ตามที่ TRM การวิเคราะห์ในห้องแล็บ ปี 2022 เป็นปีที่มีการแฮ็กข้อมูลคริปโตเป็นประวัติการณ์ โดยมีการขโมยคริปโตมูลค่าประมาณ 3.7 พันล้านดอลลาร์ Defi การโจมตีเกิดขึ้นอย่างแพร่หลาย โดยประมาณ 80% หรือ 3 พันล้านดอลลาร์เกี่ยวข้องกับเหยื่อของ DeFi
ในขณะที่เรามุ่งหน้าสู่ปี 2023 ด้วยความหวังในแง่ดีเกี่ยวกับคำมั่นสัญญาของเทคโนโลยีที่เพิ่งตั้งไข่ เราต้องมองย้อนกลับไปเพื่อเรียนรู้จากความท้าทายและความพ่ายแพ้ที่เราเผชิญในการมองย้อนกลับไป
การแฮ็กการเข้ารหัสโครงสร้างพื้นฐานของ Ronin Bridge
แอ็กซี่อินฟินิตี้ Ronin บริดจ์ crypto แฮ็ค ในเดือนมีนาคมสูงสุดรายการที่ 612 ล้านดอลลาร์ สะพานโรนินเป็น Ethereum ห่วงโซ่ด้านข้างสำหรับเกม Axie Infinity ที่เล่นเพื่อหารายได้
แฮ็กเกอร์ crypto ซึ่งปัจจุบันระบุว่าเป็นกลุ่มอาชญากรไซเบอร์ของเกาหลีเหนือที่ชื่อว่า Lazarus ได้เข้าถึงคีย์ส่วนตัวเก้าคีย์ของเครื่องมือตรวจสอบธุรกรรมของ Ronin พวกเขาอนุมัติธุรกรรมขนาดใหญ่โดยใช้กุญแจ หนึ่งรายการสำหรับ 173,600 ETH และอีกรายการหนึ่งสำหรับ 25.5 ล้าน USDC
แฮ็กเกอร์ย้าย crypto ไปที่ Tornado cash, crypto tumbler แบบโอเพ่นซอร์ส และการแลกเปลี่ยนอื่น ๆ อีกมากมาย
ความพยายามร่วมกันจากชุมชน Binance, Chainalysis และเจ้าหน้าที่บังคับใช้กฎหมายช่วยติดตามเงินบางส่วน
การใช้ประโยชน์จากรหัสข้ามสะพาน BSC Beacon
ในเดือนตุลาคม แฮ็กเกอร์ใช้ช่องโหว่ในรหัสข้ามสะพาน BSC Beacon เพื่อขโมย crypto มูลค่า 570 ล้านดอลลาร์ สะพานเป็นส่วนประกอบที่สำคัญของห่วงโซ่ BNB
BSC Beacon chain เรียกว่า Token Hub เป็นสะพานข้ามระหว่าง BNB Beacon Chain (BEP2) และ BNB Chain (BEP20/ BSC)
การโจมตีทำงานโดย การปลอมแปลงหลักฐานการเข้ารหัสลับ เรียกว่าหลักฐานของ Merkle ที่ยืนยันข้อมูลเช่นธุรกรรมว่าถูกต้องและรวมอยู่ใน blockchain. แฮ็กเกอร์ชาวไซปรัสใช้หลักฐานเท็จของ Merkle เพื่อโอนเงินจากสะพานข้าม BSC Beacon ไปยังเครือข่ายอื่นๆ
Tether บล็อกรายการที่อยู่ของผู้โจมตี ในขณะที่เงินกว่า 7 ล้านดอลลาร์ที่ย้ายจากเครือข่าย BNB ถูกระงับอย่างมีประสิทธิภาพ
การใช้ประโยชน์จากรหัสสะพาน Wormhole
แฮ็กเกอร์ Crypto ใช้ประโยชน์จากรหัสของ wormhole ในเดือนกุมภาพันธ์ของ crypto มูลค่า 326 ล้านดอลลาร์ รูหนอนเป็นสะพานโทเค็นระหว่าง Solana และ Ethereum
แฮ็กเกอร์ crypto ใช้ฟังก์ชันที่ไม่ปลอดภัยที่เลิกใช้แล้ว/ตายเพื่อข้ามการตรวจสอบลายเซ็น
