Nangungunang 10 Crypto Scam at Hack ng 2022

Sa kabila ng mga merkado ng cryptocurrency na nakulong sa isang matinding bearish recession, ang mga scam at hack sa Web3 ay nag-aapoy sa kabuuan ng 2022. Ang isang bilang ng mga top-tier na sentralisadong cryptocurrency heavyweights ay bumagsak din dahil sa hindi magandang pamamahala sa panganib at mga manipulasyon ng insider.

Habang papalapit ang crypto segment sa Bagong Taon, nire-recap ng U.Today ang mga pinaka-mapanganib na crypto scam, ang mga pinagmulan, disenyo at mga pagkalugi na naidulot nito. Naghanda din kami ng maikling pagsusuri sa pinakamadalas na crypto scam sa social media na nagta-target ng milyun-milyong user araw-araw.

Mga Crypto scam at hack ng 2022: Mabilis na mga katotohanan

Ayon sa maraming ulat sa cybersec, sa unang 11 buwan ng 2022, nagawang magnakaw ng mga hacker at scammer ng hindi pa nagagawang halaga na $4.2 bilyon sa cryptocurrency, na 37% higit pa kaysa noong 2021, kung kailan ang mga pangunahing crypto ay 2x-3x na mas mahal.

• Ang pinakamalaking pag-atake ay isinagawa laban sa mga cross-chain na protocol — ang bridge mechanism ng Axie Infinity na si Ronin at ang multi-protocol ecosystem Wormhole.
• Ang mga pagbagsak ng Terra (LUNA) ecosystem, ang pangunahing DeFi Anchor Protocol (ANC) nito at ang USD-pegged stablecoin TerraUSD (UST) ay nag-ambag sa Q2-Q4, 2022, na yugto ng bearish recession.
• Ang drama sa paligid ng wala na ngayong crypto exchange na FTX at ang nauugnay na trading firm na Alameda Research ay ang pinakamalaking sentralisadong pagbagsak ng serbisyo sa buong 2022.
• Sa kabila ng pinakamalaking pag-hack na malawakang tinatalakay sa media, ang karamihan sa mga crypto scam ay inayos sa pamamagitan ng mga lumang pamamaraan: mga pekeng airdrop, malisyosong “recovery programs,” scam arbitrage scheme at iba pa.
• Ang isang bilang ng mga pangunahing hack ay lumilitaw na mga pagpapatakbo ng white-hat: ibinalik ng mga umaatake ang pera na ninakaw kapalit ng mga kahanga-hangang bug bountie.
• Halos 12% ng lahat ng BEP-20 token at 8% ng ERC-20 token ay mapanlinlang; 350 bagong scam ang inilunsad araw-araw.

Sa pagsusuring ito, tutukuyin namin ang sinadyang inilunsad na mga panloloko at proyekto na sa una ay lehitimo bilang "mga scam," habang ang "mga hack" ay mga pag-atake ng third-party sa mga lehitimong proyekto na isinagawa nang walang mga kaganapang "trabaho sa loob."

Mga nangungunang crypto scam at pagbagsak ng 2022

Noong 2022, ang Bitcoin (BTC), Ethereum (ETH) at lahat ng pangunahing cryptocurrencies ay nawala ng higit sa 70-80% mula sa kanilang ATH, habang sa karamihan ng mga apektadong segment — metaverse token, GameFi token, ang Solana (SOL) ecosystem — ang median loss ay lumampas sa 90 %. Nabigo ang ilang crypto majors na makaligtas sa gayong masakit na pagbaba.

Terra (LUNA)/Terra USD (UST)

Ang EVM-compatible na smart contract platform na Terra (LUNA) ay isa sa mga pinaka-overhyped na Ethereum (ETH) killers noong 2021. Gayunpaman, ang malaking bahagi ng TVL nito ay nakatuon sa Anchor Protocol (ANC), isang simpleng yield farming machine na nag-aalok ng 19% APY sa mga deposito sa Terra USD (UST), ang wala na ngayong USD-pegged na stablecoin ng Terra. Sa kabuuan, higit sa $20 bilyon ang katumbas ay naka-lock sa Anchor (ANC) noong Q1, 2022.

