Vaikka kryptovaluuttamarkkinat jäivät ankaraan laskulamaan, Web3:n huijaukset ja hakkerit olivat liekeissä koko vuoden 2022. Myös joukko huippuluokan keskitettyjä kryptovaluuttoja romahti huonon riskinhallinnan ja sisäpiirimanipulaatioiden vuoksi.
Kun kryptosegmentti lähestyy uutta vuotta, U.Today esittelee vaarallisimmat kryptohuijaukset, niiden juuret, mallit ja niiden aiheuttamat menetykset. Olemme myös laatineet lyhyen katsauksen sosiaalisen median yleisimmistä kryptohuijauksista, jotka kohdistuvat miljooniin käyttäjiin päivittäin.
Vuoden 2022 kryptohuijaukset ja hakkerit: Pikafaktoja
Lukuisten cybersec-raporttien mukaan vuoden 11 ensimmäisen 2022 kuukauden aikana hakkerit ja huijarit onnistuivat varastamaan ennennäkemättömän määrän 4.2 miljardia dollaria kryptovaluuttoja, mikä on 37 % enemmän kuin vuonna 2021, jolloin avainten kryptot olivat 2x-3x kalliimpia.
- Suurimmat hyökkäykset suoritettiin ketjujen välisiä protokollia vastaan - Axie Infinityn siltamekanismia Ronin ja usean protokollan ekosysteemiä Wormholea vastaan.
- Terra (LUNA) -ekosysteemin romahtaminen, sen tärkein DeFi Anchor Protocol (ANC) ja USD-sidottu vakaa kolikon TerraUSD (UST) vaikuttivat osaltaan Q2-Q4, 2022, laskevan taantuman vaiheeseen.
- Nyt lakkautetun kryptopörssin FTX ja siihen liittyvän kauppayhtiön Alameda Researchin draama oli vuoden 2022 suurin keskitetyn palvelun romahdus.
- Huolimatta suurimmista hakkeroista, joista keskustellaan laajasti mediassa, suurin osa kryptohuijauksista järjestetään vanhoilla menetelmillä: väärennetyillä airdropsilla, haitallisilla "palautusohjelmilla", huijausarbitraasilla ja vastaavilla.
- Useat suuret hakkerit näyttivät olevan valkohattu-operaatioita: hyökkääjät palauttivat varastetut rahat vastineeksi vaikuttavista bugipalkkioista.
- Lähes 12 % kaikista BEP-20-varoista ja 8 % ERC-20-tokeneista on petollisia; Päivittäin käynnistetään 350 uutta huijausta.
Tässä katsauksessa kutsumme tarkoituksellisesti käynnistettyjä petoksia ja hankkeita, jotka olivat alun perin laillisia "huijauksina", kun taas "hakkerointi" ovat kolmannen osapuolen hyökkäyksiä laillisiin projekteihin, jotka toteutetaan ilman "sisäpiirityötapahtumia".
Vuoden 2022 parhaat kryptohuijaukset ja romahdukset
Vuonna 2022 Bitcoin (BTC), Ethereum (ETH) ja kaikki tärkeimmät kryptovaluutat menettivät yli 70–80 % ATH:staan, kun taas useimmilla vaikutusalaan kuuluvilla segmenteillä – metaverse-tokenit, GameFi-tokenit, Solana (SOL)-ekosysteemi – mediaanihäviö ylittää 90 %. Jotkut krypto-suuryritykset eivät selvinneet tällaisesta tuskallisesta pudotuksesta.
Terra (LUNA) / Terra USD (UST)
EVM-yhteensopiva älykäs sopimusalusta Terra (LUNA) oli yksi ylihypotetuimmista Ethereum (ETH) -tappajista vuonna 2021. Leijonanosa sen TVL:stä keskittyi kuitenkin Anchor Protocoliin (ANC), yksinkertaiseen tuottokoneeseen, joka tarjosi 19 % APY talletuksille Terra USD (UST), Terran nyt lakkautettu USD-sidottu vakaa kolikko. Yhteensä yli 20 miljardia dollaria vastaava summa oli lukittu Anchorissa (ANC) vuoden 1 ensimmäisellä neljänneksellä.
