Til tross for at kryptovalutamarkedene var fanget i en alvorlig bearish resesjon, var svindel og hacks i Web3 i brann i hele 2022. En rekke sentraliserte tungvektere i kryptovaluta kollapset også på grunn av dårlig risikostyring og innsidemanipulasjoner.
Når kryptosegmentet nærmer seg nyttår, oppsummerer U.Today de farligste kryptosvindelene, deres røtter, design og tapene de forårsaket. Vi har også utarbeidet en kort gjennomgang av de hyppigste kryptosvindelene i sosiale medier som retter seg mot millioner av brukere daglig.
Krypto-svindel og hacks fra 2022: Raske fakta
I følge en rekke cybersec-rapporter klarte hackere og svindlere i løpet av de første 11 månedene av 2022 å stjele et enestående beløp på 4.2 milliarder dollar i kryptovaluta, som er 37 % mer enn i 2021, da nøkkelkryptoer var 2x-3 ganger dyrere.
- De største angrepene ble utført mot krysskjedeprotokoller - Axie Infinitys bromekanisme Ronin og multiprotokolløkosystemet Wormhole.
- Kollapsene av Terra (LUNA)-økosystemet, dets viktigste DeFi Anchor Protocol (ANC) og den USD-festede stablecoin TerraUSD (UST) bidro til Q2-Q4, 2022, fasen av den bearish resesjonen.
- Dramaet rundt den nå nedlagte kryptobørsen FTX og det tilhørende handelsfirmaet Alameda Research var den største sentraliserte tjenestekollapsen i 2022.
- Til tross for at de største hackene er mye diskutert i media, organiseres det store flertallet av kryptosvindel via gamle metoder: falske airdrops, ondsinnede «gjenopprettingsprogrammer», svindelarbitrageordninger og lignende.
- En rekke store hacks så ut til å være operasjoner med hvite hatter: angripere returnerte pengene som ble stjålet i bytte mot imponerende feilbelønninger.
- Nesten 12 % av alle BEP-20-symboler og 8 % av ERC-20-symboler er uredelige; 350 nye svindel blir lansert daglig.
I denne anmeldelsen vil vi referere til målrettet lanserte svindel og prosjekter som i utgangspunktet var legitime som "svindel", mens "hacks" er tredjepartsangrep på legitime prosjekter utført uten "innsidejobb"-hendelser.
Topp kryptosvindel og kollapser i 2022
I 2022 tapte Bitcoin (BTC), Ethereum (ETH) og alle større kryptovalutaer over 70-80 % fra ATH, mens mediantapet i de fleste berørte segmenter – metaverse tokens, GameFi-tokens, Solana (SOL)-økosystemet – overstiger 90 %. Noen krypto-major klarte ikke å overleve et så smertefullt fall.
Terra (LUNA)/Terra USD (UST)
Den EVM-kompatible smarte kontraktsplattformen Terra (LUNA) var blant de mest overhypede Ethereum (ETH)-morderne i 2021. Brorparten av TVL var imidlertid konsentrert om Anchor Protocol (ANC), en enkel yield-oppdrettsmaskin som ga 19 % APY på innskudd i Terra USD (UST), Terras nå nedlagte USD-festede stablecoin. Totalt ble mer enn 20 milliarder dollar i ekvivalent låst i Anchor (ANC) i 1. kvartal 2022.
Men tidlig i mai 2022 begynte noen aggressivt å sende UST til pools på Curve Finance (CRV) DeFi og bytte ut tokens på USD Coin (USDC). UST mistet tappen. Terraform Labs og dets administrerende direktør Do Kwon begynte å injisere likviditet i UST/LUNA-mekanismen. På grunn av et massivt kapitalløp falt imidlertid både LUNA og UST til nesten null verdier. Terra (LUNA) blokkjeden ble stoppet for godt.
Som dekket av U.Today tidligere, avslørte forskere at det var Terraform Labs som initierte kollapsen: massive UST-overføringer ble autorisert av Do Kwon. Terra-gründeren skal ha løpt til Serbia og prøver å utbetale sine Bitcoins (BTC) der.
