Парушэнні бяспекі і ўзломы сталі суровай рэальнасцю ў свеце крыптавалют, які хутка развіваецца. Маючы на ўвазе актывы на мільёны долараў, заставацца наперадзе гульні і абараняць свае інвестыцыі вельмі важна. Паглыбляючыся ў крыпта-хакі ў 2023 годзе, мы вывучым ашаламляльную колькасць інцыдэнтаў, якія адбыліся да гэтага часу.
У гэтым годзе ўжо назіраецца значная колькасць узломаў. BonqDAO, dForce, Magic Eden, OpenSea і Harmony - некаторыя з імёнаў, якія сталі ахвярамі гэтых узломаў.
Старонні ўзлом абвінавачаны ў неадпаведных малюнках, якія адлюстроўваюцца на Magic Eden
Гэты год пачаўся з незвычайнай актыўнасці ў Magic Eden. Вэб-сайт незаменнай біржы (NFT) Magic Eden быў завалены дзіўнымі фотаздымкамі.
3 студзеня рынак NFT, якім кіруе Салана (SOL) абвясціў у Twitter, што ён не быў узламаны, але замест гэтага быў узламаны сэрвіс кампаніі для размяшчэння фатаграфій, які размяшчаўся на староннім вэб-сайце, што прывяло да выкрыцця некалькіх непрыемных фота.
У той дзень шматлікія карыстальнікі Magic Eden заўважыў што пры націску на старонку калекцыі адкрываецца парнаграфічны малюнак, а не звычайная мініяцюра NFT. Некалькі чалавек сказалі, што бачылі кадр з "Тэорыі вялікага выбуху".
Невядомая арганізацыя або асоба захапілі ўліковы запіс у Twitter, які стаіць за платформай для гандлю криптовалютой і акцыямі Robinhood, каб заахвоціць карыстальнікаў набыць новы токен.
25 студзеня некалькі карыстальнікаў крыпта Twitter заявілі, што Robinhood Twitter апублікаваў твіт з заклікам да сваіх 1.1 мільёна падпісчыкаў заплаціць $0.0005 за токен у BNB Smart Chain пад назвай «RBH». Перад тым, як пост быў выдалены, кіраўнік бізнес-аперацый па прадуктах Coinbase Конар Гроган заявіў, што па меншай меры дзесяць кліентаў набылі фальшывую манету на суму каля 1,000 долараў.
Заснавальнік і генеральны дырэктар Binance Чанпэн Чжао заявіў, што служба бяспекі кампаніі замарозіла ўліковы запіс, звязаны з паведамленнем, і «чакае далейшага расследавання».
Сумна вядомы твіт быў пазней выдалены. Прадстаўнік Robinhood паведаміў криптовалютному рынку Cointelegraph, што хакер, якога лічаць «староннім пастаўшчыком», таксама размясціў інфармацыю на сайтах платформы ў Instagram і Facebook.
Паўночнакарэйскія хакеры спрабуюць адмыць сродкі, выкрадзеныя падчас атакі Harmony
Паўночнакарэйскія махляры, адказныя за эксплойт на мосце Гармоніі, які адбыўся ў чэрвені 2022 года, здавалася, працягвалі свае намаганні па адмыванні грошай у студзені гэтага года. Згодна з ланцужковымі дадзенымі, апублікаванымі 28 студзеня папулярным уліковым запісам у Twitter і самаабвешчаным «дэтэктывам блокчейна» ZachXBT, за тыя выходныя злачынцы перавялі 17,278 29 эфіраў, што эквівалентна прыкладна XNUMX мільёнам долараў на момант напісання артыкула.
ZachXBT сцвярджаў, што токены былі адпраўлены на шэсць іншых криптовалютных біржаў, але ён не раскрыў, на якія сайты былі перададзены токены. Транзакцыі ажыццяўляліся з трох асноўных адрасоў.
ZachXBT сцвярджае, што біржы былі праінфармаваныя аб грашовых пераводах, у выніку чаго частка выкрадзеных сродкаў была заблакаваная. Па словах крыптадэтэктыва, дзеянні, учыненыя эксплуататарамі для адмывання грошай, былі дзіўна ідэнтычныя тым, што мелі месца ў чэрвені мінулага года, калі было адмыта больш за 60 мільёнаў долараў.
AllianceBlock таксама пацярпеў
AllianceBlock страціў мільёны долараў з-за нядаўняй атакі, якая прывяла да крадзяжу 110 мільёнаў токенаў ALBT з Bonq, праекта дэцэнтралізаванага крэдытавання, створанага на Polygon.
Дзякуючы эксплойту ў 12 мільёнаў долараў, AllianceBlock, a платформа, якая сцвярджае, што яна сканцэнтравана на аб'яднанні дэцэнтралізаваных фінансаў (DeFi) і традыцыйных фінансаў (TradFi), мае пацярпелі масавая няўдача.
Згодна з заявай кампаніі, зламыснікі скарысталіся недахопам бяспекі ў Bonq, які дазволіў ім атрымаць доступ да 110 мільёнаў токенаў ALBT. Праект сцвярджае, што ўразлівасць унікальная для Bonq і што ні адзін з яго смарт-кантрактаў не быў скампраметаваны падчас атакі.
BonqDAO зноў ударыў
Некалькі сціплая дэцэнтралізаваная аўтаномная арганізацыя (DAO) таксама стала ахвярай даволі значнага ўзлому смарт-кантрактаў, які прывёў да крадзяжу з яе пратаколу на 120 мільёнаў даляраў.