Kuitenkin toukokuun alussa 2022 joku alkoi aggressiivisesti lähettää UST:ia Curve Finance (CRV) DeFin pooleihin ja vaihtaa tokeneja USD Coinissa (USDC). UST menetti kiinnityksensä. Terraform Labs ja sen toimitusjohtaja Do Kwon alkoivat lisätä likviditeettiä UST/LUNA-mekanismiin. Kuitenkin massiivisen pääoman ajon vuoksi sekä LUNA että UST putosivat lähes nollaan. Terra (LUNA) -lohkoketju pysäytettiin lopullisesti.
Kuten U.Today kertoi aiemmin, tutkijat paljastivat, että Terraform Labs aloitti romahduksen: massiiviset UST-siirrot valtuutettiin Do Kwonilta. Terran perustajan väitetään juoksevan Serbiaan ja yrittävän lunastaa Bitcoinejaan (BTC) siellä.
Kolme nuolea Capital
Su Zhun ja Kyle Daviesin, Columbia Universityn alumnien ja Credit Suissen veteraanien perustama Three Arrows Capital (3AC) oli yksi vaikutusvaltaisimmista kryptohedge-rahastoista. Se keräsi yli 20 miljardia dollaria AUM:na, koska se oli varhainen sijoittaja Ethereumiin (ETH), Avalancheen (AVAX), Solanaan (SOL) ja muihin.
Kuitenkin romahtanut LUNA oli yksi 3AC-salkun avainelementeistä. Tiimi sijoitti yli 600 miljoonaa dollaria Terraan (LUNA): tämä massiivinen panos hävitettiin kahdessa viikossa LUNA/UST:n romahduksen jälkeen.
FT ilmoitti 16. kesäkuuta 2022, että 3AC ei ollut täyttänyt marginaalivaatimuksiaan Terran ankkuriprotokollan menettämisen vuoksi. Yritys oli myös veden alla asemassaan Staked Etherissä (stETH) Lido Financen (LDO) DeFissä ja Grayscale Bitcoin Trustissa (GBTC). Kesäkuussa se ei pystynyt maksamaan takaisin lainaansa kryptojättiläiselle Voyagerille. Heinäkuun lopulla BVI-tuomioistuin asetti yrityksen selvitystilaan ja 3AC:n johto haki konkurssiin. Yhteensä 20 3AC:n sijoittajaa menetti yli 3.5 miljardia dollaria.
Matkaaja
Yhdysvaltoihin rekisteröity velkoja Voyager joutui myös huonon riskinhallinnan uhriksi: se myönsi Three Arrows Capitalille 650 miljoonan dollarin vakuudettoman lainan, kun sen nettovarallisuus oli lähes 5.9 miljardia dollaria. Alustalla oli 3.5 miljoonaa asiakasta, joista 97 % sijoitti alle 10,000 XNUMX dollaria.
Yleisesti ottaen Voyager romahti, koska sen tiimi valitsi riskialtis liiketoimintastrategian: se tarjosi lainoja useille kaupankäyntipalveluille ja yksittäisille kryptovaluuttakauppiaille. Kun lainanantajat alkoivat nostaa rahojaan massiivisesti, Voyager jäädytti asiakkaiden varat heinäkuun alussa. Muutamaa päivää myöhemmin se haki konkurssisuojaa New Yorkissa.
Koska alusta oli keskittynyt pienikokoisiin vähittäisasiakkaisiin, sen romahtaminen oli tuskallisinta kryptovaluuttojen harrastajille.
Celsius
Celsius oli itse asiassa ensimmäinen yritys, joka ilmoitti ongelmistaan: alusta ilmoitti huhtikuussa 2022, että se säilyttää kaikki akkreditoimattomien sijoittajien varat: tämä osa asiakkaista ei siksi pystynyt lisäämään uutta likviditeettiä ja saamaan palkintoja.
