10 ההונאות והפריצות הקריפטו המובילות של 2022

למרות ששווקי מטבעות הקריפטו היו לכודים במיתון דובי חמור, הונאות ופריצות ב-Web3 עלו באש במשך כל שנת 2022. מספר כבדי משקל מרכזיים במטבעות קריפטוגרפיים מהשורה העליונה קרסו גם הם עקב ניהול סיכונים לקוי ומניפולציות פנימיות.

כאשר פלח הקריפטו מתקרב לשנה החדשה, U.Today מסכם את הונאות הקריפטו המסוכנות ביותר, שורשיהן, עיצוביהן וההפסדים שהן גרמו. הכנו גם סקירה קצרה של הונאות הקריפטו השכיחות ביותר במדיה החברתית המכוונות למיליוני משתמשים מדי יום.

הונאות ופריצות קריפטו של 2022: עובדות מהירות

על פי דיווחים רבים של cybersec, ב-11 החודשים הראשונים של 2022, האקרים ורמאים הצליחו לגנוב סכום חסר תקדים של 4.2 מיליארד דולר במטבעות קריפטוגרפיים, שהם 37% יותר מאשר ב-2021, כאשר קריפטו המפתח היו יקרים פי 2-3.

ההתקפות הגדולות ביותר בוצעו נגד פרוטוקולים חוצי שרשרת - מנגנון הגשר של Axie Infinity רונין והמערכת האקולוגית מרובת פרוטוקולים Wormhole.
קריסות המערכת האקולוגית של Terra (LUNA), פרוטוקול העוגן העיקרי של DeFi (ANC) וה-Stablecoin TerraUSD (UST) המוצמד ל-USD תרמו לשלב הרבעון השני והרביעי של שנת 2 של המיתון הדובי.
הדרמה סביב בורסת הקריפטו FTX שהושבתה כעת וחברת המסחר הקשורה Alameda Research הייתה קריסת השירותים הריכוזית הגדולה ביותר ב-2022.
למרות הפריצות הגדולות ביותר שנדונו בהרחבה בתקשורת, הרוב המכריע של הונאות קריפטו מאורגנות באמצעות שיטות ישנות: הטיפות אוויר מזויפות, "תוכניות שחזור" זדוניות, תוכניות ארביטראז' הונאות וכדומה.
נראה כי מספר פריצות גדולות הן פעולות עם כובע לבן: התוקפים החזירו את הכסף שנגנב בתמורה לפרס מרשים של באגים.
כמעט 12% מכל אסימוני BEP-20 ו-8% מאסימוני ERC-20 הם הונאה; 350 הונאות חדשות מושקות מדי יום.

בסקירה זו, נתייחס להונאות ולפרויקטים שהושקו בכוונה תחילה כ"הונאות", בעוד ש"פריצות" הן התקפות של צד שלישי על פרויקטים לגיטימיים שבוצעו ללא אירועי "עבודה פנימית".

ההונאות והקריסות הקריפטו המובילות של 2022

בשנת 2022, ביטקוין (BTC), Ethereum (ETH) וכל מטבעות הקריפטו הגדולים איבדו מעל 70-80% מה-ATH שלהם, בעוד שברוב הקטעים המושפעים - אסימונים מטא-וורסיים, אסימוני GameFi, האקולוגית של Solana (SOL) - ההפסד החציוני עולה על 90 %. כמה מג'ורי קריפטו לא הצליחו לשרוד ירידה כה כואבת.

טרה (LUNA)/טרה דולר (UST)

פלטפורמת חוזים חכמים תואמת EVM Terra (LUNA) הייתה בין רוצחי ה-Ethereum (ETH) המוגזמים ביותר של 2021. עם זאת, חלק הארי של ה-TVL שלה התרכז ב-Anchor Protocol (ANC), מכונת חקלאות פשוטה עם תשואה שהציעה 19% APY על פיקדונות ב-Terra USD (UST), ה-Stablecoin של טרה שנעדר כעת. בסך הכל, יותר מ-20 מיליארד דולר שווה ערך ננעלו באנקור (ANC) ברבעון הראשון של 1.

