Ang pinakamalaking crypto hack ng 2022

Noong 2022, ang mga proyektong nakabatay sa cryptocurrency ay nakaranas ng serye ng mga mapangwasak na hack at pagsasamantala sa itinuturing na pinakamasamang taon kailanman pagdating sa pag-secure ng mga digital asset.  

Sa pangkalahatan, ang dalas ng pag-hack ng crypto ay mabilis na bumilis sa taong ito, nanguna sa isang record na $3 bilyon sa kabuuang pondong nawala — isang spike mula sa $2 bilyon na nawala sa mga hack noong 2021 — ayon sa a Chainalysis ulat.

Ipinakita sa amin ng taon kung paano gumagamit ang blackhat o mga nakakahamak na hacker ng mas advanced na mga taktika upang pagsamantalahan ang mga kahinaan sa mga desentralisadong app na maaaring may mga bug, tulad ng bawat iba pang piraso ng software.

Kabilang sa mga pangunahing crypto heists ng 2022, ang mga insidente sa seguridad na kinasasangkutan mga tulay ng cross-chain at ang mga desentralisadong protocol sa pananalapi ay namumukod-tangi para sa pagdurusa ng mga pinsala hanggang sa daan-daang milyong dolyar sa mga indibidwal na pagsasamantala. Sa mga ganitong pagsasamantala, na-access at ninakaw ng mga hacker ang mga asset ng crypto nang walang pahintulot sa pamamagitan ng pagsasamantala sa mga kahinaan sa mga smart contract.

Sinasaliksik ng artikulong ito ang pinakamalaking crypto hack ng 2022 at nagkamali hanggang sa bawat pag-atake.

Ronin Network — $625 milyon

Noong Mar. 29, si Ronin, isang sidechain na nagho-host ng larong Axie Infinity ng Sky Mavis ay pinagsamantalahan para sa $625 milyon sa iba't ibang crypto asset, na ginagawa itong pinakamalaking crypto heist hanggang ngayon. Binuo ng Sky Mavis si Ronin upang i-host ang sikat nitong larong blockchain na Axie Infinity. Ngunit ang mga bagay ay naging pinakamasama nang ang koponan ay nabigo na ma-secure ang Ronin network mula sa mga perpetrator, nang maglaon nakilala na maging Lazarus hacking group ng North Korea. 

Sa pamamagitan ng isang pag-atake sa phishing na nakabatay sa email sa isang dating empleyado, nagkaroon ng access ang hacking group sa IT infrastructure ng Sky Mavis. Doon, nakita at ninakaw ng mga hacker ang mga pribadong key sa mga node ng validator ng Ronin blockchain, na iniimbak ng firm sa mga panloob na server nito. Nang magkaroon ng access ang mga hacker sa mga validator key, kinuha nila ang kontrol sa buong network ng Ronin at inilipat ang higit sa 173,600 ether (ETH) at 25.5 milyong USDC stablecoin, na may kabuuang kabuuang $625 milyon. 

Sa kabutihang palad para sa mga gumagamit na kinuha ang kanilang mga pondo sa panahon ng insidenteng ito, karamihan ay ganap na na-reimburse, ang sabi ng kompanya. Isang linggo pagkatapos ng hack, SkyMavis elebado $150 milyon sa isang funding round na pinangunahan ng Binance at pinagsama ito sa sarili nitong mga asset sa bayaran ang lahat ng naapektuhan ng pagsasamantala.

FTX — $370-$400 milyon 

Hindi tulad ng iba pang mga pangunahing pagnanakaw ng seguridad sa taon — gaya ng mga nakakaapekto sa mga desentralisadong blockchain apps na tumatakbo sa mga matalinong kontrata — ang bumagsak na ngayong sentralisadong palitan ng FTX ay nahulog para sa isa sa pinakamalaking pag-hack ng 2022. Naganap noong Nobyembre, nahayag ang FTX hack pagkatapos ng opisyal na mga admin ng Telegram ng exchange iniulat "hindi awtorisadong pag-access." 

Ang onchain data ay nagpakita na ang exchange's nawalan ng pondo ang mga pitaka kahit saan sa pagitan ng $370 milyon hanggang $ 400 Milyon ilang sandali matapos nito naghain ang dating CEO na si Sam Bankman-Fried para sa proteksyon sa pagkabangkarote ng Kabanata 11. 

