Sipas TRM Analiza e laboratorëve, 2022 ishte një vit rekord për hakimet e kriptove, me rreth 3.7 miliardë dollarë kripto të vjedhura. Defi Sulmet ishin të përhapura, me rreth 80%, ose 3 miliardë dollarë, që përfshinin viktima të DeFi.
Ndërsa shkojmë në 2023 me optimizëm për premtimin e një teknologjie të sapolindur, ne duhet të shikojmë prapa për të mësuar nga sfidat dhe pengesat me të cilat u përballëm në prapavijë.
Hakimi i kriptos së infrastrukturës Ronin Bridge
Pafundësi Axie Hakimi i kriptove të urës Ronin në mars kryeson listën me 612 milionë dollarë. Ura Ronin është një Ethereum zinxhir anësor për lojën për të fituar Axie Infinity.
Hakerët e kriptove, të identifikuar sot si një grup krimi kibernetik i Koresë së Veriut i quajtur Lazarus, fituan akses në nëntë çelësa privatë të verifikuesve të transaksioneve të urës Ronin. Duke përdorur çelësat, ata miratuan transaksione të mëdha, njëra për 173,600 ETH dhe tjetra për 25.5 milionë USDC.
Hakerët e zhvendosën kripto-n në para të gatshme Tornado, një kriptoshkë me burim të hapur dhe disa shkëmbime të tjera.
Përpjekjet e përbashkëta nga komuniteti, Binance, Chainalysis dhe zbatuesit e ligjit ndihmuan në gjetjen e disa prej fondeve.
Shfrytëzimi i kodit të BSC Beacon ndër-urë
Në tetor, hakerët shfrytëzuan një dobësi në kodin e urës së kryqëzuar të BSC Beacon për të vjedhur kripto me vlerë 570 milionë dollarë. Ura është një komponent kritik i zinxhirit BNB.
Zinxhiri BSC Beacon, i referuar si Token Hub, është një urë lidhëse midis zinxhirit BNB Beacon (BEP2) dhe Zinxhirit BNB (BEP20/BSC).
Sulmi funksionoi nga falsifikimi i provave kriptografike quajtur prova Merkle që konfirmoi të dhënat si transaksionet si të vlefshme dhe të përfshira në Blockchain. Hakeri cyrpto përdori provën e rreme të Merkle për të transferuar fonde nga ura e kryqëzuar BSC Beacon në zinxhirë të tjerë.
Tether bllokoi adresën e sulmuesit ndërsa mbi 7 milionë dollarë të lëvizura nga zinxhiri BNB u ngrinë në mënyrë efektive.
Shfrytëzimi i kodit të urës së krimbit
Hakerët kripto shfrytëzuan kodin e wormhole në shkurt të kriptos me vlerë 326 milionë dollarë. Një vrimë krimbi është një urë simbolike midis Solanës dhe Ethereum.
Hakeri i kriptove përdori një funksion të vjetëruar/të vdekur të pasigurt për të anashkaluar verifikimin e nënshkrimit.
Një kod i vjetëruar mund të krahasohet me një shënim ngjitës që thotë, "Unë do ta fshij këtë në të ardhmen". Nuk mund ta fshish kodin tani sepse disa konsumatorë e përdorin ende atë.
Një zinxhir delegacionesh të verifikimit të nënshkrimit mundësoi hakimin e kriptove. Funksioni i vjetëruar nuk kontrolloi adresat, duke lejuar vërtetimin e një nënshkrimi të falsifikuar.
Sipas analistëve kibernetikë, zhvilluesit mund ta kishin shmangur sulmin nëse do të kishin praktikuar 'kodimin e sigurt'.
Shfrytëzimi i kodit të urës nomad
Hakerët shfrytëzuan urën e kriptove Nomad në gusht të kriptove me vlerë 190 milionë dollarë. Hakeri praktikisht mbaroi të gjitha fondet në protokoll – shfrytëzimet në rritje vuri në pikëpyetje sigurinë e urave të shenjave të ndërthurura.
Urat funksionojnë duke i kyçur argumentet në një kontratë inteligjente në një zinxhir dhe më pas duke i rilëshuar ato në një format 'të mbështjellë' në një zinxhir tjetër. Në rastin e Nomad-it, sulmi sabotoi kontratën duke i bërë të pavlefshme argumentet e saj të mbështjella.
Nomad, në fakt, vendosi një shpërblim duke i kërkuar hakerit të mbajë 10% të fondeve dhe të mos përballet me asnjë veprim ligjor plus një bonus whitehat NFT. Sulmuesi në fund ktheu vetëm 36 milionë dollarë.
Sulmi i protokollit Beanstalk
Në një fundjavë fatale në prill, një haker përdori një hua flash për të vjedhur 182 milionë dollarë në ETH, BEAN stablecoin dhe asete të tjera nga protokolli Beanstalk stablecoin.
Një kredi flash është një veçori që u mundëson përdoruesve të marrin hua një aktiv, të bëjnë një tregti të shpejtë dhe më pas ta shlyejnë atë në një transaksion të vetëm kompleks përmes protokolleve të shumta.
Sulmuesi i paraqiti dy propozime keqdashëse Beanstalk DAO përmes funksionit të kryerjes së urgjencës, i cili kërkonte një votë ⅔ dhe më pas u zbatua pas 24 orësh.
Sulmuesi me djallëzi përdori funksionin e kredisë flash për të marrë kontrollin 79% dhe për të kaluar propozimin e tij.
Sulmuesi dërgoi fondet në protokoll për të shlyer kredinë e tij të shpejtë dhe pjesën tjetër në adresën e fondit të Ukrainës. Në fund, ai fitoi 76 milionë dollarë.
Më shumë mega hakime të kriptove
Të tjera mega hakime të kriptove përfshijnë sulmin infrastrukturor prej 160 milionë dollarësh të Wintermute në prill, sulmin mbi Infrastrukturën prej 113 milionë dollarësh të Maiar/Elrond në qershor, sulmin e Infrastrukturës prej 112 milionë dollarësh të Mango Markets në tetor dhe sulmin në Infrastrukturën prej 100 milionë dollarësh të urës Harmony në qershor.
Burimi: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/