รหัสที่เลิกใช้สามารถเปรียบเทียบได้กับกระดาษโน้ตที่เขียนว่า 'ฉันจะลบสิ่งนี้ในอนาคต' คุณไม่สามารถลบรหัสได้ในขณะนี้ เนื่องจากผู้บริโภคบางส่วนยังคงใช้รหัสอยู่
สายการมอบหมายการตรวจสอบลายเซ็นเปิดใช้งานการแฮ็ค crypto ฟังก์ชันที่เลิกใช้งานไม่ได้ตรวจสอบที่อยู่ ทำให้สามารถตรวจสอบลายเซ็นปลอมได้
ตามที่นักวิเคราะห์ในโลกไซเบอร์ นักพัฒนาสามารถหลีกเลี่ยงการโจมตีได้หากพวกเขาฝึกฝน 'การเข้ารหัสที่ปลอดภัย'
การใช้ประโยชน์จากรหัสสะพาน Nomad
แฮ็กเกอร์ใช้ประโยชน์จาก Nomad crypto bridge ในเดือนสิงหาคมของ crypto มูลค่า 190 ล้านดอลลาร์ แฮ็กเกอร์แทบใช้เงินทุนทั้งหมดในโปรโตคอล การแสวงหาผลประโยชน์ที่เพิ่มขึ้นทำให้เกิดคำถามเกี่ยวกับความปลอดภัยของสะพานข้ามโทเค็นโทเค็น
บริดจ์ทำงานโดยการล็อกโทเค็นในสัญญาอัจฉริยะในเชนหนึ่ง แล้วออกใหม่ในรูปแบบ 'ห่อ' ในเชนอื่น ในกรณีของ Nomad การโจมตีทำลายสัญญาซึ่งทำให้โทเค็นที่ห่อไว้ไร้ค่า
Nomad ตั้งค่าหัวขอให้แฮ็กเกอร์เก็บเงิน 10% ของเงินและไม่ต้องถูกดำเนินคดีทางกฎหมายพร้อมโบนัส whitehat NFT. ในที่สุดผู้โจมตีก็ได้เงินคืนเพียง 36 ล้านดอลลาร์
การโจมตีโปรโตคอล Beanstalk
ในสุดสัปดาห์แห่งโชคชะตาในเดือนเมษายน แฮ็กเกอร์ใช้เงินกู้แฟลชเพื่อขโมย ETH, BEAN Stablecoin มูลค่า 182 ล้านดอลลาร์ และสินทรัพย์อื่น ๆ จากโปรโตคอล Stablecoin ของ Beanstalk
สินเชื่อแฟลชเป็นคุณสมบัติที่ช่วยให้ผู้ใช้สามารถยืมสินทรัพย์ ทำการซื้อขายอย่างรวดเร็ว จากนั้นชำระคืนในธุรกรรมที่ซับซ้อนรายการเดียวผ่านหลายโปรโตคอล
ผู้โจมตีได้เสนอข้อเสนอที่เป็นอันตราย 24 ข้อต่อ Beanstalk DAO ผ่านฟังก์ชันคอมมิตฉุกเฉิน ซึ่งต้องมีการลงคะแนนเสียง ⅔ และนำไปใช้หลังจาก XNUMX ชั่วโมง
ผู้โจมตี ซุกซน ใช้ฟังก์ชั่นเงินกู้แฟลชเพื่อรับการควบคุม 79% และส่งข้อเสนอของเขา
ผู้โจมตีส่งเงินในโปรโตคอลเพื่อชำระเงินกู้แฟลชและส่วนที่เหลือไปยังที่อยู่ของกองทุนยูเครน ในที่สุดเขาก็ทำกำไรได้ 76 ล้านเหรียญ
แฮ็ค crypto ขนาดใหญ่เพิ่มเติม
การแฮกคริปโตขนาดใหญ่อื่นๆ ได้แก่ การโจมตีโครงสร้างพื้นฐานของ Wintermute มูลค่า 160 ล้านดอลลาร์ในเดือนเมษายน การโจมตีโครงสร้างพื้นฐานของ Maiar/ Elrond มูลค่า 113 ล้านดอลลาร์ในเดือนมิถุนายน การโจมตีโครงสร้างพื้นฐานมูลค่า 112 ล้านดอลลาร์ของ Mango Markets ในเดือนตุลาคม และการโจมตีโครงสร้างพื้นฐานมูลค่า 100 ล้านดอลลาร์ของ Harmony bridge ในเดือนมิถุนายน
ที่มา: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/