10 بزرگترین هک و اکسپلویت کریپتو در سال 2022 به سرقت رفته 2.1 میلیارد دلار

10 سوء استفاده بزرگ ارزهای دیجیتال به تنهایی بیش از 2 میلیارد دلار برای بازیگران بدخواه در سالی که شاهد ورشکستگی و ورشکستگی بودیم، درآمد کسب کردند.

امسال سال پرتلاطمی برای صنعت کریپتوکارنسی بوده است. قیمت‌های بازار به شدت کاهش یافته است، غول‌های رمزنگاری سقوط کرده‌اند و میلیاردها دلار در سوء استفاده‌ها و هک‌های ارزهای دیجیتال به سرقت رفته‌اند.

حتی اواسط اکتبر نگذشته بود که Chainalysis سال 2022 را “بزرگترین سال برای فعالیت هکری” اعلام کرد.

از 29 دسامبر، 10 سوء استفاده بزرگ سال 2022، 2.1 میلیارد دلار از پروتکل های رمزنگاری به سرقت رفته است. در زیر اکسپلویت ها و هک ها از کمترین تا بزرگ ترین رتبه بندی شده اند.

10: بهره برداری از مزارع لوبیا – 76 میلیون دلار

Beanstalk Farms، یک پروتکل استیبل کوین، در 18 آوریل توسط مهاجمان با استفاده از وام های فلش برای خرید توکن های حاکمیتی به مبلغ 76 میلیون دلار مورد سوء استفاده قرار گرفت. این برای تصویب دو پیشنهاد برای تزریق قراردادهای هوشمند مخرب استفاده شد.

در ابتدا تصور می شد که این اکسپلویت حدود 182 میلیون دلار هزینه داشته است تمام وثیقه های Beanstalk تمام شد، اما در نهایت کمتر از نیمی از آن از دست مهاجمان فرار کرد.

9: Qubit Finance Bridge Exploit – 80 میلیون دلار

Qubit Finance، یک پروتکل مالی غیرمتمرکز (DeFi) در زنجیره هوشمند BNB، 80 میلیون دلار BNB (BNB) در یک پل در 28 ژانویه به سرقت رفت.

مهاجمان قرارداد هوشمند پروتکل را فریب دادند و تصور کردند که وثیقه‌ای را سپرده‌اند که می‌تواند دارایی‌ای به نمایندگی از پل اتر (ETH) ایجاد کند.

آنها این کار را بارها و بارها انجام داده اند و چندین ارز دیجیتال را در مقابل پل بدون پشتوانه ETH وام گرفته و منابع مالی پروتکل را تخلیه کرده اند.

8: بهره برداری از فیوز Rari – 79.3 میلیون دلار

یکی دیگر از پروتکل های DeFi به نام Rari Capital با قیمت حدود 79.3 میلیون دلار در 30 آوریل مورد سوء استفاده قرار گرفت.

مهاجمان با فراخوانی تابعی در قرارداد مخرب برای خالی کردن استخر از تمام رمزارزها، از یک آسیب پذیری ورود مجدد در قرارداد هوشمند استخر نقدینگی Rar Fuse پروتکل سوء استفاده کردند.

در ماه سپتامبر، Tribe DAO، که شامل Rari Capital و دیگر پروتکل‌های DeFi می‌شود، به بازپرداخت وجه کاربران آسیب دیده از هک رای داد.

7: هک کردن پل هارمونی – 100 میلیون دلار

در یکی دیگر از هک‌های پل، Horizon Bridge، که زنجیره‌های اتریوم، بیت‌کوین (BTC) و BNB را به بلاک چین لایه 1 Harmony مرتبط می‌کند، نزدیک به 100 میلیون دلار از ارزهای دیجیتال متعدد استخراج کرد.

شرکت پزشکی قانونی بلاک چین Elliptic شناسایی کرده است که سندیکای جرایم سایبری کره شمالی Lazarus Group هک شده است.

لازاروس اعتبار ورود کارکنان هارمونی را هدف قرار داد تا سیستم های امنیتی پلتفرم را به خطر بیاندازد و کنترل پروتکل را قبل از استقرار یک برنامه شستشوی خودکار برای انتقال سودهای غیرقانونی به دست آورد.

6: BNB Chain Bridge Exploit – 100 میلیون دلار

زنجیره BNB در تاریخ 6 اکتبر به دلیل “فعالیت نامنظم” در شبکه به حالت تعلیق درآمد. این بعداً به عنوان یک سوء استفاده که تقریباً 100 میلیون دلار از BSC Token Hub، یک پل زنجیره ای متقاطع، افشا شد.

در ابتدا، اعتقاد بر این بود که آسیب پذیری که اجازه ایجاد حدود 2 میلیون BNB، نشانه اصلی زنجیره را می دهد، به مهاجمان اجازه می دهد تا حدود 600 میلیون دلار به دست آورند.

متأسفانه برای مهاجمان، حدود 400 میلیون دلار دارایی دیجیتال در بلاک چین مسدود شد و بسیاری دیگر ممکن بود در یک پل زنجیره ای در سمت بلاک چین BNB به دام افتاده باشند.

