарт-tracв одной цепочке, а затем их перевыпуска в «обернутом» формате в другой цепочке. В случае с Nomad атака саботировалаtrac, сделав его обернутые токены бесполезными.

По сути, компания Nomad назначила награду, потребовав от хакера оставить себе 10% средств и избежать каких-либо юридических последствий, а также получить в качестве бонуса NFT. В итоге злоумышленник вернул всего 36 миллионов долларов.

атака по протоколу «Бобовый стебель»

В один из злополучных выходных апреля хакер, используя мгновенный кредит, украл 182 миллиона долларов в ETH, стейблкоине BEAN и других активах из протокола Beanstalk.

Мгновенный заем — это функция, позволяющая пользователям заимствовать актив, совершить быструю сделку, а затем погасить его в рамках одной сложной транзакции, охватывающей несколько протоколов.

Злоумышленник представил два вредоносных предложения в Beanstalk DAO через функцию экстренного подтверждения, для принятия которых требовалось ⅔ голосов, после чего они были реализованы через 24 часа. 

Злоумышленник злонамеренно использовал функцию мгновенного кредитования, чтобы получить 79% контроля и продвинуть свое предложение.

Злоумышленник перевел средства по протоколу для погашения своего экстренного кредита, а остальную сумму — на адрес украинского фонда. В итоге он получил прибыль в размере 76 миллионов долларов.

Ещё больше масштабных криптохаков

К другим крупным хакерским атакам на криптовалюты относятся атака на инфраструктуру Wintermute на сумму 160 миллионов долларов в апреле, атака на инфраструктуру Maiar/Elrond на сумму 113 миллионов долларов в июне, атака на инфраструктуру Mango Markets на сумму 112 миллионов долларов в октябре и атака на инфраструктуру Harmony Bridge на сумму 100 миллионов долларов в июне.