מחיר האסימון של ANC קרס ב-99% תוך שבועיים — *תמונה על ידי CoinMarketCap*

עם זאת, בתחילת מאי 2022, מישהו התחיל לשלוח UST באגרסיביות ל-pools ב-Curve Finance (CRV) DeFi ולהחליף את האסימונים ב-USDC Coin (USDC). UST איבדה את היתד שלו. Terraform Labs והמנכ"ל שלה Do Kwon החלו להזרים נזילות למנגנון UST/LUNA. עם זאת, עקב ריצת הון מסיבית, גם LUNA וגם UST ירדו לכמעט אפס ערכים. הבלוקצ'יין של Terra (LUNA) הופסק סופית.

כפי שסוקרה על ידי U.Today בעבר, חוקרים חשפו כי Terraform Labs היא זו שיזמה את הקריסה: העברות UST מסיביות אושרו על ידי Do Kwon. על פי החשד, מייסד Terra רץ לסרביה ומנסה לפדות את הביטקוין שלו (BTC) שם.

שלוש בירות חץ

Three Arrows Capital (3AC) הושקה על ידי סו ג'ו וקייל דייויס, בוגרי אוניברסיטת קולומביה וותיקי קרדיט סוויס, בין קרנות הגידור הקריפטו המשפיעות ביותר. היא צברה למעלה מ-20 מיליארד דולר ב-AUM הודות להיותה משקיע מוקדם ב-Ethereum (ETH), Avalanche (AVAX), Solana (SOL) ואחרים.

עם זאת, LUNA שהתמוטט היה אחד המרכיבים המרכזיים של תיק 3AC. הצוות השקיע למעלה מ-600 מיליון דולר ב-Terra (LUNA): ההימור העצום הזה נמחק תוך שבועיים לאחר קריסת LUNA/UST.

ב-16 ביוני 2022, FT הודיעה כי 3AC לא הצליחה לעמוד בקריאות המרווח שלה עקב הפסדים בפרוטוקול העוגן של Terra. החברה גם הייתה מתחת למים בעמדות שלה ב-Staked Ether (stETH) ב-Lido Finance (LDO) DeFi וב-Grayscale Bitcoin Trust (GBTC). ביוני היא לא הצליחה להחזיר את הלוואתה לענקית הקריפטו וויאג'ר. בסוף יולי המשרד חוסל על ידי בית משפט של BVI בזמן שהנהלת 3AC הגישה בקשה לפשיטת רגל. בסך הכל, 20 משקיעים ב-3AC הפסידו יותר מ-3.5 מיליארד דולר.

נוֹסֵעַ

גם הנושה הרשומה בארצות הברית וויאג'ר נפלה קורבן לניהול סיכונים לקוי: היא סיפקה הלוואה לא מובטחת של 650 מיליון דולר ל-Three Arrows Capital בעוד שה-AUM נטו שלה היה כמעט 5.9 מיליארד דולר. הפלטפורמה התגאתה ב-3.5 מיליון לקוחות, 97% מהם השקיעו פחות מ-10,000 דולר.

באופן כללי, וויאג'ר קרסה בגלל העובדה שהצוות שלה בחר באסטרטגיה עסקית מסוכנת: היא הציעה הלוואות למספר שירותי מסחר וסוחרי מטבעות קריפטוגרפיים בודדים. כאשר המלווים החלו למשוך את כספם בהמוניהם, בתחילת יולי, וויאג'ר הקפיאה את כספי הלקוחות. כמה ימים לאחר מכן, היא הגישה בקשה להגנת פשיטת רגל בניו יורק.

וויאג'ר הציעה APR מרשים על נכסי מיינסטרים לפני ההתרסקות — *תמונה על ידי הדו"ח המוחזק*

מכיוון שהפלטפורמה התמקדה בלקוחות קמעונאיים קטנים, קריסתה הייתה הכואבת ביותר עבור חובבי מטבעות קריפטוגרפיים.

