Ayon sa TRM labs analysis, 2022 ay isang record na taon para sa crypto hacks, na may humigit-kumulang $3.7 bilyong halaga ng crypto na ninakaw. DeFi laganap ang mga pag-atake, na may humigit-kumulang 80%, o $3 bilyon, na kinasasangkutan ng mga biktima ng DeFi.
Sa ating pagtungo sa 2023 na optimistiko tungkol sa pangako ng bagong teknolohiya, dapat tayong magbalik-tanaw upang matuto mula sa mga hamon at pag-urong na hinarap natin sa nakaraan.
Pag-hack ng crypto imprastraktura ng Ronin Bridge
Walang Hanggan sa Axie Ronin bridge crypto hack noong Marso ay nangunguna sa listahan sa $612 milyon. Ang tulay ng Ronin ay isang Ethereum side chain para sa Axie Infinity play-to-earn game.
Ang mga crypto hacker, na kinilala ngayon bilang North Korean cybercrime group na tinatawag na Lazarus, ay nakakuha ng access sa siyam na pribadong key ng mga validator ng transaksyon sa tulay ng Ronin. Gamit ang mga susi, inaprubahan nila ang malalaking transaksyon, isa para sa 173,600 ETH at isa pa para sa 25.5 milyong USDC.
Inilipat ng mga hacker ang crypto sa Tornado cash, isang open-source na crypto tumbler, at ilang iba pang mga palitan.
Sama-samang pagsisikap mula sa komunidad, Binance, Chainalysis, at mga tagapagpatupad ng batas ay tumulong sa pagsubaybay sa ilan sa mga pondo.
BSC Beacon cross-bridge code exploit
Noong Oktubre, sinamantala ng mga hacker ang isang kahinaan sa BSC Beacon cross-bridge code upang magnakaw ng crypto na nagkakahalaga ng $570 milyon. Ang tulay ay isang kritikal na bahagi ng BNB chain.
Ang BSC Beacon chain, na tinutukoy bilang Token Hub, ay isang cross-chain bridge sa pagitan ng BNB Beacon Chain (BEP2) at BNB Chain (BEP20/ BSC).
Ang pag-atake ay gumana ng palsipikasyon ng mga cryptographic na patunay tinatawag na Merkle proof na nagkumpirma ng data tulad ng mga transaksyon bilang wasto at kasama sa blockchain. Ginamit ng cyrpto hacker ang huwad na Merkle proof para ilipat ang mga pondo mula sa BSC Beacon cross-bridge patungo sa ibang mga chain.
Na-blocklist ni Tether ang address ng umaatake habang ang mahigit $7 milyon na inilipat mula sa chain ng BNB ay epektibong na-freeze.
Wormhole bridge code pagsasamantala
Sinamantala ng mga hacker ng Crypto ang code ng wormhole noong Pebrero ng crypto na nagkakahalaga ng $326 milyon. Ang wormhole ay isang token bridge sa pagitan ng Solana at Ethereum.
Gumamit ang crypto hacker ng hindi na ginagamit/patay na hindi secure na function para i-bypass ang signature verification.
Ang isang hindi na ginagamit na code ay maihahambing sa isang sticky note na nagsasabing, 'Tatanggalin ko ito sa hinaharap.' Hindi mo na matatanggal ang code ngayon dahil ginagamit pa rin ito ng ilang consumer.
Isang hanay ng mga delegasyon ng pag-verify ng lagda ang nagpagana sa crypto hack. Ang hindi na ginagamit na function ay hindi nagsuri ng mga address, na nagpapahintulot sa pagpapatunay ng isang pekeng lagda.
Ayon sa mga cyber analyst, naiwasan sana ng mga developer ang pag-atake kung nagpraktis sila ng 'secure coding.'
Nomad bridge code exploit
Sinamantala ng mga hacker ang Nomad crypto bridge noong Agosto ng crypto na nagkakahalaga ng $190 milyon. Halos naubos ng hacker ang lahat ng pondo sa protocol—ang tumataas na pagsasamantala ay nagdulot ng pagdududa sa seguridad ng mga cross-chain token bridge.
Gumagana ang mga tulay sa pamamagitan ng pagla-lock ng mga token sa isang matalinong kontrata sa isang chain at pagkatapos ay i-reissue ang mga ito sa format na 'nakabalot' sa isa pang chain. Sa kaso ni Nomad, sinabotahe ng pag-atake ang kontrata na naging walang halaga ang mga nakabalot na token nito.
Ang Nomad, sa katunayan, ay naglagay ng bounty na humihiling sa hacker na panatilihin ang 10% ng mga pondo at hindi humarap sa legal na aksyon at isang bonus na whitehat. NFT. Ang umaatake ay nagbalik lamang ng $36 milyon.
Pag-atake ng protocol ng Beanstalk
Sa isang nakamamatay na katapusan ng linggo noong Abril, gumamit ang isang hacker ng flash loan para magnakaw ng $182 milyon sa ETH, BEAN stablecoin, at iba pang asset mula sa Beanstalk stablecoin protocol.
Ang isang flash loan ay isang feature na nagbibigay-daan sa mga user na humiram ng isang asset, gumawa ng mabilis na kalakalan at pagkatapos ay bayaran ito sa isang kumplikadong transaksyon sa maraming protocol.
Nagharap ang attacker ng dalawang malisyosong panukala sa Beanstalk DAO sa pamamagitan ng emergency commit function, na nangangailangan ng ⅔ na boto at pagkatapos ay ipinatupad pagkatapos ng 24 na oras.
Ang umaatake malikot ginamit ang flash loan function upang makakuha ng 79% na kontrol at maipasa ang kanyang panukala.
Ipinadala ng attacker ang mga pondo sa protocol upang bayaran ang kanyang flash loan at ang natitira sa address ng pondo ng Ukraine. Sa huli, kumita siya ng $76 milyon.
Higit pang mga mega crypto hack
Kabilang sa iba pang mega crypto hack ang $160 milyon na pag-atake sa imprastraktura ng Wintermute noong Abril, ang $113 milyon na Infrastructure na pag-atake ng Maiar/Elrond noong Hunyo, ang $112 milyon na Infrastructure attack ng Mango Markets noong Oktubre, at ang $100 M na Infrastructure na pag-atake ng Harmony bridge noong Hunyo.
Pinagmulan: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/