คริปโต

การแฮ็กและการหาประโยชน์จากการเข้ารหัสลับที่ใหญ่ที่สุด 10 รายการในปี 2022 พบว่าถูกขโมยไป 2.1 พันล้านดอลลาร์

12/29/2022
ข่าว Bitcoin Ethereum

เป็นปีที่ปั่นป่วนสำหรับอุตสาหกรรม cryptocurrency — ราคาตลาดตกต่ำอย่างมาก ยักษ์ใหญ่ด้าน crypto ล่มสลาย และหลายพันล้านคนถูกขโมยไปในการหาประโยชน์จาก crypto และการแฮ็ก

ยังไม่ถึงครึ่งทางของเดือนตุลาคมด้วยซ้ำ ประกาศ Chainalysis ปี 2022 จะเป็น “ปีที่ยิ่งใหญ่ที่สุดสำหรับกิจกรรมการแฮ็ก”

ณ วันที่ 29 ธันวาคม 10 ช่องโหว่ที่ใหญ่ที่สุดในปี 2022 พบว่ามีมูลค่า 2.1 พันล้านดอลลาร์ที่ถูกขโมยไปจากโปรโตคอลการเข้ารหัสลับ ด้านล่างนี้คือการหาประโยชน์และการแฮ็กเหล่านั้น โดยเรียงลำดับจากน้อยไปมาก

10: Beanstalk Farms เอาเปรียบ — $76M

โปรโตคอล Stablecoin Beanstalk Farms ประสบกับการเอารัดเอาเปรียบ 76 ล้านเหรียญสหรัฐ เมื่อวันที่ 18 เมษายน จากผู้โจมตีที่ใช้เงินกู้แฟลชเพื่อซื้อโทเค็นการกำกับดูแล สิ่งนี้ใช้เพื่อส่งข้อเสนอสองข้อที่แทรกสัญญาอัจฉริยะที่เป็นอันตราย

การหาประโยชน์ในตอนแรก คิดว่าจะมีราคาประมาณ 182 ล้านเหรียญ เนื่องจาก Beanstalk สูญเสียหลักประกันทั้งหมดไป แต่ท้ายที่สุดแล้ว ผู้โจมตีก็สามารถหลบหนีไปได้โดยมีไม่ถึงครึ่ง

อันดับที่ 9: การใช้ประโยชน์จากสะพาน Qubit Finance — $80M

Qubit Finance ซึ่งเป็นโปรโตคอลการเงินแบบกระจายอำนาจ (DeFi) บน BNB Smart Chain มูลค่ากว่า 80 ล้านเหรียญ ของบีเอ็นบี (BNB) ถูกขโมยเมื่อวันที่ 28 มกราคมในการหาประโยชน์จากสะพาน

ผู้โจมตีหลอกสัญญาอัจฉริยะของโปรโตคอลโดยเชื่อว่าพวกเขาได้ฝากหลักประกันที่อนุญาตให้พวกเขาสร้างสินทรัพย์ที่เป็นตัวแทนของ Ether ที่เชื่อมโยง (ETH).

ภาพ

พวกเขาทำสิ่งนี้ซ้ำหลายครั้งและยืมเงินดิจิตอลหลายสกุลกับ ETH ที่เชื่อมโยงซึ่งไม่ได้สำรองไว้ ทำให้เงินของโปรโตคอลหมดไป

อันดับที่ 8: Rari Fuse แสวงประโยชน์ — 79.3 ล้านเหรียญ

โปรโตคอล DeFi อื่นที่เรียกว่า Rari Capital ถูกใช้ประโยชน์ในวันที่ 30 เมษายนสำหรับผลรวมของ ประมาณ $ 79.3 ล้าน.