Toukokuussa 2022 UST- ja Terra-draaman peloissaan käyttäjät alkoivat siirtää rahaa Celsius-protokollasta. Celsius jäädytti 12 2022 miljoonan asiakkaan (pääasiassa yksityissijoittajien) varat. Aivan kuten Voyager, se hakeutui konkurssiin heinäkuun alussa.
14. heinäkuuta 2022 Celsiuksen oikeudellinen neuvonantaja Kirkland & Ellis kertoi, että alustan johtajat saivat tiedon 1.3 miljardin dollarin aukosta sen taseessa.
FTX
Sam Bankman-Friedin kryptovaluuttapörssin FTX ja siihen liittyvän kryptosijoitusyrityksen Alameda Researchin romahtaminen oli Web3:n yllättävin draama: SBF ja hänen tiiminsä yrittivät saada valtavan hallinnan alalla allekirjoittamalla kymmeniä kumppanuuksia, jotka esiintyivät Forbesin kansissa ja pian.
Alameda Researchin tase riippui kuitenkin vahvasti FTX Tokenista (FTT), joka on FTX:n alkuperäinen kryptovaluutta. Tästä syystä koko järjestelmä romahti, kun Binancen toimitusjohtaja Changpeng “CZ” Zhao alkoi myydä aggressiivisesti FTT:tä (CZ julkaisi yli 500 miljoonan dollarin vastaavan summan).
Aivan kuten kaikissa vastaavissa tapauksissa, sijoittajat alkoivat massa nostaa rahojaan FTX:ltä. Alusta pysäytti nostot, SBF erosi toimitusjohtajan tehtävästä ja haki konkurssiin. Sillä välin tuli tunnetuksi, että hän käytti sijoittajien ja asiakkaiden rahoja omassa kauppayhtiössään Alameda Researchissä. Kamalan huonon hallinnon vuoksi Alameda Research oli hyvin veden alla. SBF pidätettiin ja vapautettiin takuita vastaan, kun taas FTX:n romahtamisen aiheuttamat tappiot olivat korkeimmillaan 9 miljardia dollaria.
Suosituimmat kryptohakkerit vuonna 2022
Kuten kohti analyysi Merkle Sciencen kyberturvallisuusasiantuntijoiden mukaan verkkojen väliset sillat ovat erityisen alttiita hyväksikäytölle teknisen monimutkaisuuden ja erittäin kokeellisen luonteensa vuoksi:
Ketjujen väliset sillat ovat usein alttiimpia hyväksikäytölle, koska ne vaativat enemmän vuorovaikutusta ja sopimusten hyväksyntöjä kuin muut protokollat. Lisäksi sillat ovat alttiimpia hyökkäyksille, koska niitä ohjaavat auditoimattomat tietokonekoodit. Lisäksi transaktioita suorittavien validaattorien/solmujen identiteetit ovat myös tuntemattomia
Vuonna 2022 sillat olivat hyökkäysten ensisijaiset kohteet, kun taas hakkerit käyttivät hyväkseen myös muita DeFi-mekanismeja.
madonreikä
3. helmikuuta 2022 hakkerit hyökkäsivät Wormholeen, siltaan, joka on suunniteltu helpottamaan saumatonta arvonsiirtoa heterogeenisten lohkoketjujen välillä. Koodin haavoittuvuuden vuoksi he onnistuivat laskemaan liikkeelle 120,000 XNUMX Wrapped Ethers (wETH) Solana (SOL) -lohkoketjussa ilman vastaavaa Ethereum (ETH) -vakuutta.
Hakkerointi voi johtaa minkä tahansa DeFi-alustan maksukyvyttömyyteen, joka olisi valmis ottamaan vastaan 120,000 XNUMX WETH:tä (painettu tyhjästä) vakuudeksi. Onneksi pahin mahdollinen skenaario ei toteutunut.
Jump Crypto, Wormhole-palvelun emoyhtiö, otti kaikki tappiot: he täydensivät välittömästi 120,000 XNUMX eetteriä protokollan likviditeettipooleihin.
