10 najlepszych oszustw i hacków związanych z kryptowalutami w 2022 roku

Pomimo uwięzienia rynków kryptowalut w poważnej niedźwiedziej recesji, oszustwa i ataki hakerskie w Web3 płonęły przez cały 2022 rok. Szereg czołowych scentralizowanych kryptowalut wagi ciężkiej również upadło z powodu złego zarządzania ryzykiem i manipulacji poufnych informacji.

Ponieważ segment kryptowalut zbliża się do Nowego Roku, U.Today podsumowuje najniebezpieczniejsze oszustwa związane z kryptowalutami, ich korzenie, projekty i spowodowane przez nie straty. Przygotowaliśmy również krótki przegląd najczęstszych oszustw kryptograficznych w mediach społecznościowych, które codziennie atakują miliony użytkowników.

Kryptowalutowe oszustwa i hacki z 2022 roku: krótkie fakty

Według licznych raportów cybersec, w pierwszych 11 miesiącach 2022 roku hakerom i oszustom udało się ukraść bezprecedensową kwotę 4.2 miliarda dolarów w kryptowalutach, czyli o 37% więcej niż w 2021 roku, kiedy kluczowe kryptowaluty były 2x-3x droższe.

• Największe ataki przeprowadzono na protokoły międzyłańcuchowe — mechanizm pomostowy Ronin firmy Axie Infinity oraz wieloprotokołowy ekosystem Wormhole.
• Upadki ekosystemu Terra (LUNA), jego głównego protokołu DeFi Anchor Protocol (ANC) oraz stabilnej waluty TerraUSD (UST) powiązanej z USD przyczyniły się do fazy niedźwiedziej recesji w drugim i czwartym kwartale 2 r.
• Dramat wokół nieistniejącej już giełdy kryptowalut FTX i powiązanej z nią firmy handlowej Alameda Research był największym upadkiem scentralizowanej usługi w 2022 roku.
• Pomimo tego, że największe włamania są szeroko dyskutowane w mediach, zdecydowana większość oszustw kryptograficznych jest zorganizowana przy użyciu starych metod: fałszywych zrzutów, złośliwych „programów naprawczych”, schematów arbitrażu i tym podobnych.
• Szereg głównych ataków hakerskich wyglądało na operacje „białych kapeluszy”: napastnicy zwracali skradzione pieniądze w zamian za imponujące nagrody za błędy.
• Prawie 12% wszystkich tokenów BEP-20 i 8% tokenów ERC-20 jest fałszywych; Codziennie uruchamianych jest 350 nowych oszustw.

W tym przeglądzie będziemy odnosić się do celowo uruchomionych oszustw i projektów, które początkowo były legalne jako „oszustwa”, podczas gdy „hacki” to ataki osób trzecich na legalne projekty realizowane bez zdarzeń „pracy z wykorzystaniem informacji poufnych”.

Najpopularniejsze oszustwa i upadki kryptowalut w 2022 roku

W 2022 roku Bitcoin (BTC), Ethereum (ETH) i wszystkie główne kryptowaluty straciły ponad 70-80% z ATH, podczas gdy w większości dotkniętych segmentów — tokeny Metaverse, tokeny GameFi, ekosystem Solana (SOL) — mediana strat przekracza 90 %. Niektórym firmom kryptograficznym nie udało się przetrwać tak bolesnego spadku.

Terra (LUNA)/Terra USD (UST)

Inteligentna platforma kontraktowa zgodna z EVM Terra (LUNA) była jednym z najbardziej przereklamowanych zabójców Ethereum (ETH) w 2021 r. Jednak lwia część jej TVL koncentrowała się na protokole Anchor Protocol (ANC), prostej maszynie do farmowania plonów, która oferowała 19% RRSO dla depozytów w Terra USD (UST), nieistniejącym już stablecoinie Terry powiązanym z USD. Łącznie w Anchor (ANC) w pierwszym kwartale 20 r. zablokowano równowartość ponad 1 miliardów dolarów.

Jednak na początku maja 2022 r. ktoś zaczął agresywnie wysyłać UST do pul w Curve Finance (CRV) DeFi i wymieniać tokeny na USD Coin (USDC). UST straciło swój kołek. Terraform Labs i jego dyrektor generalny Do Kwon zaczęli wprowadzać płynność do mechanizmu UST/LUNA. Jednak z powodu masowego uciekania kapitału, zarówno LUNA, jak i UST spadły do ​​wartości prawie zerowych. Blockchain Terra (LUNA) został zatrzymany na dobre.