ผู้โจมตีใช้ประโยชน์จากก ช่องโหว่การกลับเข้ามาใหม่ ในสัญญาอัจฉริยะของ Rar Fuse กลุ่มสภาพคล่องของโปรโตคอล ทำให้พวกเขาเรียกใช้ฟังก์ชันไปยังสัญญาที่เป็นอันตรายเพื่อระบายกลุ่มของ crypto ทั้งหมด

ในเดือนกันยายน Tribe DAO ซึ่งรวมถึง Rari Capital และโปรโตคอล DeFi อื่นๆ โหวตให้ คืนเงินให้กับผู้ใช้ที่ได้รับผลกระทบ จากการแฮ็ค

7: การแฮ็คสะพาน Harmony — 100 ล้านเหรียญ

ในการแฮ็กสะพานอีกครั้ง สะพาน Horizon ที่เชื่อมโยง Ethereum, Bitcoin (BTC) และบล็อกเชนเลเยอร์ 1 ของ BNB Chain to Harmony คือ หมดไปประมาณ 100 ล้านเหรียญสหรัฐ ในสกุลเงินดิจิทัลหลายสกุล

บริษัทด้านนิติวิทยาศาสตร์ Blockchain Elliptic ตรึงแฮ็ค เกี่ยวกับกลุ่มอาชญากรไซเบอร์ของเกาหลีเหนือ Lazarus Group เนื่องจากเงินดังกล่าวถูกฟอกในลักษณะที่คล้ายคลึงกับการโจมตีของ Lazarus อื่น ๆ ที่รู้จักกัน

Lazarus เป็นที่เข้าใจกันว่ามีเป้าหมายที่ข้อมูลรับรองการเข้าสู่ระบบของพนักงาน Harmony ละเมิดระบบความปลอดภัยของแพลตฟอร์มและเข้าควบคุมโปรโตคอลก่อนที่จะปรับใช้โปรแกรมการฟอกอัตโนมัติเพื่อย้ายกำไรที่ไม่ได้รับ

6: BNB Chain Bridge แสวงประโยชน์ — $100M

BNB Chain ถูกหยุดชั่วคราวในวันที่ 6 ต.ค. เนื่องจาก “กิจกรรมที่ผิดปกติ” บนเครือข่าย ซึ่งภายหลังถูกเปิดเผยว่าเป็น การเอารัดเอาเปรียบ ที่ระบายเงินประมาณ 100 ล้านดอลลาร์จาก BSC Token Hub สะพานข้ามโซ่

ในขั้นต้น เชื่อกันว่าผู้โจมตีสามารถทำเงินได้ประมาณ 600 ล้านดอลลาร์ เนื่องจากช่องโหว่ที่อนุญาตให้สร้าง BNB ประมาณ XNUMX ล้านโทเค็นเนทีฟของเชน

โชคไม่ดีสำหรับผู้โจมตี พวกเขามีสินทรัพย์ดิจิทัลมูลค่ากว่า 400 ล้านดอลลาร์ที่ถูกแช่แข็งบนบล็อกเชน และอาจติดอยู่ในสะพานข้ามโซ่บนฝั่งบล็อกเชน BNB

อันดับที่ 5: Wintermute hack — $160M

Wintermute ผู้สร้างตลาด crypto ในสหราชอาณาจักรได้รับความเดือดร้อนจาก กระเป๋าเงินร้อนที่ถูกบุกรุก ที่เห็นประมาณ 160 ล้านดอลลาร์จาก 70 โทเค็นที่โอนออกจากกระเป๋าสตางค์

การวิเคราะห์จาก CertiK บริษัทด้านความปลอดภัยทางไซเบอร์ด้านบล็อกเชนอ้างว่า คีย์ส่วนตัวที่มีช่องโหว่ ถูกโจมตีซึ่งน่าจะสร้างโดย Profanity ซึ่งเป็นแอปที่ช่วยให้ผู้ใช้สร้างที่อยู่เข้ารหัสแบบไร้สาระ ซึ่งมีการใช้ประโยชน์ที่ทราบกันดีอยู่แล้ว

จากข้อมูลของ CertiK สิ่งนี้ทำให้ผู้โจมตีสามารถใช้ฟังก์ชันที่มีคีย์ส่วนตัวที่อนุญาตให้แฮ็กเกอร์เปลี่ยนสัญญาการแลกเปลี่ยนของแพลตฟอร์มเป็นของแฮ็กเกอร์ได้

ทฤษฎีสมคบคิด อ้างว่าแฮ็กเป็น "งานภายใน" เนื่องจากวิธีการดำเนินการ ถูกหักล้าง โดยบริษัทรักษาความปลอดภัยบล็อคเชน BlockSec ซึ่งกล่าวว่าข้อกล่าวหานั้น “ยังไม่น่าเชื่อเพียงพอ”

4: การใช้ประโยชน์จากสะพานโทเค็น Nomad — 190M

เมื่อวันที่ 2 สิงหาคม สะพานโทเค็น Nomad ซึ่งอนุญาตให้ผู้ใช้แลกเปลี่ยน cryptocurrencies ข้ามบล็อกเชนหลายตัวถูกผู้โจมตีหลายคนระบายออก มูลค่า 190 ล้านเหรียญสหรัฐ.

