" Это был неспокойный год для криптовалютной индустрии — рыночные цены резко упали, крипто-гиганты рухнули, а крипто-эксплойты и взломы унесли миллиарды у законных владельцев.
Не минуло еще и половины октября, когда Chainalysis объявила 2022 год «самым большим годом для хакерской активности».
По состоянию на 29 декабря в результате 10 крупнейших эксплойтов 2022 года из криптопротоколов было украдено 2,1 миллиарда долларов. Ниже перечислены эксплойты и взломы, ранжированные от самых маленьких до самых больших.
10. Эксплойт Beanstalk Farms — $76 млн
18 апреля протокол стейблкоина Beanstalk Farms подвергся эксплойту на сумму 76 миллионов долларов от злоумышленника, который использовал флэш-кредит для покупки токенов управления. Они использовались для передачи двух предложений, которые вставляли вредоносные смарт-контракты.
Первоначально считалось, что эксплойт унес около 182 миллионов долларов, поскольку Beanstalk был лишен всего своего залога, но в конце концов злоумышленнику удалось уйти только с половиной этой суммы.
9. Эксплойт моста Qubit Finance — $80 млн
Qubit Finance, протокол децентрализованных финансов (DeFi) в BNB Smart Chain, 28 января потерял BNB на сумму более 80 миллионов долларов в результате эксплойта моста.
Злоумышленник обманул смарт-контракт протокола, заставив его считать, что хакер внес залог, который позволил ему создать актив, представляющий собой мостовой эфир (ETH).
Он повторил эту атаку несколько раз и занял несколько криптовалют в обмен на необеспеченный мостовой ETH, истощая средства протокола.
8. Эксплойт Rari Fuse — $79,3 млн
Другой протокол DeFi под названием Rari Capital в ходе эксплоита 30 апреля потерял примерно 79,3 миллиона долларов.
Злоумышленник воспользовался уязвимостью повторного входа в смарт-контрактах пула ликвидности протокола Rari Fuse, заставив их вызывать функцию вредоносного контракта для опустошения пулов всей криптовалюты.
В сентябре Tribe DAO, в которую входят Rari Capital и другие протоколы DeFi, проголосовала за выплату компенсаций пострадавшим от взлома пользователям.
7. Взлом Harmony Bridge — $100 млн
В ходе еще одного взлома моста Horizon Bridge, который связывает Ethereum (ETH), Bitcoin (BTC) и BNB-Chain (BNB) с блокчейном Harmony (ONE), было украдено около 100 миллионов долларов в нескольких криптовалютах.
Криминалистическая компания Elliptic приписала взлом северокорейскому киберпреступному синдикату Lazarus Group, поскольку средства были отмыты аналогично другим известным атакам Lazarus.
Предполагается, что Lazarus нацелился на учетные данные сотрудников Harmony для входа в систему, взломав систему безопасности платформы и получив контроль над протоколом, прежде чем развернуть автоматические программы отмывания для перемещения их нечестно полученных доходов.
6. Эксплойт моста BNB Chain — $100 млн
Сеть BNB была приостановлена 6 октября из-за «нерегулярной активности» в сети, которая позже была раскрыта как эксплойт, который истощил около 100 миллионов долларов из ее межсетевого моста, BSC Token Hub.
Первоначально предполагалось, что злоумышленник смог получить около 600 миллионов долларов из-за уязвимости, которая позволила создать около двух миллионов BNB, собственного токена сети.
К несчастью для злоумышленника, украденные им активы на сумму более 400 миллионов долларов были заморожены в блокчейне, и, возможно, еще больше застряло в межсетевых мостах на стороне блокчейна BNB.
5. Взлом Wintermute — $160 млн
Криптовалютный маркетмейкер из Соединенного Королевства Wintermute пострадал от скомпрометированного горячего кошелька, из которого было переведено около 160 миллионов долларов в 70 токенах.