Ilang msaksakan ng edia pinagsama-sama ang hack with isa pang kahina-hinalang paglilipat ng $400 milyon na ginawa mula sa FTX sa utos ng Securities Commission ng Bahamas para sa pag-iingat ng mga asset, na nagdulot ng kalituhan. Gayunpaman, magkahiwalay na insidente ang dalawa.

Ang bagong pinuno ng FTX na si John J. Ray III nagpatotoo hiwalay ang hack at isa pang malaking asset transfer na iniutos ng mga regulator ng Bahamian. Ito ay na-verify ng analytics firm na Chainalysis, na nakikipagtulungan sa FTX upang subaybayan ang mga asset.

“Ang $400 milyon na ninakaw at na-hack mula sa FTX ay ganap na hiwalay sa $400 milyon na hawak ng Securities Commission ng Bahamas. Ito ay lubos na nauunawaan na ang mga tao ay nalilito dito, bagaman, "sabi ng isang tagapagsalita mula sa Chainalysis sa The Block.

Pati si Ray nagsiwalat sa isang inihandang patotoo dokumento na ang FTX ay nag-imbak ng mga pribadong key sa mga wallet nito sa isang hindi naka-encrypt na paraan, at nagpatibay ng napakahinang mga kontrol sa seguridad — mga salik na madaling nagbigay-daan sa pag-hack na maganap.

Wormhole — $325 milyon 

Noong Pebrero, ang Wormhole, isang cross-chain bridge protocol, ay na-hack sa pinakamalaking bridge exploit ngayong taon. Binibigyang-daan ng Wormhole ang mga user na i-lock ang kanilang ETH at makatanggap ng pegged asset na tinatawag na Wormhole ETH (wETH) sa Solana network. 

Noong Peb. 2, nahulog ang Wormhole sa isang hacker na nanloko ng ilang partikular na lagda ng seguridad sa tulay at gumawa ng 120,000 wETH na halaga $ 325 Milyon sa labas ng manipis na hangin. Pinalitan ng hacker ang illicitly minted wETH para sa aktwal na ETH sa Ethereum network, at sa gayon ay naubos ang lahat ng asset na hawak sa Wormhole. 

Ang insidente ay nagpahinto sa operasyon ng tulay at sa loob ng ilang panahon ay tila malapit na ang katapusan ng Wormhole. Napakahirap sana na mabawi ang mga pagkalugi ngunit sa sorpresa ng lahat, ilang araw pagkatapos ng hack, sinabi ito ni Wormhole pinalitan lahat ng ninakaw na ETH at binuksan ang tulay.

Kinumpirma ng Jump Crypto, isang trading at venture capital firm na nag-incubate sa Wormhole, na nilagyan muli nito ang ninakaw na 120,000 ETH mula sa sarili nitong mga pondo upang tumulong na mapanatili ang tulay.

Nomad - $190 milyon 

Noong Agosto 7, ang Nomad — isang tulay na nagkokonekta sa Ethereum, Avalanche, Moonbeam at Evmos blockchain — ay dumanas ng pangalawang pinakamalaking cross-chain bridge hack ng taon na may $ 190 Milyon halaga ng mga ari-arian na nawala. Ang hack ay nagresulta mula sa isang maling pag-update kung saan ang mga developer ng Nomad ay maling itinalaga 0x00 (ang zero address) bilang pinagkakatiwalaang ugat. 

Ang function na ito ay nangangahulugan na ang sinuman ay maaaring mag-withdraw ng mga pondo mula sa tulay nang hindi dumaan sa tseke ng kontrata ng tiwala at madaling ma-bypass ang seguridad nito. Tulad ng pag-update issue naging public, tapos na 300 address nagmamadaling pumasok upang kumuha ng pera mula sa Nomad sa isang libreng-para-sa-lahat na pagsasamantala. Sa kabutihang palad, ang ilan sa mga address ay kabilang sa mga etikal na hacker na kalaunan bumalik $22 milyon bumalik sa Nomad. 