Three Arrows Capital
Three Arrows Capital (3AC) ble lansert av Su Zhu og Kyle Davies, Columbia University-alumni og Credit Suisse-veteraner, og var blant de mest innflytelsesrike kryptohedgefondene. Det samlet over 20 milliarder dollar i AUM takket være å være en tidlig investor i Ethereum (ETH), Avalanche (AVAX), Solana (SOL) og andre.
Kollapserte LUNA var imidlertid et av nøkkelelementene i 3AC-porteføljen. Teamet investerte over 600 millioner dollar i Terra (LUNA): denne enorme eierandelen ble slettet på to uker etter LUNA/UST-kollapsen.
16. juni 2022 kunngjorde FT at 3AC ikke hadde klart å møte sine marginkrav på grunn av tap i Terras ankerprotokoll. Firmaet var også under vann i sine posisjoner i Staked Ether (stETH) i Lido Finance (LDO) DeFi og i Grayscale Bitcoin Trust (GBTC). I juni klarte den ikke å betale tilbake lånet til kryptogiganten Voyager. I slutten av juli ble firmaet likvidert av en BVI-domstol mens 3AC-ledelsen begjærte seg konkurs. Totalt tapte 20 investorer i 3AC over 3.5 milliarder dollar.
Voyager
Den USA-registrerte kreditoren Voyager ble også offer for dårlig risikostyring: den ga et usikret lån på $650 millioner til Three Arrows Capital mens netto AUM var nesten $5.9 milliarder. Plattformen kan skilte med 3.5 millioner kunder, hvorav 97% investerte mindre enn $10,000 XNUMX.
Generelt kollapset Voyager på grunn av det faktum at teamet deres valgte en risikabel forretningsstrategi: de tilbød lån til flere handelstjenester og individuelle kryptovalutahandlere. Da långivere begynte å ta ut pengene sine i massevis, i begynnelsen av juli, frøs Voyager kundemidler. Noen dager senere begjærte den konkursbeskyttelse i New York.
Siden plattformen var fokusert på små detaljkunder, var kollapsen den mest smertefulle for kryptovaluta-entusiaster.
Celsius
Celsius var faktisk det første firmaet som signaliserte om problemene sine: i april 2022 kunngjorde plattformen at den vil holde alle eiendeler til ikke-akkrediterte investorer i varetekt: denne delen av kundene var derfor ikke i stand til å tilføre ny likviditet og få belønninger.
I mai 2022, skremt av UST- og Terra-dramaene, begynte brukere å flytte penger ut av Celsius-protokollen. 12. juni 2022 frøs Celsius midlene til 1.7 millioner kunder (for det meste private investorer). Akkurat som Voyager, begjærte den seg konkurs i begynnelsen av juli.
14. juli 2022 delte Celsius' juridiske rådgiver Kirkland & Ellis at plattformens ledere ble informert om et hull på 1.3 milliarder dollar i balansen.
FTX
Sammenbruddet av Sam Bankman-Frieds kryptovalutabørs FTX og dets tilknyttede kryptoinvesteringsfirma Alameda Research var det mest overraskende dramaet i Web3: SBF og teamet hans forsøkte å få enorm kontroll over industrien ved å signere dusinvis av partnerskap, som dukket opp på Forbes' forsider og så videre.
Balansen til Alameda Research var imidlertid sterkt avhengig av FTX Token (FTT), den opprinnelige kryptovalutaen til FTX. Det er grunnen til at hele systemet kollapset da Binance-sjef Changpeng “CZ” Zhao aggressivt begynte å selge FTT (over 500 millioner dollar i ekvivalent ble utgitt av CZ).
Akkurat som i alle lignende tilfeller begynte investorer å masseuttak pengene sine fra FTX. Plattformen stoppet uttakene, SBF trakk seg som administrerende direktør og begjærte seg konkurs. I mellomtiden ble det kjent at han brukte investorers og kunders penger i sitt eget handelsfirma, Alameda Research. På grunn av forferdelig vanstyre var Alameda Research godt under vann. SBF ble arrestert og løslatt mot kausjon mens de realiserte tapene fra FTX-kollapsen nådde en topp på 9 milliarder dollar i ekvivalent.
