Ifølge TRM laboratorieanalyse, 2022 var et rekordår for kryptohack, med krypto stjålet for rundt 3.7 milliarder dollar. Defi angrep var utbredt, med omtrent 80 %, eller 3 milliarder dollar, som involverte DeFi-ofre.
Når vi går inn i 2023, optimistiske med tanke på løftet om en ny teknologi, må vi se tilbake for å lære av utfordringene og tilbakeslagene vi møtte i ettertid.
Ronin Bridge infrastruktur kryptohack
Axie uendelig Ronin bridge krypto hack i mars topper listen med 612 millioner dollar. Ronin bridge er en Ethereum sidekjede for Axie Infinity play-to-earn-spillet.
Kryptohackerne, i dag identifisert som en nordkoreansk nettkriminalitetsgruppe kalt Lazarus, fikk tilgang til ni private nøkler til Ronin-broens transaksjonsvalidatorer. Ved å bruke nøklene godkjente de store transaksjoner, en for 173,600 25.5 ETH og den andre for XNUMX millioner USDC.
Hackere flyttet kryptoen til Tornado cash, en åpen kildekode-krypteringsboks, og flere andre børser.
Felles innsats fra samfunnet, Binance, Chainalysis og rettshåndhevere hjalp til med å spore opp noen av midlene.
BSC Beacon cross-bridge kodeutnyttelse
I oktober utnyttet hackere en sårbarhet i BSC Beacon cross-bridge-koden for å stjele krypto verdt 570 millioner dollar. Broen er en kritisk komponent i BNB-kjeden.
BSC Beacon-kjeden, referert til som Token Hub, er en krysskjedebro mellom BNB Beacon Chain (BEP2) og BNB Chain (BEP20/BSC).
Angrepet virket av forfalskning av kryptografiske bevis kalt Merkle bevis som bekreftet data som transaksjoner som gyldige og inkludert i blockchain. Cyrpto-hackeren brukte det falske Merkle-beviset til å overføre midler fra BSC Beacon-kryssbroen til andre kjeder.
Tether blokkerte angriperens adresse mens over 7 millioner dollar flyttet fra BNB-kjeden ble effektivt frosset.
Utnyttelse av ormehullsbrokode
Kryptohackere utnyttet ormehullets kode i februar med krypto verdt 326 millioner dollar. Et ormehull er en symbolsk bro mellom Solana og Ethereum.
Kryptohackeren brukte en utdatert/død usikker funksjon for å omgå signaturverifisering.
En utdatert kode kan sammenlignes med en klistrelapp som sier: "Jeg vil slette dette i fremtiden." Du kan ikke slette koden nå fordi noen forbrukere fortsatt bruker den.
En kjede av delegasjoner av signaturverifisering muliggjorde kryptohacket. Den avviklede funksjonen sjekket ikke adresser, noe som tillot validering av en forfalsket signatur.
Ifølge cyberanalytikere kunne utviklere ha unngått angrepet hvis de hadde praktisert «sikker koding».
Nomadebrokodeutnyttelse
Hackere utnyttet Nomad-kryptobroen i august med krypto verdt 190 millioner dollar. Hackeren tappet praktisk talt alle midler i protokollen – de økende utnyttelsene satte spørsmålstegn ved sikkerheten til tokenbroer på tvers av kjeder.
Broer fungerer ved å låse tokens i en smart kontrakt i én kjede og deretter gi dem ut på nytt i et "innpakket" format på en annen kjede. I Nomads tilfelle saboterte angrepet kontrakten og gjorde dens innpakkede tokens verdiløse.
Nomad satte faktisk ut en dusør som ba hackeren om å beholde 10 % av midlene og ikke møte noen rettslige skritt pluss en bonushatt NFT. Angriperen returnerte til slutt bare 36 millioner dollar.
Beanstalk-protokollangrep
På en skjebnesvanger helg i april brukte en hacker et flashlån for å stjele 182 millioner dollar i ETH, BEAN stablecoin og andre eiendeler fra Beanstalk stablecoin-protokollen.
Et flashlån er en funksjon som gjør det mulig for brukere å låne en eiendel, foreta en rask handel og deretter tilbakebetale den i en enkelt kompleks transaksjon på tvers av flere protokoller.
Angriperen presenterte to ondsinnede forslag til Beanstalk DAO gjennom nødbekreftelsesfunksjonen, som krevde en ⅔ stemme og deretter implementert etter 24 timer.
Angriperen rampete brukte flashlån-funksjonen for å få 79 % kontroll og passere forslaget.
Angriperen sendte midlene i protokollen for å betale ned flashlånet og resten til Ukrainas fondsadresse. Til slutt fikk han et overskudd på 76 millioner dollar.
Flere megakrypto-hack
Andre megakrypto-hack inkluderer Wintermutes infrastrukturangrep på 160 millioner dollar i april, Maiar/Elronds infrastrukturangrep på 113 millioner dollar i juni, Mango Markets sitt infrastrukturangrep på 112 millioner dollar i oktober og Harmony bridges infrastrukturangrep på 100 millioner dollar i juni.
Kilde: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/