Beanstalk Farms — $182 milyon

Ang Beanstalk Farms, isang stablecoin protocol, ay tinutuligsa noong Abril ng 2022 sa pinakamalaking hack ng pamamahala sa taon.

Sinamantala ng isang hindi kilalang hacker ang isang butas sa seguridad sa desentralisadong autonomous na organisasyon (DAO) ng Beanstalk, na nangangasiwa sa paggawa ng desisyon para sa proyekto ng stablecoin. Sa Beanstalk, sinuman ay maaaring magsumite ng panukala at maipasa ito sa loob ng isang araw kung nakatanggap ito ng karamihan ng mga boto mula sa mga may hawak ng katutubong pamamahala ng Beanstalk na tinatawag na bean. 

Isang malisyosong aktor ang nagsumite ng panukala na humihiling sa komunidad na magpadala ng mga crypto asset mula sa Beanstalk treasury sa crypto address ng hacker. Nang pumasa ang boto, awtomatikong ginawa ang paglipat.

Kinuha ng umatake ang isang flash loan, isang loan na maaaring kunin nang walang anumang collateral, kung ibinalik ito sa loob ng parehong transaksyon. Sa pamamagitan nito, ang hacker binili milyun-milyong dolyar sa mga bean token upang matiyak na mayroon silang sapat na mga token upang maaprubahan ang boto. 

Gamit ang trick na ito, nakapag-funnel ang hacker ng humigit-kumulang $80 milyon sa mga bean token mula sa treasury ng proyekto na hindi alam ng mga pangunahing developer ng Beanstalk. Pagkatapos nito, ang hacker ibinenta ang mga bean token na iyon sa platform, ang huling pagkawala ay naging mas mataas para sa Beanstalk. Security firm na PeckShield tinatantya ang insidente ay nagkakahalaga ng Beanstalk ng $182 milyon sa mga pagkalugi sa protocol.

Mango Markets — $114 milyon

Bagama't hindi technically isang hack, ang platform ng pagpapautang na nakabase sa Solana ay dumanas ng napakalaking pagsasamantala sa market manipulation noong Oktubre.

Ang umaatake — sa kalaunan ay idineklara na isang DeFi trader na si Avraham Eisenberg — ang nanguna sa isang team na atakehin ang Mango Markets para mag-funnel. $ 114 Milyon sa mga deposito ng customer mula sa platform. Nang maglaon ay inamin niya ang kanyang pagkakasangkot.

Dalawang beses ang pag-atake. Una, binili umano ni Eisenberg ang sampu-sampung milyong mga illiquid Mango token — na idineposito niya sa protocol bilang collateral sa pagpapautang.

Pangalawa, na may humigit-kumulang $5 milyon sa USDC stablecoin, ilang beses umano niyang itinaas ang presyo ng mga token ng Mango — sa gayo'y artipisyal na pinalaki ang halaga ng dolyar ng kanyang pagpapautang ng mga collateral na deposito sa Mango. Nagawa niya ito dahil ang mga token ng Mango ay may napakanipis na pagkatubig sa maraming palitan.

Ang tumaas na halaga sa merkado ng mga Mango token ay na-spoof ang mga orakulo ng data sa pag-iisip na ang mga asset na idineposito ng Eisenberg ay nagkakahalaga ng higit sa $400 milyon.

Gamit ang pumped-up na collateral value, humiram siya ng $114 milyon sa mga crypto asset na may layuning hindi ito bayaran — kumita ng malaking tubo. Makalipas ang isang araw, pinilit niya ang pamamahala ni Mango pumasa sa isang boto, sumasang-ayon na ibalik ang $47 milyon bilang isang white hat negotiation deal. Sa oras na ito, ang pagkakakilanlan ng umaatake ay hindi alam.

Natunton ng mga on-chain sleuth ang pag-atake kay Eisenberg. Siya inamin ang kanyang paglahok ngunit pinabulaanan niya ang paggawa ng anumang bagay na labag sa batas, na sinasabing "ginagamit niya ang protocol bilang dinisenyo." Malinaw na hindi binili ng mga awtoridad ang argumentong "code is law" na ginawa ni Eisenberg. 