Jak informował wcześniej U.Today, badacze ujawnili, że to Terraform Labs zapoczątkowało upadek: masowe transfery UST zostały autoryzowane przez Do Kwona. Założyciel Terry rzekomo uciekł do Serbii i próbuje tam wypłacić swoje bitcoiny (BTC).

Kapitał trzech strzał

Założony przez Su Zhu i Kyle'a Daviesa, absolwentów Columbia University i weteranów Credit Suisse, Three Arrows Capital (3AC) był jednym z najbardziej wpływowych kryptońskich funduszy hedgingowych. Zgromadził ponad 20 miliardów dolarów w AUM dzięki temu, że był wczesnym inwestorem w Ethereum (ETH), Avalanche (AVAX), Solana (SOL) i inne.

Jednak upadła LUNA była jednym z kluczowych elementów portfolio 3AC. Zespół zainwestował ponad 600 milionów dolarów w Terra (LUNA): ten ogromny udział został zlikwidowany w dwa tygodnie po upadku LUNA/UST.

16 czerwca 2022 r. FT ogłosiło, że 3AC nie spełniło swoich wezwań do uzupełnienia depozytu zabezpieczającego z powodu strat w protokole Terra's Anchor. Firma była również pod wodą na swoich pozycjach w Staked Ether (stETH) w Lido Finance (LDO) DeFi oraz w Grayscale Bitcoin Trust (GBTC). W czerwcu nie udało się spłacić pożyczki dla kryptowalutowego giganta Voyager. Pod koniec lipca firma została zlikwidowana przez sąd BVI, podczas gdy zarząd 3AC ogłosił upadłość. W sumie 20 inwestorów w 3AC straciło ponad 3.5 miliarda dolarów.

Podróżnik

Zarejestrowany w USA wierzyciel Voyager również padł ofiarą złego zarządzania ryzykiem: udzielił Three Arrows Capital niezabezpieczonej pożyczki w wysokości 650 milionów dolarów, podczas gdy jego aktywa netto wyniosły prawie 5.9 miliarda dolarów. Platforma miała 3.5 miliona klientów, z których 97% zainwestowało mniej niż 10,000 XNUMX USD.

Ogólnie rzecz biorąc, Voyager upadł z powodu tego, że jego zespół wybrał ryzykowną strategię biznesową: oferował pożyczki wielu usługom handlowym i indywidualnym traderom kryptowalut. Gdy pożyczkodawcy zaczęli masowo wypłacać swoje pieniądze, na początku lipca Voyager zamroził fundusze klientów. Kilka dni później złożył wniosek o ochronę przed upadłością w Nowym Jorku.

Ponieważ platforma była nastawiona na małych klientów detalicznych, jej upadek był najbardziej bolesny dla entuzjastów kryptowalut.

Celsjusz

Celsjusza była w rzeczywistości pierwszą firmą, która zasygnalizowała swoje problemy: w kwietniu 2022 r. platforma ogłosiła, że ​​będzie przechowywać wszystkie aktywa nieakredytowanych inwestorów: ta część klientów nie była zatem w stanie zastrzyknąć nowej płynności i otrzymać nagrody.

W maju 2022 roku, przestraszeni dramatami UST i Terra, użytkownicy zaczęli wyprowadzać pieniądze z protokołu Celsjusza. 12 czerwca 2022 roku Celsjusza zamroził środki 1.7 miliona klientów (głównie inwestorów detalicznych). Podobnie jak Voyager, na początku lipca złożył wniosek o upadłość.

14 lipca 2022 r. Radca prawny Celsjusza, Kirkland & Ellis, poinformował, że liderzy platformy zostali poinformowani o 1.3 miliarda dolarów dziury w jej bilansie.

FTX

Upadek giełdy kryptowalut Sama Bankmana-Frieda FTX i powiązanej z nią firmy inwestującej w kryptowaluty Alameda Research był najbardziej zaskakującym dramatem w Web3: SBF i jego zespół próbowali zdobyć ogromną kontrolę nad branżą, podpisując dziesiątki partnerstw, pojawiając się na okładkach Forbesa i wkrótce.

Jednak bilans Alameda Research w dużym stopniu zależał od FTX Token (FTT), rodzimej kryptowaluty FTX. Dlatego cały system się zawalił, gdy dyrektor generalny Binance, Changpeng „CZ” Zhao, zaczął agresywnie sprzedawać FTT (ponad 500 milionów dolarów w ekwiwalencie zostało wydane przez CZ).