Topp kryptohack i 2022
I følge en analyse av Merkle Science cybersikkerhetseksperter er broer på tvers av nettverk spesielt sårbare for utnyttelser på grunn av deres tekniske kompleksitet og svært eksperimentelle karakter:
Broer mellom kjeder er ofte mer utsatt for utnyttelse siden de krever mer interaksjoner og kontraktsgodkjenninger enn de andre protokollene. I tillegg er broer mer utsatt for angrep ettersom de drives av ureviderte datakoder. Dessuten er identiteten til validatorer/noder som kjører transaksjonene også ukjent
I 2022 var broer de primære målene for angrep, mens andre DeFi-mekanismer også ble utnyttet av hackere.
ormehull
3. februar 2022 angrep hackere Wormhole, en bro designet for å lette sømløs verdioverføring mellom heterogene blokkjeder. På grunn av en sårbarhet i kode, klarte de å utstede 120,000 XNUMX Wrapped Ethers (wETH) på Solana (SOL) blokkjeden uten å stille opp den tilsvarende Ethereum (ETH)-sikkerheten.
Hacket kan føre til insolvens av enhver DeFi-plattform som vil være klar til å akseptere 120,000 XNUMX wETH (trykt ut av løse luften) som sikkerhet. Heldigvis skjedde ikke det verste scenarioet.
Jump Crypto, morselskapet til Wormhole-tjenesten, tok alle tapene: de fylte umiddelbart på 120,000 XNUMX Ethers til protokollens likviditetspooler.
Ronin
23. mars angrep nordkoreanske hackere fra Lazarus, en beryktet statsstøttet cyberkriminell gruppe, Ronin-nettverket. Ronin er en Ethereum-lignende sidekjede utviklet spesielt for Axie Infinity, et flaggskip GameFi. Angripere tappet Ronin for hele 568 millioner dollar.
Hackere klarte å få kontroll over fem av ni validatorsignaturer for Ronin Bridge. Deretter godkjente de to transaksjoner, 173,600 25.5 Ether (ETH) og 445 millioner USD Coin (USDC). Ut av dette monstrøse byttet ble over XNUMX millioner dollar hvitvasket via Tornado Cash-kryptomikseren.
Axie Infinity-utvikleren Sky Mavis skaffet ekstra finansiering, bestilte en ny sikkerhetsrevisjon av CertiK og økte multisig-terskelen fra 5/9 til 8/9.
Nomad
I august 2022 ble Nomad, en bromekanisme med flere kjeder som flytter verdi mellom Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) og andre blokkkjeder, tappet for 190.7 millioner dollar i krypto. Angripere klarte å utnytte en sårbarhet ved den smarte kontraktsdesignen: protokollen tillot brukere å ta ut midler på målblokkkjeden uten å sjekke om de tilsvarte det opprinnelig utplasserte beløpet.
12/ tl;dr en rutineoppgradering markerte null-hashen som en gyldig rot, noe som hadde effekten av å tillate at meldinger ble forfalsket på Nomad. Angripere misbrukte dette til å kopiere/lime inn transaksjoner og tømte raskt broen i en frenetisk fri-for-alle
— dette er nå en shitpost-konto (@samczsun) August 2, 2022
Enkelt sagt, etter den vanlige oppgraderingen, kunne brukere sette inn 1 ETH på Ethereum (ETH) og be om et 100 Ethereum (ETH) tilsvarende uttak fra Avalanche (AVAX).
Saken er at alle teknologikyndige Web3-entusiaster hadde vært i stand til å replikere denne angrepsvektoren og stjele midler fra Nomad før oppdateringen ble utgitt. Som sådan trakk mange Ethereum-utviklere (ETH) midler bare for å sende dem tilbake til Nomad-teamet: nesten 40 millioner dollar ble sendt tilbake.