Эксплуататар змог кантраляваць цану токена AllianceBlock (ALBT) пасля таго, як BonqDAO паведаміў сваім падпісчыкам у Twitter 1 лютага, што парушэнне аракула скампраметавала яго пратакол Bonq. Гэта дазволіла эксплуататару скрасці токены.
Згодна з вынікамі незалежнага расследавання, праведзенага кампаніяй PeckShield па бяспецы блокчейнов, сума грошай, скрадзеных у выніку ўзлому Bonq, склала каля 120 мільёнаў долараў. Гэтая лічба была разлічана шляхам аднімання 108 мільёнаў долараў з 98.65 мільёна токенаў BEUR і 11 мільёнаў долараў са 113.8 мільёна токенаў ALBT (wALBT).
Па дадзеных PeckShield, зламыснік унёс змены ў цану токена wALBT, змяніўшы функцыю абнаўлення цэн аракула у адным са смарт-кантрактаў BonqDAO.
Гэта прывяло да выкарыстання BEUR і wALBT. Затым хакер спаліў усе 113.8 мільёна wALBT, каб разблакіраваць ALBT, абмяняўшы BEUR на USDC на Uniswap на суму каля 500,000 XNUMX долараў.
Сперакс пакутуе яшчэ адным мостам
Spreek, карыстальнік Twitter, папярэдзіў супольнасць 4 лютага, што Sperax USD (USD) на суму 250,000 XNUMX долараў ЗША былі злоўжываныя.
Паводле яго высноваў, штурм значна павялічыў даступны даляр. Гэта не пакінула ніякіх слядоў у журналах перадачы, якія б паказвалі на чаканку або перадачу бясконцай колькасці токенаў.
Смарт-кантракт Sperax USD не паказаў ніякіх прыкмет таго, што ён быў зламысна абноўлены. Адпаведна, следчы выказаў здагадку, што зламыснік мог выкарыстаць уразлівасць у функцыі перабазіравання стейблкойна.
На ланцугу лагі прапаноўваць што зламыснік уцёк са стейблкоінамі на суму больш за 250,000 XNUMX долараў, перш чым Sperax прыпыніў сістэму USD.
dForce таксама пакутуе ад эксплойтаў
Сетка dForce стала яшчэ адной ахвярай сур'ёзнага хакерскага нападу ў лютым, які прывёў да шкоды, якая перавысіла каля 3.65 мільёна долараў.
Пасля года, у якім крыптапрастора падвяргалася некалькім атакам, люты, як і студзень, пачаўся рытмічна. 10 лютага PeckShield выпусціў папярэджанне аб кібернападзе на сетку dForce. Кампанія падлічыла, што сума страчаных грошай склала каля 3.65 мільёна долараў.
PeckShield прынёс увагу да таго, што грошы былі ўзятыя на двух розных узроўнях: Optimism і Arbitrum. Згодна з іх твітам, меркаваныя страты былі звязаны з трыма рознымі тыпамі крыптавалютных актываў. Платформа бяспекі блокчейна, напрыклад, выявіла, што dForce выкінуў каля 1,236.65 ETH і 719,437 USX у прамым эфіры дзякуючы пратаколу Arbitrum layer-2.
Затым PeckShield напісаў у твітэры запыт у dForce для расследавання ўразлівасці. Праз паўтары гадзіны пасля першапачатковага паведамлення dForce праверыла дэталі. Па дадзеных сеткі, сховішчы wstETH/ETH на Arbitrum і Optimism нядаўна былі выкарыстаны.
dForce заявілі, што яны выявілі праблемы некалькімі гадзінамі раней і неадкладна спынілі сховішчы, каб абмежаваць крызіс. Аднак яны падкрэслілі, што большая частка гэтага працэсу ўсё яшчэ працуе і што грошы па-ранейшаму надзейна захоўваюцца ў dForce Lending. Аднак на момант напісання артыкула dForce не раскрывала ўсе аспекты нападу. Яны сказалі, што ў бліжэйшы час будзе выдадзены дакумент з падрабязным выкладаннем рашэнняў.
OpenSea не застаецца ззаду
У лютым 2022 года OpenSea стала ахвярай значнага фішынгавага нападу, які прывёў да крадзяжу незаменных токенаў (NFT) у карыстальнікаў на суму больш за 1.7 мільёна долараў. За апошнія гады рынак NFT падвяргаўся шматлікім нападам. Па паведамленнях, карыстальнікі OpenSea страцілі ў агульнай складанасці 3.9 мільярда долараў з-за махлярства толькі ў 2022 годзе.
Належныя меры бяспекі, хто-небудзь?
Калі мы набліжаліся да 2023 года, быў гучны хор абяцанняў павысіць бяспеку ўнутры крыптасектара. Тым не менш, да гэтага часу сітуацыя мала зрушылася. Кампаніі, заснаваныя на блокчейне, павінны рабіць больш для абароны сваіх кліентаў ад махлярства.
З моманту катастрофы FTX многія біржы, падобна, засяродзіліся на празрыстасці і пацверджанні сродкаў, але пытанне бяспекі актываў заўсёды павінна быць прыярытэтам.
Карыстальнікі самі павінны прыняць меры, каб абараніць свае актывы, адначасова асцерагаючыся фішынгу і здзяйсняючы транзакцыі толькі з аўтарытэтнымі біржамі і кашалькамі.
Крыніца: https://crypto.news/millions-of-dollars-already-lost-to-hacks-in-2023/