Ronin
Maaliskuun 23. päivänä pohjoiskorealaiset hakkerit Lazaruksesta, surullisen valtion tukemasta kyberrikollisryhmästä, hyökkäsivät Ronin-verkostoon. Ronin on Ethereumin kaltainen sivuketju, joka on kehitetty erityisesti Axie Infinitylle, joka on lippulaiva GameFi. Hyökkääjät menettivät Roninilta huimat 568 miljoonaa dollaria.
Hakkerit onnistuivat saamaan hallintaansa viisi yhdeksästä Ronin Bridgen validaattorin allekirjoituksesta. Sitten he hyväksyivät kaksi transaktiota, 173,600 25.5 eetteriä (ETH) ja 445 miljoonan USD kolikon (USDC). Tästä hirvittävästä ryöstöstä pestiin yli XNUMX miljoonaa dollaria Tornado Cash -salaussekoittimen kautta.
Axie Infinity -kehittäjä Sky Mavis keräsi lisärahoitusta, tilasi CertiK:lta toisen tietoturvatarkastuksen ja nosti multisig-kynnystä 5. 9.
Nomadi
Elokuussa 2022 Nomad, moniketjuinen siltamekanismi, joka siirtää arvoa Avalanchen (AVAX), Ethereumin (ETH), Evmosin (EVMOS), Moonbeamin (GLMR) ja muiden lohkoketjujen välillä, tyhjennettiin 190.7 miljoonalla dollarilla kryptoina. Hyökkääjät onnistuivat hyödyntämään älykkään sopimussuunnittelun haavoittuvuutta: protokolla antoi käyttäjille mahdollisuuden nostaa varoja kohdelohkoketjusta tarkistamatta, vastaavatko ne alun perin käyttöön otettua määrää.
12/ tl;dr rutiinipäivitys merkitsi nollahajautusarvon kelvolliseksi juuriksi, mikä vaikutti siihen, että viestit voitiin huijata Nomadille. Hyökkääjät käyttivät tätä väärin kopioidakseen/liittääkseen tapahtumia ja tyhjennivät nopeasti sillan kiihkeässä maksuttomassa kaupassa
— tämä on nyt paskapostitili (@samczsun) Elokuu 2, 2022
Yksinkertaisesti sanottuna tavallisen päivityksen jälkeen käyttäjät pystyivät tallettamaan 1 ETH:n Ethereumiin (ETH) ja pyytämään 100 Ethereumia (ETH) vastaavan noston Avalanchesta (AVAX).
Asia on, että jokainen tekniikkaa taitava Web3-harrastaja oli kyennyt kopioimaan tämän hyökkäysvektorin ja varastamaan varoja Nomadilta ennen korjaustiedoston julkaisua. Sellaisenaan monet Ethereumin (ETH) kehittäjät nostivat varoja vain lähettääkseen ne takaisin Nomad-tiimille: lähes 40 miljoonaa dollaria lähetettiin takaisin.
Pavunvarsi
16. huhtikuuta 2022 Ethereumiin perustuva stablecoin-projekti Beanstalk (BEAN) joutui kehittyneen pikalainahyökkäyksen kohteeksi. Nimittäin pahantekijät onnistuivat saamaan pikalainan Aave Financesta (AAVE) ja ostamaan tarvittavan määrän hallintotokeneita ketjun välisten pöytäkirjan kansanäänestysten hallintaan.
Sitten hyökkääjät saivat äänienemmistön ja hyväksyivät rahansiirron omalle tililleen. Kun 180 miljoonaa dollaria siirrettiin, he maksoivat pikalainan välittömästi takaisin; nettotulos ylitti 80 miljoonaa dollaria.
talvimykistys
Syyskuussa 2022 Wintermute, yksi suurimmista markkinatakausalustoista, tyhjensi lompakot 160 miljoonalla dollarilla. Hyökkääjät paljastivat, että jotkin Wintermuten avainlompakoista luotiin Profanitylla, Ethereum (ETH) -verkon "turhamaisuusosoitteiden" generaattorilla. Tällaiset ohjelmat voivat luoda kryptolompakoita ihmisen luettavissa olevilla osoitteilla, esim. 0xJohnDoe1111… ja vastaavia.
