לפי MRT ניתוח מעבדות, 2022 הייתה שנת שיא עבור פריצות קריפטו, עם גניבת קריפטו בשווי של כ-3.7 מיליארד דולר. DeFi התקפות היו נפוצות, עם כ-80%, או 3 מיליארד דולר, שכללו קורבנות DeFi.
כשאנו נכנסים לשנת 2023 אופטימיים לגבי ההבטחה של טכנולוגיה בהתהוות, עלינו להסתכל אחורה כדי ללמוד מהאתגרים והכישלונות שעמדנו בפנינו בדיעבד.
פריצת קריפטו לתשתית גשר רונין
אקסי אינסוף פריצת קריפטו של גשר רונין בחודש מרץ עומד בראש הרשימה עם 612 מיליון דולר. גשר רונין הוא Ethereum שרשרת צד למשחק Axie Infinity לשחק להרוויח.
האקרים של קריפטו, שזוהו היום כקבוצת פשעי סייבר בצפון קוריאה בשם Lazarus, קיבלו גישה לתשעה מפתחות פרטיים של אימות העסקאות של גשר רונין. באמצעות המפתחות הם אישרו עסקאות גדולות, האחת תמורת 173,600 ETH והשנייה תמורת 25.5 מיליון דולר.
האקרים העבירו את הקריפטו למזומן Tornado, כוס קריפטו בקוד פתוח, ועוד כמה בורסות.
מאמצים משותפים של הקהילה, בינאנס, Chainalysis ואכיפת החוק עזרו לאתר חלק מהכספים.
ניצול קוד חוצה גשר BSC Beacon
באוקטובר, האקרים ניצלו פגיעות בקוד הגשר חוצה BSC Beacon כדי לגנוב קריפטו בשווי 570 מיליון דולר. הגשר הוא מרכיב קריטי בשרשרת BNB.
שרשרת BSC Beacon, המכונה Token Hub, היא גשר צולב שרשרת בין שרשרת BNB Beacon (BEP2) ו-BNB Chain (BEP20/BSC).
ההתקפה עבדה על ידי זיוף הוכחות קריפטוגרפיות בשם Merkle הוכחה שאישרה נתונים כמו עסקאות כתקפות ונכללות ב- blockchain. ההאקר cyrpto השתמש בהוכחה השקרית של מרקל כדי להעביר כספים מהגשר צולב BSC Beacon לרשתות אחרות.
Tether רשם את כתובתו של התוקף ברשימת החסימה, בעוד שלמעלה מ-7 מיליון דולר שהועברו מרשת BNB הוקפאו למעשה.
ניצול קוד גשר חור תולעת
האקרים של קריפטו ניצלו בפברואר את הקוד של חור תולעת של קריפטו בשווי 326 מיליון דולר. חור תולעת הוא גשר סמלי בין סולנה לאתריום.
האקר בקריפטו השתמש בפונקציה לא מאובטחת משימוש/מתה כדי לעקוף את אימות החתימה.
ניתן להשוות קוד שהוצא משימוש לפתק דביק האומר 'אני אמחק את זה בעתיד'. אינך יכול למחוק את הקוד כעת כי חלק מהצרכנים עדיין משתמשים בו.
שרשרת משלחות של אימות חתימה אפשרה את פריצת הקריפטו. הפונקציה שהוצאה משימוש לא בדקה כתובות, ואיפשרה אימות של חתימה מזויפת.
לפי מנתחי סייבר, מפתחים יכלו להימנע מהתקיפה אילו היו מתרגלים 'קידוד מאובטח'.
ניצול קוד גשר נוודים
האקרים ניצלו את גשר ההצפנה Nomad באוגוסט של קריפטו בשווי 190 מיליון דולר. ההאקר כמעט רוקח את כל הכספים בפרוטוקול - הניצולים העולים הטילו ספק באבטחת גשרי אסימונים חוצי שרשרת.
גשרים פועלים על ידי נעילת אסימונים בחוזה חכם בשרשרת אחת ואז הנפקתם מחדש בפורמט 'עטוף' בשרשרת אחרת. במקרה של נומד, המתקפה חיבלה בחוזה והפכה את האסימונים העטופים שלו לחסרי ערך.
נומאד, למעשה, העניק פרס וביקש מההאקר לשמור 10% מהכספים ולא לעמוד בפני שום תביעה משפטית בתוספת כובע לבן בונוס NFT. התוקף החזיר בסופו של דבר רק 36 מיליון דולר.
התקפת פרוטוקול Beanstalk
בסוף שבוע גורלי באפריל, האקר השתמש בהלוואת פלאש כדי לגנוב 182 מיליון דולר ב-ETH, BEAN stablecoin ונכסים אחרים מפרוטוקול Beanstalk stablecoin.
הלוואת פלאש היא תכונה המאפשרת למשתמשים ללוות נכס, לבצע עסקה מהירה ואז להחזיר אותו בעסקה מורכבת אחת על פני מספר פרוטוקולים.
התוקף הציג שתי הצעות זדוניות ל-Beanstalk DAO באמצעות פונקציית התחייבות החירום, שדרשה הצבעה של ⅔ ולאחר מכן יושמה לאחר 24 שעות.
התוקף בשובבות השתמש בפונקציית הלוואת הבזק כדי להשיג שליטה של 79% ולהעביר את הצעתו.
התוקף שלח את הכספים בפרוטוקול לשלם את הלוואת הבזק שלו ואת השאר לכתובת הקרן באוקראינה. בסופו של דבר הוא הרוויח 76 מיליון דולר.
עוד מגה פריצות קריפטו
פריצות מגה קריפטו אחרות כוללות את מתקפת התשתית של Wintermute של 160 מיליון דולר באפריל, את מתקפת התשתית של Maiar/Elrond של 113 מיליון דולר ביוני, מתקפת התשתית של מנגו מרקטס של 112 מיליון דולר באוקטובר, והתקפה של Harmony Bridge של 100 מיליון דולר ביוני.
מקור: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/