מיליוני דולרים כבר הפסידו לפריצות ב-2023

פרצות אבטחה ופריצות הפכו למציאות קשה בעולם הצומח במהירות של מטבעות קריפטוגרפיים. עם נכסים בשווי מיליוני דולרים על הקו, להקדים את המשחק ולהגן על ההשקעות שלך הוא קריטי. נעמיק בנוף פריצת הקריפטו של 2023, נבחן את המספר המדהים של תקריות שהתרחשו עד כה.

השנה כבר הייתה עדה לכמות משמעותית של פריצות. BonqDAO, dForce, Magic Eden, OpenSea והרמוני הם חלק מהשמות שנפלו קורבן לפריצות אלו.

פריצה של צד שלישי מואשמת בתמונות לא הולמות שהוצגו ב-Magic Eden

השנה התחילה בפעילות יוצאת דופן במג'יק עדן. אתר האינטרנט של הבורסה הבלתי ניתנת לשינוי (NFT) Magic Eden הוצף בתצלומים מוזרים.

ב-3 בינואר, שוק ה-NFT המנוהל על ידי סולנה (סוֹל) הודיעה בטוויטר שלא נפרצה, אך במקום זאת נפרץ שירות אירוח התמונות של החברה, שהתארח באתר של צד שלישי, מה שגרם לחשיפה של כמה תמונות לא נעימות.

היי חבר'ה ספק התמונות שלנו, שירות צד שלישי שבו אנו משתמשים כדי לשמור תמונות במטמון, נפגע. ה-NFT שלך בטוחים ומג'יק עדן לא נפרץ. לרוע המזל אולי ראיתם כמה תמונות לא נעימות. ודא שאתה מבצע רענון קשה בדפדפן שלך כדי לתקן את זה.
— Magic Eden 🪄 (@MagicEden) ינואר 3, 2023

באותו יום, משתמשים רבים ב-Magic Eden שם לב שלחיצה על עמוד של אוסף העלתה תמונה פורנוגרפית ולא את התמונה הממוזערת הרגילה של NFT. כמה אנשים אמרו שהם ראו סטילס מתיאוריית המפץ הגדול.

ארגון או אדם לא ידועים חטפו את חשבון הטוויטר שמאחורי פלטפורמת המסחר במטבעות קריפטוגרפיים ומניות רובין כדי לעודד משתמשים לרכוש אסימון חדש.

ב-25 בינואר, מספר משתמשי טוויטר קריפטו הצהירו ש-Robinhood Twitter פרסמה ציוץ הקורא ל-1.1 מיליון העוקבים שלה לשלם 0.0005 דולר עבור אסימון ברשת החכמה BNB בשם "RBH". לפני שהפוסט נמחק, ראש תפעול עסקי המוצר ב-Coinbase, קונור גרוגן, אמר כי לפחות עשרה לקוחות רכשו כ-1,000 דולר מהמטבע המרמה.

המייסד והמנכ"ל של Binance, Changpeng Zhao, אמר אז כי צוות האבטחה של החברה הקפיא את החשבון המחובר לפוסט והוא "מחכה לחקירות נוספות".

הציוץ הידוע לשמצה נמחק מאוחר יותר. דובר מטעם Robinhood הודיע לרשת מטבעות קריפטוגרפיים, Cointelegraph, כי ההאקר, שנחשב כ"ספק צד שלישי", פרסם את המידע גם באתרי האינסטגרם והפייסבוק של הפלטפורמה.

האקרים צפון קוריאנים מנסים להלבין כספים שנגנבו מהתקפת הרמוני

נראה כי נוכלים צפון קוריאנים האחראים לניצול על גשר הרמוני שאירע ביוני 2022 ממשיכים במאמצים שלהם להלבין את הכסף בינואר השנה. על פי נתוני השרשרת שפורסמו ב-28 בינואר על ידי חשבון טוויטר פופולרי ו"בלש בלוקצ'יין" ZachXBT המוכרז, האשמים העבירו 17,278 אתר, שווה ערך לכ-29 מיליון דולר בזמן כתיבת שורות אלה, במהלך אותו סוף שבוע.