Profanityn suunnittelun haavoittuvuuden vuoksi hyökkääjät onnistuivat pakottamaan turhamaiset osoitteet ja palauttamaan yksityiset avaimet. Hyökkäys tuli mahdolliseksi pahantekijöiden käyttämien merkittävien laskentaresurssien vuoksi.
Bonus: Älä lankea näihin pitkään jatkuneisiin huijauksiin
Kehittyneiden skenaarioiden rinnalla, jotka sisältävät miljardin dollarin flash-lainoja, pohjoiskorealaisia hakkereita ja vaikuttavia laitteistoja raa'alle pakottamiselle, erittäin alkeellisia huijauskampanjoita ilmestyy siellä täällä. Vuodesta 1 lähtien kryptoissa on hyvin yleisiä kolme hyökkäysmallia:
1. Fake airdrops. Tämän huijauksen toteuttamiseksi pahantekijät joko järjestävät YouTube-mainoskampanjan tai sijoittavat mainoksensa Twitteriin. Sitten he ilmoittavat, että Internet-julkkis (Snoop Dogg), huipputekniikan yrittäjä (Vitalik Buterin tai Elon Musk) tai jopa poliitikko (Donald Trump) laskee ilmassa kryptovaluuttaa. Kaikkien, jotka ovat valmiita lunastamaan bonuksensa, tulee lähettää joko ensimmäinen talletus (joka väitetään palautettavan 100 %:n tuotolla) tai yksityiset avaimensa. Tarpeetonta sanoa, että molemmat ryhmät menettävät talletuksensa tai kaikki rahat lompakoistaan.
Miten suojata itseäsi: Älä koskaan lähetä rahojasi "airdrop-järjestäjille" tai paljasta yksityisiä avaimia tai siemenlauseita.
2. Käsintehdyt MEV-botit. Suurin erotettava arvo (MEV) on suurin palkkio, jonka Ethereum (ETH) -verkon osallistujat voivat saada panoksestaan lohkon validointiprosessissa. Kehittyneet tekniikat antavat meille mahdollisuuden hyötyä MEV:n optimoinnista. Huijarit sijoittavat video- tai tekstioppaita omien "MEV-bottien" rakentamiseen päästäkseen käsiksi Ethereum (ETH) -lompakoihin ja kuluttaakseen varoja.
Miten suojata itseäsi: Vältä YouTube-oppaista löytyviä MEV-botteja.
3. Huijarit tulevat apuun. Koska vuosi 2022 on ehdottomasti hakkeroinnin vuosi, monet kryptonkäyttäjät tarkistavat, ovatko heidän suosikkilohkoketjunsa rikki. Huijarit julkaisevat väärennettyjä ilmoituksia tämän tai toisen projektin hakkeroitumisesta ja käynnistävät väärennettyjä "korvausohjelmia". Kaikkia korvauksista kiinnostuneita pyydetään lähettämään siemenlauseensa huijareille.
Miten suojata itseäsi: Tarkista vain uutiset hakkeroista lohkoketjujen virallisilla mediakanavilla.
Sulkeminen ajatuksia
Vuonna 2022 suurin osa romahduksista johtui kryptovaluuttojen hintojen tuskallisesta laskusta, huonosta riskinhallinnasta ja keskitettyjen kryptovaluuttatuotteiden omistajien ahneudesta. Siksi hajauttaminen on iso juttu: DAO:n joukkoviisaus estäisi FTX/Celsius/Voyager-tason romahduksia tapahtumasta.
Samaan aikaan ketjussa olevien tuotteiden tulee huolehtia tietoturvatarkastuksista, päivityksistä ja yksityisen suihkukoneen hallinnasta.
Lähde: https://u.today/top-10-crypto-scams-and-hacks-of-2022