Анализ, проведенный фирмой CertiK, занимающейся кибербезопасностью блокчейна, показал, что был атакован уязвимый закрытый ключ, который, вероятно, был подобран с помощью Profanity — приложения, которое позволяет пользователям генерировать тщеславные крипто-адреса. В этом приложении есть широко известная уязвимость, обнаруженная специалистами 1Inch.
Согласно CertiK, это позволило злоумышленнику использовать функцию с закрытым ключом, которая позволила хакеру заменить контракт обмена платформы на собственный вредоносный.
Теории заговора, утверждающие, что взлом был «внутренней работой» из-за того, как он был осуществлен, были опровергнуты фирмой BlockSec, занимающейся безопасностью блокчейнов, которая заявила, что обвинения «недостаточно убедительны».
4. Эксплойт моста токена Nomad — $190 млн
2 августа мост токенов Nomad, который позволяет пользователям обменивать криптовалюты между несколькими блокчейнами, был опустошен несколькими злоумышленниками на сумму 190 миллионов долларов.
Причиной эксплойта стала уязвимость смарт-контракта, из-за которой не удалось должным образом проверить входные данные транзакции.
Несколько пользователей, по-видимому, как злонамеренных, так и доброжелательных, смогли скопировать действия первоначального злоумышленника, чтобы направить средства себе. Около 88% адресов, участвующих в эксплойте, были идентифицированы в отчете как «подражатели».
Белым хакерам удалось перехватить и вернуть в протокол средства на сумму лишь около 32,6 миллиона долларов. Тем, кто вернул средства, были отправлены NFT «белых шляп» и это вызвало среди них неоднозначную реакцию.
3. Эксплойт моста Wormhole — $321 млн
2 февраля мост токенов Wormhole пострадал от эксплойта, который привел к потере 120 000 токенов Wrapped Ether (wETH) на сумму 321 миллион долларов.
Wormhole позволяет пользователям отправлять и получать криптовалюту между несколькими блокчейнами. Злоумышленник обнаружил уязвимость в смарт-контракте протокола и смог выпустить без залога 120 000 wETH на блокчейне Solana (SOL), а затем смог обменять полученные токены обернутого эфира на нативный ETH.
В то время это было отмечено как крупнейшая уязвимость в 2022 году и третья по величине потеря протокола в целом за год.
2. Взлом кошелька FTX — $477 млн
Во время начала процедуры банкротства FTX 11 и 12 ноября на бирже произошла серия несанкционированных транзакций, при этом Elliptic предположила, что криптовалюта на сумму около 477 миллионов долларов была украдена.
Сэм Бэнкман-Фрид сказал в интервью 16 ноября , что, по его мнению, это был «либо бывший сотрудник, либо кто-то установил вредоносное ПО на компьютер бывшего сотрудника» компании.
Согласно сообщениям, лишь спустя две недели, 27 декабря Министерство юстиции США начало расследование местонахождения пропавшей криптовалюты на сумму около 372 миллионов долларов.
1. Взлом моста Ronin — $612 млн
Самый крупный эксплойт в 2022 году произошел 23 марта, когда мост Ronin подвергся эксплойту примерно на 612 миллионов долларов — 173 600 ETH и 25,5 млн USD Coin (USDC).
Ronin (RON) — это сайдчейн Ethereum, созданный для Axie Infinity (AXS), игры с невзаимозаменяемыми токенами (NFT). Sky Mavis, разработчики Axie Infinity, заявили, что хакеры получили доступ к закрытым ключам, скомпрометировали узлы валидатора и одобрили транзакции, которые вывели средства из моста.
14 апреля Министерство финансов США обновило свой список граждан особого назначения и заблокированных лиц (SDN), чтобы отразить возможность того, что Lazarus Group стояла за эксплойтом моста.
Взлом моста Ronin — это крупнейший эксплойт криптовалюты, когда-либо имевший место.
Читайте также: 7 крупнейших крипто-крахов 2022 года, о которых индустрия хотела бы забыть.
