۱۰ بزرگترین هک و اکسپلویت کریپتو در سال ۲۰۲۲ به سرقت رفته ۲.۱ میلیارد دلار
۱۰ سوء استفاده بزرگ ارزهای دیجیتال به تنهایی بیش از ۲ میلیارد دلار برای بازیگران بدخواه در سالی که شاهد ورشکستگی و ورشکستگی بودیم، درآمد کسب کردند.
امسال سال پرتلاطمی برای صنعت کریپتوکارنسی بوده است. قیمتهای بازار به شدت کاهش یافته است، غولهای رمزنگاری سقوط کردهاند و میلیاردها دلار در سوء استفادهها و هکهای ارزهای دیجیتال به سرقت رفتهاند.
حتی اواسط اکتبر نگذشته بود که Chainalysis سال ۲۰۲۲ را “بزرگترین سال برای فعالیت هکری” اعلام کرد.
از ۲۹ دسامبر، ۱۰ سوء استفاده بزرگ سال ۲۰۲۲، ۲.۱ میلیارد دلار از پروتکل های رمزنگاری به سرقت رفته است. در زیر اکسپلویت ها و هک ها از کمترین تا بزرگ ترین رتبه بندی شده اند.
۱۰: بهره برداری از مزارع لوبیا – ۷۶ میلیون دلار
Beanstalk Farms، یک پروتکل استیبل کوین، در ۱۸ آوریل توسط مهاجمان با استفاده از وام های فلش برای خرید توکن های حاکمیتی به مبلغ ۷۶ میلیون دلار مورد سوء استفاده قرار گرفت. این برای تصویب دو پیشنهاد برای تزریق قراردادهای هوشمند مخرب استفاده شد.
در ابتدا تصور می شد که این اکسپلویت حدود ۱۸۲ میلیون دلار هزینه داشته است تمام وثیقه های Beanstalk تمام شد، اما در نهایت کمتر از نیمی از آن از دست مهاجمان فرار کرد.
۹: Qubit Finance Bridge Exploit – 80 میلیون دلار
Qubit Finance، یک پروتکل مالی غیرمتمرکز (DeFi) در زنجیره هوشمند BNB، ۸۰ میلیون دلار BNB (BNB) در یک پل در ۲۸ ژانویه به سرقت رفت.
مهاجمان قرارداد هوشمند پروتکل را فریب دادند و تصور کردند که وثیقهای را سپردهاند که میتواند داراییای به نمایندگی از پل اتر (ETH) ایجاد کند.
آنها این کار را بارها و بارها انجام داده اند و چندین ارز دیجیتال را در مقابل پل بدون پشتوانه ETH وام گرفته و منابع مالی پروتکل را تخلیه کرده اند.
۸: بهره برداری از فیوز Rari – 79.3 میلیون دلار
یکی دیگر از پروتکل های DeFi به نام Rari Capital با قیمت حدود ۷۹.۳ میلیون دلار در ۳۰ آوریل مورد سوء استفاده قرار گرفت.
مهاجمان با فراخوانی تابعی در قرارداد مخرب برای خالی کردن استخر از تمام رمزارزها، از یک آسیب پذیری ورود مجدد در قرارداد هوشمند استخر نقدینگی Rar Fuse پروتکل سوء استفاده کردند.
در ماه سپتامبر، Tribe DAO، که شامل Rari Capital و دیگر پروتکلهای DeFi میشود، به بازپرداخت وجه کاربران آسیب دیده از هک رای داد.
۷: هک کردن پل هارمونی – ۱۰۰ میلیون دلار
در یکی دیگر از هکهای پل، Horizon Bridge، که زنجیرههای اتریوم، بیتکوین (BTC) و BNB را به بلاک چین لایه ۱ Harmony مرتبط میکند، نزدیک به ۱۰۰ میلیون دلار از ارزهای دیجیتال متعدد استخراج کرد.
شرکت پزشکی قانونی بلاک چین Elliptic شناسایی کرده است که سندیکای جرایم سایبری کره شمالی Lazarus Group هک شده است.
لازاروس اعتبار ورود کارکنان هارمونی را هدف قرار داد تا سیستم های امنیتی پلتفرم را به خطر بیاندازد و کنترل پروتکل را قبل از استقرار یک برنامه شستشوی خودکار برای انتقال سودهای غیرقانونی به دست آورد.
۶: BNB Chain Bridge Exploit – 100 میلیون دلار
زنجیره BNB در تاریخ ۶ اکتبر به دلیل “فعالیت نامنظم” در شبکه به حالت تعلیق درآمد. این بعداً به عنوان یک سوء استفاده که تقریباً ۱۰۰ میلیون دلار از BSC Token Hub، یک پل زنجیره ای متقاطع، افشا شد.
در ابتدا، اعتقاد بر این بود که آسیب پذیری که اجازه ایجاد حدود ۲ میلیون BNB، نشانه اصلی زنجیره را می دهد، به مهاجمان اجازه می دهد تا حدود ۶۰۰ میلیون دلار به دست آورند.
متأسفانه برای مهاجمان، حدود ۴۰۰ میلیون دلار دارایی دیجیتال در بلاک چین مسدود شد و بسیاری دیگر ممکن بود در یک پل زنجیره ای در سمت بلاک چین BNB به دام افتاده باشند.