Gayunpaman, noong unang bahagi ng Mayo 2022, may nagsimulang agresibong magpadala ng UST sa mga pool sa Curve Finance (CRV) DeFi at makipagpalitan ng mga token sa USD Coin (USDC). Nawala ang peg ng UST. Ang Terraform Labs at ang CEO nitong si Do Kwon ay nagsimulang mag-inject ng liquidity sa mekanismo ng UST/LUNA. Gayunpaman, dahil sa napakalaking capital run, parehong bumaba ang LUNA at UST sa halos zero na halaga. Ang blockchain ng Terra (LUNA) ay itinigil nang tuluyan.

Gaya ng saklaw ng U.Today dati, inihayag ng mga mananaliksik na ang Terraform Labs ang nagpasimula ng pagbagsak: ang malalaking paglipat ng UST ay pinahintulutan ng Do Kwon. Ang founder ng Terra ay tumakbo umano sa Serbia at sinusubukang i-cash out ang kanyang Bitcoins (BTC) doon.

Tatlong Arrows Capital

Inilunsad nina Su Zhu at Kyle Davies, alumni ng Columbia University at mga beterano ng Credit Suisse, ang Three Arrows Capital (3AC) ay kabilang sa mga pinaka-maimpluwensyang crypto hedge fund. Nakaipon ito ng mahigit $20 bilyon sa AUM salamat sa pagiging maagang mamumuhunan sa Ethereum (ETH), Avalanche (AVAX), Solana (SOL) at iba pa.

Gayunpaman, ang bumagsak na LUNA ay isa sa mga pangunahing elemento ng 3AC portfolio. Ang koponan ay namuhunan ng higit sa $600 milyon sa Terra (LUNA): ang napakalaking stake na ito ay nabura sa loob ng dalawang linggo pagkatapos bumagsak ang LUNA/UST.

Noong Hunyo 16, 2022, inihayag ng FT na nabigo ang 3AC na matugunan ang mga margin call nito dahil sa mga pagkalugi sa Anchor Protocol ng Terra. Ang kompanya ay nasa ilalim din ng tubig sa mga posisyon nito sa Staked Ether (stETH) sa Lido Finance (LDO) DeFi at sa Grayscale Bitcoin Trust (GBTC). Noong Hunyo ay nabigo itong bayaran ang utang nito sa crypto giant na Voyager. Noong huling bahagi ng Hulyo ang kumpanya ay na-liquidate ng isang BVI court habang ang 3AC management ay nagsampa ng bangkarota. Sa kabuuan, 20 mamumuhunan sa 3AC ang nawalan ng mahigit $3.5 bilyon.

Manlalakbay

Ang rehistradong US na pinagkakautangan na si Voyager ay naging biktima din ng mahinang pamamahala sa peligro: nagbigay ito ng $650 milyon na hindi secure na pautang sa Three Arrows Capital habang ang netong AUM nito ay halos $5.9 bilyon. Ipinagmamalaki ng platform ang 3.5 milyong customer, 97% sa kanila ay namuhunan ng mas mababa sa $10,000.

Sa pangkalahatan, bumagsak ang Voyager dahil sa ang katunayan na ang koponan nito ay pumili ng isang mapanganib na diskarte sa negosyo: nag-aalok ito ng mga pautang sa maraming serbisyo ng kalakalan at mga indibidwal na mangangalakal ng cryptocurrency. Habang ang mga nagpapahiram ay nagsimulang mag-withdraw ng kanilang pera nang maramihan, noong unang bahagi ng Hulyo, pinalamig ng Voyager ang mga pondo ng customer. Pagkalipas ng ilang araw, nagsampa ito ng proteksyon sa pagkabangkarote sa New York.

Dahil ang platform ay nakatuon sa maliliit na retail na customer, ang pagbagsak nito ay ang pinakamasakit para sa mga mahilig sa cryptocurrency.

Sentigrado

Ang Celsius ay, sa katunayan, ang unang kumpanyang nagbigay ng senyales tungkol sa mga problema nito: noong Abril 2022, inihayag ng platform na hahawakan nito ang lahat ng asset ng mga hindi kinikilalang mamumuhunan sa kustodiya: ang bahaging ito ng mga customer ay hindi nakapag-inject ng bagong liquidity at makakuha ng mga reward.