מי rn פעיל?
DPRK בדיוק סיימה להלבין עוד 17.7 מיליון דולר+ (11304 ETH) מהפריצה של Harmony Bridge.
S/o לבורסות שהגיבו במהירות בסוף שבוע כדי שניתן יהיה להקפיא כספים. pic.twitter.com/sUyUScHR4N
— ZachXBT (@zachxbt) ינואר 29, 2023

ZachXBT טען כי האסימונים נשלחו לשש בורסות קריפטו אחרות, אך הוא לא חשף לאילו אתרים הועברו האסימונים. עסקאות בוצעו משלוש כתובות עיקריות.

ZachXBT טוענת כי לבורסות הודיעו על העברות הכספים, וכתוצאה מכך נחסם חלק מהכספים שנגנבו. לדברי בלש הקריפטו, הפעולות שננקטו על ידי המנצלים להלבנת הכסף היו זהות להפליא לאלו שהתרחשו ביוני אשתקד, אז הולבנו יותר מ-60 מיליון דולר.

גם AllianceBlock ספגה מכה

AllianceBlock הפסידה מיליוני דולרים עקב מתקפה שגרמה לאחרונה לגניבה של 110 מיליון אסימוני ALBT מ-Bonq, פרויקט הלוואות מבוזר שנבנה על Polygon.

הַכרָזָה
לאחרונה אירע תקרית שכללה מספר ALBT Troves על Bonq, כאשר התוקף השיג גישה ל-110M ALBT.
האירוע מבודד לטרובס הללו. אף אחד מהחוזים החכמים שלנו לא הופר או נפרץ. pic.twitter.com/puntkIPK3G
— AllianceBlock (@allianceblock) פברואר 1, 2023

בשל הניצול של 12 מיליון דולר, AllianceBlock, a לפלטפורמה המתיימרת להיות ממוקדת בגישור בין עולמות פיננסים מבוזרים (DeFi) ועולמות פיננסים מסורתיים (TradFi), יש סבל נסיגה אדירה.

לפי הצהרת החברה, התוקפים ניצלו פגם אבטחה בבונק, שאפשר להם לגשת ל-110 מיליון אסימוני ALBT. הפרויקט טוען שהפגיעות היא ייחודית ל-Bonq ושאף אחד מהחוזים החכמים שלה לא נפגע במהלך המתקפה.

BonqDAO פגע שוב

ארגון אוטונומי מבוזר מעט צנוע (DAO) הפך גם הוא לקורבן של פריצת חוזה חכם משמעותית, שהביאה לגניבה של 120 מיליון דולר מהפרוטוקול שלו.

המנצל הצליח לשלוט במחיר של האסימון AllianceBlock (ALBT) לאחר ש-BonqDAO הודיעה לעוקבי הטוויטר שלה ב-1 בפברואר שהפרת אורקל פגעה בפרוטוקול Bonq שלה. זה אפשר לנצלן לגנוב אסימונים.

על פי ממצאי חקירה עצמאית שערכה חברת האבטחה הבלוקצ'יין PeckShield, סכום הכסף שנגנב בפריצת Bonq עמד על כ-120 מיליון דולר. נתון זה חושב על ידי הפחתת 108 מיליון דולר מ-98.65 מיליון אסימוני BEUR ו-11 מיליון דולר מ-113.8 מיליון אסימוני ALBT עטופים (wALBT).

לפי PeckShield, התוקף התעסק במחיר של אסימון wALBT על ידי שינוי פונקציית עדכון המחיר של האורקל באחד מהחוזים החכמים של BonqDAO.

זה הביא לניצול ה-BEUR וה-wALBT. לאחר מכן, ההאקר שרף את כל 113.8 מיליון wALBT כדי לפתוח את ALBT, לאחר שסחר בסביבות 500,000 דולר BEUR עבור USDC ב-Uniswap.

ספרקס סובל מגשר נוסף

Spreek, משתמש בטוויטר, התריע בפני הקהילה ב-4 בפברואר כי נעשה שימוש לרעה ב-Sperax USD (USD) בשווי 250,000 דולר.

על פי ממצאיו, התקיפה הגדילה במידה ניכרת את הדולר הזמין. זה לא השאיר שום זכר ביומני ההעברה שיצביעו על טביעה או העברת כמות אינסופית של אסימונים.

החוזה החכם של Sperax USD לא הראה סימנים לכך שעודכן בזדון. בהתאם לכך, החוקר שיער שייתכן שהתוקף השתמש בפגיעות בפונקציית ה-rebasing של ה-stablecoin.