Tak jak we wszystkich podobnych przypadkach, inwestorzy zaczęli masowo wycofywać swoje pieniądze z FTX. Platforma wstrzymała wypłaty, SBF ustąpił ze stanowiska CEO i ogłosił upadłość. W międzyczasie wyszło na jaw, że wykorzystywał pieniądze inwestorów i klientów we własnej firmie handlowej Alameda Research. Z powodu strasznego złego zarządzania, Alameda Research była głęboko pod wodą. SBF został aresztowany i zwolniony za kaucją, podczas gdy zrealizowane straty wynikające z upadku FTX osiągnęły najwyższy poziom w ekwiwalencie 9 miliardów dolarów.

Najpopularniejsze włamania do kryptowalut w 2022 roku

Zgodnie z analiza ekspertów Merkle Science ds. cyberbezpieczeństwa, mosty międzysieciowe są szczególnie podatne na exploity ze względu na ich techniczną złożoność i wysoce eksperymentalny charakter:

Mosty między łańcuchami są często bardziej podatne na exploity, ponieważ wymagają większej liczby interakcji i zatwierdzeń kontraktów niż inne protokoły. Ponadto mosty są bardziej podatne na ataki, ponieważ są obsługiwane przez niezweryfikowane kody komputerowe. Co więcej, nieznana jest również tożsamość walidatorów/węzłów, które przeprowadzają transakcje

W 2022 roku mosty były głównymi celami ataków, podczas gdy inne mechanizmy DeFi były również wykorzystywane przez hakerów.

Tunel czasoprzestrzenny

3 lutego 2022 r. hakerzy zaatakowali tunel czasoprzestrzenny, most zaprojektowany w celu ułatwienia płynnego transferu wartości między heterogenicznymi łańcuchami bloków. Ze względu na lukę w kodzie udało im się wyemitować 120,000 XNUMX Wrapped Ethers (wETH) na blockchainie Solana (SOL) bez wniesienia odpowiedniego zabezpieczenia Ethereum (ETH).

Hack może doprowadzić do niewypłacalności dowolnej platformy DeFi, która byłaby gotowa przyjąć 120,000 XNUMX wETH (wydrukowanych z powietrza) jako zabezpieczenie. Na szczęście czarny scenariusz się nie sprawdził.

Jump Crypto, firma macierzysta usługi Wormhole, wzięła na siebie wszystkie straty: natychmiast uzupełniła 120,000 XNUMX eterów do puli płynności protokołu.

Ronin

23 marca północnokoreańscy hakerzy z Lazarus, niesławnej wspieranej przez państwo grupy cyberprzestępczej, zaatakowali sieć Ronin. Ronin to łańcuch boczny podobny do Ethereum, opracowany specjalnie dla Axie Infinity, flagowego GameFi. Atakujący pozbawili Ronina aż 568 milionów dolarów.

Hakerom udało się przejąć kontrolę nad pięcioma z dziewięciu podpisów walidatorów dla Ronin Bridge. Następnie autoryzowali dwie transakcje, 173,600 25.5 Ether (ETH) i 445 mln USD Coin (USDC). Z tego potwornego łupu ponad XNUMX milionów dolarów zostało wypranych za pośrednictwem miksera kryptowalut Tornado Cash.

Deweloper Axie Infinity, Sky Mavis, zebrał dodatkowe fundusze, zlecił CertiK kolejny audyt bezpieczeństwa i podniósł próg multisig z 5/9 do 8/9.

Koczownik

W sierpniu 2022 r. Nomad, wielołańcuchowy mechanizm pomostowy, który przenosi wartość między Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) i innymi łańcuchami bloków, został wyczerpany z 190.7 mln USD w krypto. Atakującym udało się wykorzystać lukę w projekcie inteligentnego kontraktu: protokół umożliwiał użytkownikom wypłacanie środków z docelowego łańcucha bloków bez sprawdzania, czy są one równe pierwotnie wdrożonej kwocie.

12/ tl;dr rutynowa aktualizacja oznaczyła zerowy hash jako prawidłowy root, co skutkowało umożliwieniem fałszowania wiadomości na Nomadzie. Atakujący wykorzystali to, aby skopiować/wkleić transakcje i szybko opróżnili most w szaleńczym trybie „free-for-all”

— to jest teraz konto shitpost (@samczsun) 2 sierpnia 2022 r.

Mówiąc najprościej, po regularnej aktualizacji użytkownicy mogli zdeponować 1 ETH na Ethereum (ETH) i poprosić o wypłatę równowartości 100 Ethereum (ETH) z Avalanche (AVAX).