Noong Mayo 2022, dahil sa takot sa mga drama ng UST at Terra, nagsimulang maglipat ng pera ang mga user mula sa Celsius protocol. Noong Hunyo 12, 2022, pinalamig ng Celsius ang mga pondo ng 1.7 milyong customer (karamihan ay mga retail investor). Tulad ng Voyager, nag-file ito ng bangkarota noong unang bahagi ng Hulyo.

Noong Hulyo 14, 2022, ibinahagi ng legal na tagapayo ng Celsius na si Kirkland & Ellis na naabisuhan ang mga pinuno ng platform tungkol sa $1.3 bilyong butas sa balanse nito.

FTX

Ang pagbagsak ng cryptocurrency exchange ni Sam Bankman-Fried na FTX at ang nauugnay nitong crypto investing firm na Alameda Research ay ang pinakanakakagulat na drama sa Web3: SBF at ang kanyang team ay nagtangkang makakuha ng napakalaking kontrol sa industriya sa pamamagitan ng paglagda sa dose-dosenang mga partnership, na lumalabas sa mga cover ng Forbes at iba pa.

Gayunpaman, ang balanse ng Alameda Research ay lubos na nakadepende sa FTX Token (FTT), ang katutubong cryptocurrency ng FTX. Iyon ang dahilan kung bakit bumagsak ang buong sistema nang ang Binance CEO na si Changpeng “CZ” Zhao ay nagsimulang agresibong magbenta ng FTT (higit sa $500 milyon ang katumbas ay inilabas ng CZ).

Katulad sa lahat ng katulad na kaso, sinimulan ng mga mamumuhunan ang malawakang pag-withdraw ng kanilang pera mula sa FTX. Itinigil ng platform ang mga withdrawal, bumaba ang SBF bilang CEO at nagsampa ng pagkabangkarote. Samantala, nalaman na ginagamit niya ang pera ng mga namumuhunan at mga customer sa kanyang sariling trading firm, ang Alameda Research. Dahil sa kakila-kilabot na maling pamamahala, ang Alameda Research ay nasa ilalim ng tubig. Ang SBF ay inaresto at pinalaya sa piyansa habang ang natantong pagkalugi mula sa pagbagsak ng FTX ay umabot sa $9 bilyon na katumbas.

Mga nangungunang crypto hack sa 2022

Tulad ng bawat isang pagsusuri ng mga eksperto sa cybersecurity ng Merkle Science, ang mga cross-network na tulay ay partikular na madaling maapektuhan ng mga pagsasamantala dahil sa kanilang teknikal na kumplikado at lubos na eksperimental na karakter:

Ang mga tulay sa pagitan ng mga chain ay kadalasang mas madaling kapitan ng mga pagsasamantala dahil nangangailangan sila ng higit pang mga pakikipag-ugnayan at pag-apruba ng kontrata kaysa sa iba pang mga protocol. Bilang karagdagan, ang mga tulay ay mas madaling kapitan ng mga pag-atake dahil ang mga ito ay pinapatakbo ng hindi na-audited na mga code ng computer. Bukod dito, ang mga pagkakakilanlan ng mga validator/node, na nagpapatakbo ng mga transaksyon ay hindi rin kilala

Noong 2022, ang mga tulay ang pangunahing target ng mga pag-atake, habang ang iba pang mekanismo ng DeFi ay pinagsamantalahan din ng mga hacker.

Wormhole

Noong Peb. 3, 2022, inatake ng mga hacker ang Wormhole, isang tulay na idinisenyo upang mapadali ang tuluy-tuloy na paglipat ng halaga sa pagitan ng magkakaibang mga blockchain. Dahil sa kahinaan sa code, nagawa nilang mag-isyu ng 120,000 Wrapped Ethers (wETH) sa Solana (SOL) blockchain nang hindi naglalagay ng kaukulang Ethereum (ETH) collateral.