۵: هک Wintermute – 160 میلیون دلار
Wintermute، یک سازنده بازار ارزهای دیجیتال مستقر در بریتانیا، گفت که کیف پول داغ آن به خطر افتاده است و تقریباً ۱۶۰ میلیون دلار در ۷۰ توکن از این کیف پول منتقل شده است.
تجزیه و تحلیل CertiK، یک شرکت امنیت سایبری بلاک چین، نشان داد که کلید خصوصی آسیبپذیر احتمالاً توسط Profanity تولید شده است، برنامهای که به کاربران اجازه میدهد آدرسهای رمزنگاری بیهوده تولید کنند، که شناخته شده است یک سوء استفاده برای آن وجود دارد.
به گفته CertiK، این به مهاجمان اجازه میدهد تا از ویژگیهایی با کلیدهای خصوصی استفاده کنند که به هکرها اجازه میدهد قرارداد مبادله پلتفرم را به قرارداد خود تغییر دهند.
با توجه به نحوه انجام هک، یک تئوری توطئه که ادعا میکرد هک یک «کار درونی» است، توسط BrockSec از BrockSec رد شد و گفت این ادعا «به اندازه کافی قانعکننده نیست».
۴: Nomad Token Bridge Exploit – 190M
در ۲ آگوست، پل توکن Nomad که به کاربران امکان مبادله ارزهای رمزنگاری شده از طریق چندین بلاک چین را می دهد، توسط چندین مهاجم به قیمت ۱۹۰ میلیون دلار مورد ضربه قرار گرفت.
این اکسپلویت به دلیل آسیبپذیری قرارداد هوشمند بود که نتوانست به درستی ورودیهای تراکنش را تأیید کند.
چندین کاربر (هر دو به ظاهر بدخواه و خوش نیت) توانستند حرکات مهاجم اصلی را کپی کرده و پول خود را قیف کنند. در گزارش، حدود ۸۸ درصد از آدرسهایی که در این اکسپلویت شرکت کردند، به عنوان «کپیکننده» شناسایی شدند.
تنها حدود ۳۲.۶ میلیون دلار وجوه توانستند توسط هکرهای کلاه سفید رهگیری و به پروتکل بازگردانده شوند.
۳: بهره برداری از پل کرم چاله – ۳۲۱ میلیون دلار
Wormhole Token Bridge در ۲ فوریه مورد بهره برداری قرار گرفت و منجر به از دست رفتن ۱۲۰۰۰۰ توکن Wrapped Ether (wETH) به ارزش ۳۲۱ میلیون دلار شد.
کرمچالهها به کاربران اجازه میدهند رمزارز را در چندین بلاک چین ارسال و دریافت کنند. یک مهاجم آسیب پذیری را در قرارداد هوشمند پروتکل کشف کرد که به او اجازه می داد ۱۲۰۰۰۰ wETH در Solana (SOL) بدون وثیقه ایجاد کند و آن را با ETH مبادله کند.
در آن زمان، به عنوان بزرگترین سوء استفاده سال ۲۰۲۲ و سومین ضرر بزرگ پروتکل برای کل سال مشخص شد.
۲: کیف پول FTX هک شد – ۴۷۷ میلیون دلار
هنگامی که مراحل ورشکستگی FTX در ۱۱ و ۱۲ نوامبر آغاز شد، یک سری تراکنش های غیرقانونی در صرافی انجام شد که Elliptic نشان داد که حدود ۴۷۷ میلیون دلار ارز دیجیتال به سرقت رفته است.
در مصاحبه ای در ۱۶ نوامبر، سام بنکمن-فرید مجرمان را به هشت نفر کاهش داد و معتقد بود که “یا کارمند سابق یا جایی که شخصی بدافزار را روی رایانه کارمند سابق نصب کرده است.” او گفت که از آن قفل شده است. سیستم شرکت
مربوط: ۷ بزرگترین سقوط کریپتو در سال ۲۰۲۲ که صنعت میخواهد آن را فراموش کند
بر اساس گزارش ها، در ۲۷ دسامبر، وزارت دادگستری ایالات متحده محل اختفای حدود ۳۷۲ میلیون دلار ارزهای رمزنگاری شده گمشده را بررسی کرد.
۱: هک پل رونین – ۶۱۲ میلیون دلار
بزرگترین سوء استفاده ای که در سال ۲۰۲۲ رخ داد، در ۲۳ مارس رخ داد، با بهره برداری از پل رونین با قیمت تقریبی ۶۱۲ میلیون دلار (۱۷۳۶۰۰ ETH و ۲۵.۵ میلیون دلار کوین (USDC)).
رونین یک زنجیره جانبی اتریوم است که برای Axie Infinity، یک بازی توکن غیرقابل تعویض (NFT) برای بازی و کسب درآمد ساخته شده است. Sky Mavis توسعهدهنده Axie Infinity گفت هکرها به کلیدهای خصوصی دسترسی پیدا کردهاند، گرههای اعتبارسنجی را به خطر میاندازند و تراکنشهای تایید شدهای که پول را از پل تخلیه میکنند.
وزارت خزانه داری ایالات متحده لیست خود از اتباع ویژه و افراد مسدود شده (SDN) را در ۱۴ آوریل به روز کرد تا نشان دهد که گروه لازاروس احتمالاً پشت سوء استفاده های این پل بوده است.
هک پل رونین بزرگترین سوء استفاده از ارزهای دیجیتال در تاریخ است.
نویسنده: Jesse Coghlan