Rzecz w tym, że każdy obeznany z technologią entuzjasta Web3 był w stanie powtórzyć ten wektor ataku i ukraść fundusze Nomada przed wydaniem łatki. W związku z tym wielu programistów Ethereum (ETH) wycofało środki tylko po to, aby odesłać je do zespołu Nomad: zwrócono prawie 40 milionów dolarów.

beanstalk 

16 kwietnia 2022 r. oparty na Ethereum projekt stablecoin Beanstalk (BEAN) stał się celem wyrafinowanego ataku typu flash-pożyczka. Mianowicie, złoczyńcom udało się uzyskać błyskawiczną pożyczkę na Aave Finance (AAVE) i kupić tokeny rządowe niezbędne do przejęcia kontroli nad protokołami referendów on-chain.

Następnie napastnicy uzyskali bezwzględną większość głosów i zatwierdzili przelew pieniędzy na własne konto. Kiedy przelano 180 milionów dolarów, natychmiast spłacili pożyczkę błyskawiczną; zysk netto przekroczył 80 milionów dolarów.

zimamute

We wrześniu 2022 roku Wintermute, jedna z największych platform animujących rynek, straciła portfele na 160 milionów dolarów. Atakujący ujawnili, że niektóre portfele kluczy Wintermute zostały utworzone za pomocą Profanity, generatora „adresów próżnych” dla sieci Ethereum (ETH). Takie programy mogą tworzyć portfele kryptograficzne z adresami czytelnymi dla człowieka, np. 0xJohnDoe1111… i tym podobne.

Ze względu na lukę w projekcie Profanity, atakującym udało się brutalnie wymusić adresy vanity i odzyskać klucze prywatne. Atak stał się możliwy dzięki znacznym zasobom obliczeniowym wykorzystywanym przez złoczyńców.

Bonus: nie daj się nabrać na te długotrwałe oszustwa

Oprócz wyrafinowanych scenariuszy, które obejmują błyskawiczne pożyczki o wartości 1 miliarda dolarów, północnokoreańskich hakerów i imponujący sprzęt do brutalnego wymuszania, tu i ówdzie pojawiają się bardzo prymitywne kampanie oszustw. Od 2022 r. w kryptowalutach bardzo popularne są trzy projekty ataków:

1. Fałszywe zrzuty. Aby przeprowadzić to oszustwo, przestępcy albo organizują kampanię reklamową na YouTube, albo umieszczają swoją reklamę na Twitterze. Następnie ogłaszają, że gwiazda internetu (Snoop Dogg), przedsiębiorca top tech (Vitalik Buterin czy Elon Musk), a nawet polityk (Donald Trump) zrzuca kryptowalutę. Wszyscy, którzy są gotowi odebrać swoje bonusy, powinni albo wysłać pierwszą wpłatę (która rzekomo zostałaby zwrócona ze 100% zyskiem), albo swoje klucze prywatne. Nie trzeba dodawać, że obie grupy stracą swoje depozyty lub wszystkie pieniądze ze swoich portfeli.

Jak się chronić: Nigdy nie wysyłaj pieniędzy do „organizatorów zrzutów” ani nie ujawniaj swoich kluczy prywatnych ani fraz początkowych.

2. Ręcznie robione boty MEV. Maksymalna wartość do wydobycia (MEV) to maksymalna nagroda, jaką uczestnicy sieci Ethereum (ETH) mogą otrzymać za swój wkład w proces walidacji bloku. Zaawansowane techniki pozwalają nam czerpać korzyści z optymalizacji MEV. Oszuści umieszczają instrukcje wideo lub tekstowe, jak zbudować własne „boty MEV”, aby uzyskać dostęp do portfeli Ethereum (ETH) i drenować fundusze.

Jak się chronić: Unikaj „natychmiastowych” botów MEV z podręczników YouTube.

3. Na ratunek przychodzą oszuści. Ponieważ rok 2022 to zdecydowanie rok hacków, wielu użytkowników kryptowalut sprawdza, czy ich ulubione łańcuchy bloków nie są zepsute. Oszuści publikują fałszywe ogłoszenia o włamaniu do tego lub innego projektu i uruchamiają fałszywe programy „odszkodowań”. Wszyscy zainteresowani rekompensatą proszeni są o przesłanie swoich fraz początkowych oszustom.

Jak się chronić: Sprawdzaj wiadomości o hackach tylko na oficjalnych kanałach medialnych blockchainów.

Zamykanie myśli

W 2022 roku większość załamań była spowodowana bolesnym spadkiem cen kryptowalut, złym zarządzaniem ryzykiem i chciwością właścicieli scentralizowanych produktów kryptowalutowych. Dlatego decentralizacja to wielka sprawa: mądrość tłumu DAO zapobiegłaby załamaniom w skali FTX/Celsiusa/Voyagera.

Tymczasem produkty on-chain powinny zajmować się audytami bezpieczeństwa, aktualizacjami i zarządzaniem prywatnym odrzutowcem.