Ang hack ay maaaring humantong sa insolvency ng anumang DeFi platform na handang tumanggap ng 120,000 wETH (naka-print mula sa manipis na hangin) bilang isang collateral. Sa kabutihang palad, hindi nangyari ang pinakamasamang sitwasyon.

Tinanggap ng Jump Crypto, ang pangunahing kumpanya ng serbisyo ng Wormhole, ang lahat ng pagkalugi: agad nilang nilagyan muli ang 120,000 Ethers sa mga protocol liquidity pool.

Ronin

Noong Marso 23, inatake ng mga hacker ng North Korean mula kay Lazarus, isang kilalang cyber criminal group na suportado ng estado, ang Ronin network. Ang Ronin ay isang Ethereum-like sidechain na partikular na binuo para sa Axie Infinity, isang flagship GameFi. Inubos ng mga attacker si Ronin ng napakalaki na $568 milyon.

Nakuha ng mga hacker ang kontrol sa lima sa siyam na validator signature para sa Ronin Bridge. Pagkatapos ay pinahintulutan nila ang dalawang transaksyon, 173,600 Ether (ETH) at 25.5 milyong USD Coin (USDC). Mula sa napakalaking pagnanakaw na ito, mahigit $445 milyon ang na-launder sa pamamagitan ng Tornado Cash crypto mixer.

Nagtaas ng karagdagang pondo ang developer ng Axie Infinity na si Sky Mavis, nag-utos ng panibagong security audit ng CertiK at tinaasan ang multisig threshold mula 5/9 hanggang 8/9.

Pagala

Noong Agosto 2022, ang Nomad, isang multi-chain bridge mechanism na nagpapalipat ng halaga sa pagitan ng Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) at iba pang blockchain, ay naubos ng $190.7 milyon sa crypto. Nagawa ng mga attacker na samantalahin ang isang kahinaan ng matalinong disenyo ng kontrata: pinahintulutan ng protocol ang mga user na mag-withdraw ng mga pondo sa target na blockchain nang hindi tinitingnan kung katumbas ba ang mga ito sa unang na-deploy na halaga.

12/tl;dr isang nakagawiang pag-upgrade ay minarkahan ang zero hash bilang isang wastong ugat, na nagkaroon ng epekto ng pagpayag sa mga mensahe na ma-spoof sa Nomad. Inabuso ito ng mga attacker para kopyahin/i-paste ang mga transaksyon at mabilis na pinatuyo ang tulay sa isang baliw na free-for-all

— isa na itong shitpost account (@samczsun) Agosto 2, 2022

Sa madaling salita, pagkatapos ng regular na pag-upgrade, ang mga user ay nakapagdeposito ng 1 ETH sa Ethereum (ETH) at humingi ng katumbas na 100 Ethereum (ETH) na withdrawal mula sa Avalanche (AVAX).

Ang bagay ay, ang bawat tech-savvy Web3 enthusiast ay nagawang kopyahin ang attack vector na ito at nakawin ang mga pondo mula sa Nomad bago inilabas ang patch. Dahil dito, maraming developer ng Ethereum (ETH) ang nag-withdraw ng mga pondo para lang maibalik ang mga ito sa Nomad team: halos $40 milyon ang ipinadala pabalik.

Beanstalk 

Noong Abril 16, 2022, ang Ethereum-based stablecoin project na Beanstalk (BEAN) ay na-target ng isang sopistikadong pag-atake ng flash loan. Ibig sabihin, ang mga malefactors ay nakakuha ng isang flash loan sa Aave Finance (AAVE) at bumili ng halaga ng mga token ng pamamahala na kinakailangan upang makuha ang kontrol sa protocol na on-chain referendum.

Pagkatapos ay nakuha ng mga umaatake ang supermajority sa pagboto at inaprubahan ang paglilipat ng pera sa kanilang sariling account. Nang mailipat ang $180 milyon, agad nilang binayaran ang flash loan; ang netong kita ay lumampas sa $80 milyon.

wintermute

Noong Setyembre 2022, ang Wintermute, isa sa pinakamalaking platform sa paggawa ng merkado, ay naubos ang mga wallet nito sa halagang $160 milyon. Inihayag ng mga attacker na ang ilan sa mga pangunahing wallet ng Wintermute ay ginawa gamit ang Profanity, isang generator ng "mga vanity address" para sa Ethereum (ETH) network. Ang mga naturang programa ay maaaring lumikha ng mga crypto wallet na may mga address na nababasa ng tao, hal, 0xJohnDoe1111… at iba pa.