Noong Disyembre, si Eisenberg ay kinuha sa pag-iingat at kinasuhan ng mga krimen na may kaugnayan sa pagmamanipula ng merkado ng Kagawaran ng Hustisya ng Estados Unidos. Inaresto siya ng DoJ sa mga kaso ng commodities fraud at commodities manipulation sa Puerto Rico.

BNB Token Hub — $120 milyon 

Noong Oktubre 6, isang hindi kilalang entity ang nagsagawa ng malawakang sukat atake sa BNB Token Hub, isang bridge service na tumatakbo sa pagitan ng BNB Chain — isang blockchain na itinatag ng crypto exchange Binance — at Ethereum.

Sa pagsasamantala ng isang bug sa cryptographic proof system ng tulay, nakontrol ng isang hacker ang 2 milyong BNB token na naka-lock sa tulay at nagkakahalaga ng $550 milyon noong panahong iyon.

Nagawa lamang ng hacker na ilipat saanman sa pagitan ng $120 milyon-$130 milyon ang halaga mula sa BNB Chain sa iba pang mga chain bago ihinto ang network. Sa sandaling matukoy ang pag-atake, sumang-ayon ang mga validator ng BNB Chain na i-freeze ang network upang kunin ang higit sa $430 milyon na hawak sa address ng hacker. Na-down ang network nang ilang oras ngunit naka-back up at tumatakbo pagkalipas ng isang araw.

Horizon — $100 milyon

Ang isa pang protocol na naging biktima ng isang napakalaking hack ay ang Horizon, isang tulay na nag-uugnay sa Ethereum sa Harmony blockchain. Noong Hunyo, isang umaatake nagnakaw ng $100 milyon naka-lock sa Horizon matapos ikompromiso ang ilang pribadong key na pagmamay-ari ng mga security admin account na kumokontrol sa tulay.

Ang proseso ng paglilipat ng mga asset mula sa kontrata ng deployer ng Horizon patungo sa Ethereum ay may kasamang multi-signature scheme na nangangailangan ng pag-apruba mula sa dalawa lang sa limang admin account. Nangangahulugan ito na ang isang malisyosong aktor ay kailangang magnakaw ng dalawang pribadong susi upang aprubahan ang mga hindi awtorisadong paglilipat, na kung ano mismo ang nangyari, bilang kilala ng security firm na Halborn. 

Pagkatapos magkaroon ng access sa dalawa sa mga pribadong key ng admin ng tulay, posibleng sa pamamagitan ng mga pag-atake ng phishing sa mga admin. Pagkatapos ay nagawang aprubahan ng hacker ang isang transaksyon na nakakuha ng $100 milyon sa kanilang kontrol.

Qubit — $80 milyon 

Ang Qubit, isang BNB Chain lending at bridge protocol, ang target ng unang large scale crypto hack ng taon noong Enero. Sa Qubit, maaaring magdeposito ang mga user ng ether (ETH) mula sa Ethereum at ang tulay ay naglabas ng pegged asset na “xETH” sa BNC Chain. Maaaring gamitin ang xETH bilang collateral sa lending platform ng Qubit.

Noong Enero 27, isang hacker pinagsamantalahan isang software logic vulnerability sa Qubit na ginawang available ang xETH para magamit sa BNB Chain nang hindi nagdeposito ng ETH sa Ethereum. Ang likas na katangian ng kahinaan ay tulad na pinahintulutan ang umaatake na mag-mint ng malaking halaga ng xETH nang hindi nagdedeposito ng anumang tunay na asset.

Matapos makapag-mint ang hacker ng maraming xETH, kumuha sila ng ilang pautang mula sa Qubit kasama ang mga token na iyon bilang collateral. Sa huli, inubos ng umaatake ang lahat ng 206,000 BNB na nakataya sa Qubit Finance sa pamamagitan ng pagkuha ng pautang sa isang loop, na nagkakahalaga ng humigit-kumulang $80 milyon noong panahong iyon.

Disclaimer: Simula noong 2021, si Michael McCaffrey, ang dating CEO at mayoryang may-ari ng The Block, ay kumuha ng serye ng mga pautang mula sa founder at dating FTX at Alameda CEO na si Sam Bankman-Fried. Nagbitiw si McCaffrey sa kumpanya noong Disyembre 2022 matapos mabigong ibunyag ang mga transaksyong iyon.