נראה כמו @SperaxUSD ספג ניצול לפני כמה שעות שבו אספקת ה-USD נפחה בצורה דרסטית על ידי משתמש בודד. המערכת הושהתה כעת, אך התוקף הצליח לחלץ ~250k לפני כן pic.twitter.com/6szuqdpUUo
— Spreek (@spreekaway) פברואר 4, 2023

יומנים על השרשרת להציע שהתוקף הסתלק עם מטבעות יציבות בשווי של יותר מ-$250,000 לפני שספרקס השעתה את מערכת ה-USD.

dForce גם סובל מניצול

רשת dForce הייתה קורבן נוסף של פברואר מתקפת פריצה חמורה שהביאה לנזקים שעלו על כ-3.65 מיליון דולר.

לאחר שנה שבה חלל הקריפטו היה נתון למספר תקיפות, פברואר, כמו ינואר, התחיל עם דפוס קצבי. ב-10 בפברואר, PeckShield פרסמה אזהרה לגבי מתקפת סייבר ב-dForce net. החברה העריכה כי סכום הכסף שאבד היה כ-3.65 מיליון דולר.

PeckShield הביא תשומת לב לעובדה שהכסף נלקח בשני נדבכים שונים: אופטימיות וארביטרום. לפי הציוץ שלהם, ההפסדים לכאורה היו קשורים לשלושה סוגים שונים של נכסי מטבעות קריפטוגרפיים. פלטפורמת האבטחה הבלוקצ'יין, למשל, גילתה ש-dForce זרקה כ-1,236.65 ETH ו-719,437 USX בשידור חי עקב פרוטוקול ארביטרום שכבה-2.

לאחר מכן צייצה PeckShield בקשה ל-dForce לחקור את הפגיעות. שעה וחצי לאחר הדיווח הראשוני, dForce אימתה את הפרטים. כספות wstETH/ETH ב-Arbitrum ואופטימיות נוצלו לאחרונה, לפי הרשת.

כספות מד Curve wstETH/ETH ב-Arbitrum & Optimism נוצלו לפני מספר שעות, ומיד השהינו את dForce Vaults - חלקים אחרים של הפרוטוקול נשארים ללא פגע וכספי המשתמש בטוחים עם dForce Lending.
נחזור בקרוב עם דוח מפורט ופתרונות.
— dForce (@dForcenet) פברואר 10, 2023

dForce אמרו שהם גילו את הבעיות כמה שעות קודם לכן ועצרו מיד את הכספות כדי להגביל את המשבר. עם זאת, הם הדגישו שרוב התהליך הזה עדיין מתפקד ושהכסף עדיין מאוכסן בצורה מאובטחת ב-dForce Lending. עם זאת, בזמן כתיבת שורות אלה, dForce לא חשף כל היבט של התקיפה. הם אמרו שיגיע מאמר המתאר את הפתרונות בפירוט רב.

OpenSea לא נשאר מאחור

בפברואר 2022, OpenSea הייתה קורבן למתקפת פישינג משמעותית, שהובילה לגניבה של אסימונים לא ניתנים לשינוי (NFT) בשווי של למעלה מ-1.7 מיליון דולר מהמשתמשים שלה. שוק ה-NFT היה נתון למתקפות רבות במהלך השנים האחרונות. על פי הדיווחים, משתמשי OpenSea הפסידו בסך הכל 3.9 מיליארד דולר בגלל פעילויות הונאה בשנת 2022 בלבד.

אמצעי אבטחה נאותים, מישהו?

כשנכנסנו לשנת 2023, הייתה מקהלה מהדהדת של התחייבויות להגביר את האבטחה בתוך מגזר הקריפטו. עם זאת, עד כה חל שינוי קטן במצב. עסקים מבוססי בלוקצ'יין צריכים לעשות יותר כדי להגן על הלקוחות שלהם מפני פעילות הונאה.

מאז תקלת ה-FTX, נראה כי בורסות רבות התמקדו בשקיפות והוכחת כספים, אך שאלת הבטחת הנכסים צריכה תמיד להיות בראש סדר העדיפויות.

המשתמשים עצמם חייבים לנקוט בפעולה כדי להגן על הנכסים שלהם תוך כדי היזהרות ממאמצי דיוג ולבצע עסקאות רק עם בורסות וארנקים מכובדים.

עקוב אחרינו בחדשות Google

מקור: https://crypto.news/millions-of-dollars-already-lost-to-hacks-in-2023/