Beanstalk
Den 16. april 2022 ble det Ethereum-baserte stablecoin-prosjektet Beanstalk (BEAN) målrettet av et sofistikert flashlånsangrep. Forbrytere klarte nemlig å få et flashlån på Aave Finance (AAVE) og kjøpe mengden styringssymboler som er nødvendige for å ta kontroll over folkeavstemningene i protokollen.
Deretter fikk angriperne det stemmeberettigede overflertallet og godkjente en pengeoverføring til sin egen konto. Da 180 millioner dollar ble overført, tilbakebetalte de øyeblikkelig flash-lånet; Nettoresultatet oversteg 80 millioner dollar.
vinterstum
I september 2022 fikk Wintermute, en av de største markedsskapende plattformene, lommeboken tappet for 160 millioner dollar. Angripere avslørte at noen av Wintermutes nøkkellommebøker ble opprettet med Profanity, en generator av "forfengelighetsadresser" for Ethereum-nettverket (ETH). Slike programmer kan lage kryptolommebøker med adresser som kan leses av mennesker, f.eks. 0xJohnDoe1111... o.l.
På grunn av en sårbarhet i Profanitys design, klarte angriperne å brutt-force forfengelighetsadressene og gjenopprette private nøkler. Angrepet ble mulig på grunn av betydelige dataressurser brukt av ugjerningsmenn.
Bonus: Ikke fall for disse langvarige svindelene
Ved siden av sofistikerte scenarier som inkluderer flashlån på 1 milliard dollar, dukker nordkoreanske hackere og imponerende maskinvare for brute-forcing, veldig primitive svindelkampanjer opp her og der. Tre angrepsdesign er veldig vanlig i krypto fra og med 2022:
1. Falske luftdråper. For å utføre denne svindelen organiserer ugjerningsmenn enten en YouTube-annonseringskampanje eller legger ut annonsen sin på Twitter. Så kunngjør de at en internettkjendis (Snoop Dogg), en toppteknologigründer (Vitalik Buterin eller Elon Musk) eller til og med politiker (Donald Trump) sender kryptovaluta. Alle som er klare til å kreve bonusene sine bør enten sende et første innskudd (som angivelig vil bli returnert med 100 % fortjeneste) eller sine private nøkler. Unødvendig å si at begge gruppene vil miste innskuddene sine eller alle pengene fra lommeboken.
Hvordan beskytte deg selv: Send aldri pengene dine til "airdrop-arrangører" eller oppgi dine private nøkler eller frøfraser.
2. Håndlagde MEV-roboter. Maksimal ekstraherbar verdi (MEV) er den maksimale belønningen Ethereum (ETH) nettverksdeltakere kan få for sitt bidrag i prosessen med blokkvalidering. Sofistikerte teknikker lar oss dra nytte av å optimalisere MEV. Svindlere legger ut video- eller tekstmanualer om hvordan du bygger dine egne "MEV-bots" for å få tilgang til Ethereum (ETH) lommebøker og tappe penger.
Hvordan beskytte deg selv: Unngå "instant" MEV-roboter fra YouTube-manualer.
3. Svindlere kommer til unnsetning. Siden 2022 definitivt er et år med hacks, sjekker mange kryptobrukere om favorittblokkkjedene deres er ødelagte. Svindlere legger ut falske kunngjøringer om at dette eller det prosjektet blir hacket og lanserer falske "kompensasjonsprogrammer". Alle som er interessert i kompensasjon blir bedt om å sende frøfrasene sine til svindlere.
Hvordan beskytte deg selv: Sjekk bare nyheter om hacks på offisielle mediekanaler til blokkjeder.
Avsluttende tanker
I 2022 ble flertallet av kollapsene utløst av det smertefulle stupet med kryptovalutapriser, dårlig risikostyring og grådighet til eierne av sentraliserte kryptovalutaprodukter. Det er derfor desentralisering er en stor sak: mengden visdom til en DAO ville forhindre at FTX/Celsius/Voyager-skalakollapser skjer.
I mellomtiden bør produkter i kjeden ta vare på sikkerhetsrevisjoner, oppdateringer og administrasjon av private jetfly.
Kilde: https://u.today/top-10-crypto-scams-and-hacks-of-2022