Dahil sa isang kahinaan sa disenyo ng Profanity, nagawa ng mga umaatake na i-brute-force ang mga vanity address at mabawi ang mga pribadong key. Naging posible ang pag-atake dahil sa makabuluhang compute resources na ginamit ng mga malefactors.

Bonus: Huwag mahulog sa mga matagal nang scam na ito

Kasabay ng mga sopistikadong sitwasyon na kinabibilangan ng $1 bilyong flash loans, mga hacker ng North Korean at kahanga-hangang hardware para sa malupit, napaka-primitive na mga kampanyang scam ay lumalabas dito at doon. Tatlong disenyo ng pag-atake ang napakakaraniwan sa crypto noong 2022:

1. Mga pekeng airdrop. Upang patakbuhin ang scam na ito, ang mga malefactors ay nag-aayos ng isang kampanya sa advertising sa YouTube o naglalagay ng kanilang ad sa Twitter. Pagkatapos ay inanunsyo nila na ang isang Internet celebrity (Snoop Dogg), isang top tech entrepreneur (Vitalik Buterin o Elon Musk) o kahit na politiko (Donald Trump) ay nag-airdrop ng cryptocurrency. Lahat ng handang mag-claim ng kanilang mga bonus ay dapat magpadala ng paunang deposito (na diumano'y ibabalik na may 100% na tubo) o ang kanilang mga pribadong key. Hindi na kailangang sabihin na ang parehong mga grupo ay mawawala ang kanilang mga deposito o lahat ng pera mula sa kanilang mga wallet.

Paano upang maprotektahan ang iyong sarili: Huwag kailanman ipadala ang iyong pera sa “airdrop organizers” o ibunyag ang iyong mga pribadong key o seed na parirala.

2. Mga MEV bot na gawa sa kamay. Ang maximum na extractable value (MEV) ay ang pinakamataas na reward na makukuha ng mga kalahok sa network ng Ethereum (ETH) para sa kanilang kontribusyon sa proseso ng block validating. Nagbibigay-daan sa amin ang mga sopistikadong diskarte na makinabang sa pag-optimize ng MEV. Ang mga scammer ay naglalagay ng mga video o text manual kung paano bumuo ng sarili mong “MEV bots” para makakuha ng access sa mga wallet ng Ethereum (ETH) at maubos ang mga pondo.

Paano upang maprotektahan ang iyong sarili: Iwasan ang "instant" MEV bots mula sa mga manual ng YouTube.

3. Ang mga scammer ay sumagip. Dahil ang 2022 ay talagang isang taon ng mga hack, maraming mga gumagamit ng crypto ang nagsusuri kung ang kanilang mga paboritong blockchain ay nasira. Ang mga scammer ay nagpo-post ng mga pekeng anunsyo tungkol dito o sa proyektong iyon na na-hack at naglulunsad ng mga pekeng programang "kabayaran". Ang lahat ng interesado sa kabayaran ay hinihiling na ipadala ang kanilang mga seed phrase sa mga scammer.

Paano upang maprotektahan ang iyong sarili: Suriin lamang ang mga balita tungkol sa mga hack sa mga opisyal na channel ng media ng mga blockchain.

Isinasara ang mga saloobin

Noong 2022, ang karamihan sa mga pagbagsak ay na-trigger ng masakit na pagbagsak ng mga presyo ng cryptocurrency, hindi magandang pamamahala sa peligro at kasakiman ng mga may-ari ng mga sentralisadong produkto ng cryptocurrency. Kaya naman malaking bagay ang desentralisasyon: ang karunungan ng karamihan ng isang DAO ay mapipigilan ang FTX/Celsius/Voyager-scale na pagbagsak na mangyari.

Samantala, ang mga on-chain na produkto ay dapat mag-ingat tungkol sa mga pag-audit sa seguridad, mga update at pamamahala ng pribadong jet.