צֶלסִיוּס

Celsius הייתה, למעשה, החברה הראשונה שסימנה על הבעיות שלה: באפריל 2022 הפלטפורמה הודיעה שהיא תחזיק את כל הנכסים של משקיעים לא מוסמכים בשמירה: חלק זה של הלקוחות לא היה מסוגל להזרים נזילות חדשה ולקבל תגמולים.

במאי 2022, מפוחדים מהדרמות של UST וטרה, משתמשים החלו להעביר כסף מפרוטוקול צלזיוס. ב-12 ביוני 2022, צלסיוס הקפיאה את כספיהם של 1.7 מיליון לקוחות (בעיקר משקיעים קמעונאיים). בדיוק כמו וויאג'ר, היא הגישה בקשה לפשיטת רגל בתחילת יולי.

ב-14 ביולי 2022, היועץ המשפטי של Celsius, Kirkland & Ellis, שיתף כי מנהיגי הפלטפורמה קיבלו מידע על חור של 1.3 מיליארד דולר במאזנה.

FTX

קריסת בורסת המטבעות הקריפטו FTX של סם בנמן-פריד וחברת השקעות הקריפטו הקשורה אליה Alameda Research הייתה הדרמה המפתיעה ביותר ב-Web3: SBF וצוותו ניסו להשיג שליטה עצומה על התעשייה על ידי חתימה על עשרות שותפויות, שהופיעו על השערים של פורבס בקרוב.

עם זאת, המאזן של Alameda Research היה תלוי במידה רבה ב-FTX Token (FTT), המטבע הקריפטו המקומי של FTX. זו הסיבה שכל המערכת קרסה כאשר מנכ"ל Binance Changpeng "CZ" Zhao החל למכור באגרסיביות FTT (מעל 500 מיליון דולר שווה ערך שוחררו על ידי CZ).

ממש כמו בכל המקרים הדומים, המשקיעים החלו למשוך את כספם המונית מ-FTX. הפלטפורמה עצרה את המשיכות, SBF פרשה מתפקיד המנכ"ל והגישה בקשה לפשיטת רגל. בינתיים נודע שהוא משתמש בכספי משקיעים ולקוחות בחברת המסחר שלו, Alameda Research. עקב ניהול כושל נורא, אלמדה מחקר היה טוב מתחת למים. SBF נעצר ושוחרר בערבות בעוד שההפסדים המומשים מקריסת FTX הגיעו לשיא של 9 מיליארד דולר שווה ערך.

פריצות קריפטו מובילות בשנת 2022

כמו לכל אנליזה של מומחי אבטחת סייבר של Merkle Science, גשרים חוצי רשת פגיעים במיוחד לניצול בשל המורכבות הטכנית שלהם ואופיים הניסיוני ביותר:

גשרים בין שרשראות לרוב רגישים יותר לניצול מכיוון שהם דורשים יותר אינטראקציות ואישורי חוזים מאשר הפרוטוקולים האחרים. בנוסף, גשרים רגישים יותר להתקפות מכיוון שהם מופעלים על ידי קודי מחשב לא מבוקרים. יתרה מכך, זהותם של המאמתים/צמתים, המפעילים את העסקאות, אינה ידועה אף היא

בשנת 2022, גשרים היו היעדים העיקריים להתקפות, בעוד מנגנוני DeFi אחרים נוצלו גם הם על ידי האקרים.

תולעת

ב-3 בפברואר 2022, האקרים תקפו את Wormhole, גשר שנועד לאפשר העברת ערכים חלקה בין בלוקצ'יין הטרוגניים. עקב פגיעות בקוד, הם הצליחו להנפיק 120,000 אתרים עטופים (wETH) ב-Solana (SOL) הבלוקצ'יין מבלי להעמיד את הביטחונות המקבילים Ethereum (ETH).