5: هک Wintermute – 160 میلیون دلار

Wintermute، یک سازنده بازار ارزهای دیجیتال مستقر در بریتانیا، گفت که کیف پول داغ آن به خطر افتاده است و تقریباً 160 میلیون دلار در 70 توکن از این کیف پول منتقل شده است.

تجزیه و تحلیل CertiK، یک شرکت امنیت سایبری بلاک چین، نشان داد که کلید خصوصی آسیب‌پذیر احتمالاً توسط Profanity تولید شده است، برنامه‌ای که به کاربران اجازه می‌دهد آدرس‌های رمزنگاری بیهوده تولید کنند، که شناخته شده است یک سوء استفاده برای آن وجود دارد.

به گفته CertiK، این به مهاجمان اجازه می‌دهد تا از ویژگی‌هایی با کلیدهای خصوصی استفاده کنند که به هکرها اجازه می‌دهد قرارداد مبادله پلتفرم را به قرارداد خود تغییر دهند.

با توجه به نحوه انجام هک، یک تئوری توطئه که ادعا می‌کرد هک یک «کار درونی» است، توسط BrockSec از BrockSec رد شد و گفت این ادعا «به اندازه کافی قانع‌کننده نیست».

4: Nomad Token Bridge Exploit – 190M

در 2 آگوست، پل توکن Nomad که به کاربران امکان مبادله ارزهای رمزنگاری شده از طریق چندین بلاک چین را می دهد، توسط چندین مهاجم به قیمت 190 میلیون دلار مورد ضربه قرار گرفت.

این اکسپلویت به دلیل آسیب‌پذیری قرارداد هوشمند بود که نتوانست به درستی ورودی‌های تراکنش را تأیید کند.

چندین کاربر (هر دو به ظاهر بدخواه و خوش نیت) توانستند حرکات مهاجم اصلی را کپی کرده و پول خود را قیف کنند. در گزارش، حدود 88 درصد از آدرس‌هایی که در این اکسپلویت شرکت کردند، به عنوان «کپی‌کننده» شناسایی شدند.

تنها حدود 32.6 میلیون دلار وجوه توانستند توسط هکرهای کلاه سفید رهگیری و به پروتکل بازگردانده شوند.

3: بهره برداری از پل کرم چاله – 321 میلیون دلار

Wormhole Token Bridge در 2 فوریه مورد بهره برداری قرار گرفت و منجر به از دست رفتن 120000 توکن Wrapped Ether (wETH) به ارزش 321 میلیون دلار شد.

کرم‌چاله‌ها به کاربران اجازه می‌دهند رمزارز را در چندین بلاک چین ارسال و دریافت کنند. یک مهاجم آسیب پذیری را در قرارداد هوشمند پروتکل کشف کرد که به او اجازه می داد 120000 wETH در Solana (SOL) بدون وثیقه ایجاد کند و آن را با ETH مبادله کند.

در آن زمان، به عنوان بزرگترین سوء استفاده سال 2022 و سومین ضرر بزرگ پروتکل برای کل سال مشخص شد.

2: کیف پول FTX هک شد – 477 میلیون دلار

هنگامی که مراحل ورشکستگی FTX در 11 و 12 نوامبر آغاز شد، یک سری تراکنش های غیرقانونی در صرافی انجام شد که Elliptic نشان داد که حدود 477 میلیون دلار ارز دیجیتال به سرقت رفته است.

در مصاحبه ای در 16 نوامبر، سام بنکمن-فرید مجرمان را به هشت نفر کاهش داد و معتقد بود که “یا کارمند سابق یا جایی که شخصی بدافزار را روی رایانه کارمند سابق نصب کرده است.” او گفت که از آن قفل شده است. سیستم شرکت

مربوط: 7 بزرگ‌ترین سقوط کریپتو در سال 2022 که صنعت می‌خواهد آن را فراموش کند

بر اساس گزارش ها، در 27 دسامبر، وزارت دادگستری ایالات متحده محل اختفای حدود 372 میلیون دلار ارزهای رمزنگاری شده گمشده را بررسی کرد.

1: هک پل رونین – 612 میلیون دلار

بزرگترین سوء استفاده ای که در سال 2022 رخ داد، در 23 مارس رخ داد، با بهره برداری از پل رونین با قیمت تقریبی 612 میلیون دلار (173600 ETH و 25.5 میلیون دلار کوین (USDC)).

رونین یک زنجیره جانبی اتریوم است که برای Axie Infinity، یک بازی توکن غیرقابل تعویض (NFT) برای بازی و کسب درآمد ساخته شده است. Sky Mavis توسعه‌دهنده Axie Infinity گفت هکرها به کلیدهای خصوصی دسترسی پیدا کرده‌اند، گره‌های اعتبارسنجی را به خطر می‌اندازند و تراکنش‌های تایید شده‌ای که پول را از پل تخلیه می‌کنند.

وزارت خزانه داری ایالات متحده لیست خود از اتباع ویژه و افراد مسدود شده (SDN) را در 14 آوریل به روز کرد تا نشان دهد که گروه لازاروس احتمالاً پشت سوء استفاده های این پل بوده است.

هک پل رونین بزرگترین سوء استفاده از ارزهای دیجیتال در تاریخ است.

نویسنده: Jesse Coghlan