הפריצה עלולה להוביל לחדלות פירעון של כל פלטפורמת DeFi שתהיה מוכנה לקבל 120,000 wETH (מודפס יש מאין) כבטחון. למרבה המזל, התרחיש הגרוע ביותר לא קרה.

Jump Crypto, חברת האם של שירות Wormhole, לקחה את כל ההפסדים: הם חידשו מיד 120,000 Ethers למאגרי הנזילות של הפרוטוקול.

אל תפחדי מהחושך

ב-23 במרץ, האקרים צפון קוריאנים מלזרוס, קבוצת פושעי סייבר ידועה לשמצה הנתמכת על ידי המדינה, תקפו את רשת רונין. רונין הוא רשת צד דמוי Ethereum שפותחה במיוחד עבור Axie Infinity, ספינת הדגל של GameFi. התוקפים רוקנו מרונין סכום עתק של 568 מיליון דולר.

האקרים הצליחו להשיג שליטה על חמש מתוך תשע חתימות אימות עבור גשר רונין. לאחר מכן הם אישרו שתי עסקאות, 173,600 Ether (ETH) ו-25.5 מיליון דולר מטבע (USDC). מתוך השלל המפלצתי הזה, יותר מ-445 מיליון דולר הולבנו באמצעות מערבל הקריפטו של Tornado Cash.

מפתחת Axie Infinity Sky Mavis גייסה מימון נוסף, הזמינה ביקורת אבטחה נוספת על ידי CertiK והגדילה את סף ה-multisig מ-5/9 ל-8/9.

נוד

באוגוסט 2022, נומד, מנגנון גשר מרובה שרשרת המעביר ערך בין Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) ושאר בלוקצ'יין, ירד מ-190.7 מיליון דולר בקריפטו. תוקפים הצליחו לנצל פגיעות של עיצוב החוזה החכם: הפרוטוקול אפשר למשתמשים למשוך כספים ב-blockchain היעד מבלי לבדוק אם הם שוות ערך לסכום שנפרס בתחילה.

12/ tl;dr שדרוג שגרתי סימן את האפס האש כשורש חוקי, מה שהביא לאפשרות לזייף הודעות ב-Nomad. תוקפים ניצלו זאת כדי להעתיק/להדביק עסקאות ורוקנו במהירות את הגשר בטירוף חופשי לכולם
— זה עכשיו חשבון חרא (@samczsun) אוגוסט

במילים פשוטות, לאחר השדרוג הרגיל, המשתמשים יכלו להפקיד 1 ETH ב-Ethereum (ETH) ולבקש משיכה שווה ערך של 100 Ethereum (ETH) מAvalanche (AVAX).

העניין הוא שכל חובב Web3 בעל ידע טכנולוגי הצליח לשחזר את וקטור ההתקפה הזה ולגנוב כספים מנומד לפני שהתיקון שוחרר. ככזה, מפתחי Ethereum (ETH) רבים משכו כספים רק כדי לשלוח אותם בחזרה לצוות Nomad: כמעט 40 מיליון דולר נשלחו בחזרה.

רזונת

ב-16 באפריל 2022, פרויקט stablecoin מבוסס Ethereum, Beanstalk (BEAN) היה יעד למתקפת הלוואות פלאש מתוחכמת. כלומר, רשעים הצליחו לקבל הלוואת הבזק ב-Aave Finance (AAVE) ולקנות את כמות אסימוני הממשל הדרושים כדי להשתלט על משאלי העם בפרוטוקול.

אז זכו התוקפים ברוב ההצבעה ואישרו העברת כספים לחשבון שלהם. כשהועברו 180 מיליון דולר, הם החזירו מיד את הלוואת הבזק; הרווח הנקי עלה על 80 מיליון דולר.

אילם חורף

בספטמבר 2022, ארנקה של Wintermute, אחת הפלטפורמות הגדולות ביותר לעשיית שוק, ירדה ל-160 מיליון דולר. תוקפים חשפו שחלק מארנקי המפתח של Wintermute נוצרו עם נשמות, מחולל של "כתובות יוקרה" עבור רשת Ethereum (ETH). תוכניות כאלה יכולות ליצור ארנקי קריפטו עם כתובות קריאות לאדם, למשל, 0xJohnDoe1111… וכדומה.

עקב פגיעות בעיצוב של גסויות, התוקפים הצליחו לאלץ את כתובות ההבל ולשחזר מפתחות פרטיים. המתקפה התאפשרה עקב משאבי מחשוב משמעותיים שניצלו על ידי רשעים.

בונוס: אל תיפול להונאות ארוכות טווח אלה

לצד תרחישים מתוחכמים הכוללים הלוואות פלאש של מיליארד דולר, צצים פה ושם האקרים צפון קוריאנים וחומרה מרשימה לקמפיינים של תרמית אכזרית, פרימיטיבית מאוד. שלושה עיצובי תקיפה נפוצים מאוד בקריפטו נכון ל-1:

1. טיפות אוויר מזויפות. כדי להפעיל את ההונאה הזו, פוגעים מארגנים קמפיין פרסום ביוטיוב או מפרסמים את המודעה שלהם בטוויטר. ואז הם מכריזים שסלבריטאי אינטרנט (סנופ דוג), יזם טכנולוגיה מוביל (ויטאליק בוטרין או אילון מאסק) או אפילו פוליטיקאי (דונלד טראמפ) מפיל מטבעות קריפטוגרפיים. כל מי שמוכן לתבוע את הבונוסים שלו צריך לשלוח הפקדה ראשונית (שלכאורה תוחזר עם רווח של 100%) או את המפתחות הפרטיים שלו. מיותר לציין ששתי הקבוצות יאבדו את הפיקדונות שלהן או את כל הכסף מהארנק.

כיצד להגן על עצמך: לעולם אל תשלח את כספך ל"מארגני Airdrop" או תחשוף את המפתחות הפרטיים שלך או ביטויי הזרע שלך.

2. בוטים של MEV בעבודת יד. הערך המרבי הניתן לחילוץ (MEV) הוא התגמול המרבי שמשתתפים ברשת Ethereum (ETH) יכולים לקבל עבור תרומתם בתהליך אימות החסימה. טכניקות מתוחכמות מאפשרות לנו להפיק תועלת מאופטימיזציה של MEV. הרמאים מציבים מדריכי וידאו או טקסט כיצד לבנות "בוטים MEV" משלך כדי לקבל גישה לארנקי Ethereum (ETH) ולנקז כספים.

כיצד להגן על עצמך: הימנע מבוטי MEV "מיידיים" ממדריכי YouTube.

3. הרמאים באים להציל. מכיוון ששנת 2022 היא בהחלט שנה של פריצות, משתמשי קריפטו רבים בודקים אם הבלוקצ'יין המועדף עליהם נשבר. רמאים מפרסמים הודעות מזויפות על פרויקט זה או אחר שנפרץ ומשיקים תוכניות "פיצוי" מזויפות. כל המעוניינים בפיצוי מתבקשים לשלוח את ביטויי הזרע שלהם לרמאים.

כיצד להגן על עצמך: בדוק רק חדשות על פריצות בערוצי מדיה רשמיים של בלוקצ'יין.

סגירת מחשבות

בשנת 2022, רוב הקריסה הופעלה מהצניחה הכואבת של מחירי מטבעות קריפטוגרפיים, ניהול סיכונים לקוי ותאוות בצע של הבעלים של מוצרי מטבעות קריפטוגרפיים מרכזיים. לכן ביזור הוא עניין גדול: חוכמת ההמון של DAO תמנע קריסות בקנה מידה FTX/צלזיוס/Voyager.

בינתיים, מוצרים על השרשרת צריכים לדאוג לביקורות אבטחה, עדכונים וניהול מטוסים פרטיים.

מקור: https://u.today/top-10-crypto-scams-and-hacks-of-2022