ช่องโหว่ของสัญญาอัจฉริยะที่ล้มเหลวในการตรวจสอบอินพุตของธุรกรรมอย่างถูกต้องเป็นสาเหตุของการเจาะระบบ

ผู้ใช้หลายคนที่ดูเหมือนทั้งประสงค์ร้ายและใจดีสามารถคัดลอกการเคลื่อนไหวของผู้โจมตีดั้งเดิมเพื่อนำเงินเข้ากองทุนให้กับตนเองได้ รอบๆ 88% ของที่อยู่ การมีส่วนร่วมในการแสวงประโยชน์ถูกระบุว่าเป็น "การเลียนแบบ" ในรายงาน

เหลือเพียง กองทุนมูลค่าประมาณ 32.6 ล้านเหรียญสหรัฐ ถูกดักจับและส่งกลับไปยังโปรโตคอลโดยแฮกเกอร์หมวกขาว

3: การใช้ประโยชน์จากสะพาน Wormhole — $321M

สะพานโทเค็น Wormhole โดนเอาเปรียบ เมื่อวันที่ 2 กุมภาพันธ์ ส่งผลให้สูญเสียโทเค็น Wrapped Ether (wETH) 120,000 รายการ มูลค่า 321 ล้านดอลลาร์

Wormhole ช่วยให้ผู้ใช้สามารถส่งและรับ crypto ระหว่างบล็อกเชนหลายตัว ผู้โจมตีพบช่องโหว่ในสัญญาอัจฉริยะของโปรโตคอลและสามารถขุด 120,000 wETH บน Solana (SOL) ไม่มีการค้ำประกันและสามารถแลกเปลี่ยนเป็น ETH ได้

ในเวลานั้น มันถูกทำเครื่องหมายว่าเป็นการเอาเปรียบครั้งใหญ่ที่สุดในปี 2022 และเป็นการสูญเสียโปรโตคอลโดยรวมที่ใหญ่เป็นอันดับสามของปี

2: การแฮ็คกระเป๋าเงิน FTX — 477 ล้านดอลลาร์

ระหว่างการเริ่มกระบวนการล้มละลายของ FTX ในวันที่ 11 และ 12 พฤศจิกายน ก ชุดของการทำธุรกรรมที่ไม่ได้รับอนุญาต เกิดขึ้นที่การแลกเปลี่ยนโดย Elliptic แนะนำว่า crypto มูลค่าประมาณ 477 ล้านดอลลาร์ถูกขโมย

แซมแบงค์ - ฟรีด กล่าวในการให้สัมภาษณ์เมื่อวันที่ 16 พ.ย โดยเขาเชื่อว่าเป็น “ทั้งอดีตพนักงานหรือบางคนติดตั้งมัลแวร์ในคอมพิวเตอร์ของอดีตพนักงาน” และได้จำกัดผู้กระทำความผิดให้เหลือเพียงแปดคนก่อนที่เขาจะถูกปิดระบบของบริษัท

ที่เกี่ยวข้อง 7 การล่มสลายของ crypto ที่ใหญ่ที่สุดในปี 2022 ที่อุตสาหกรรมอยากจะลืม

ตามรายงานเมื่อวันที่ 27 ธันวาคม กระทรวงยุติธรรมสหรัฐอเมริกา เปิดตัวการสอบสวน ไปสู่ที่อยู่ประมาณ 372 ล้านดอลลาร์ของ crypto ที่หายไป

1: การแฮ็กสะพาน Ronin — 612 ล้านเหรียญ

การแสวงประโยชน์ครั้งใหญ่ที่สุดที่จะเกิดขึ้นในปี 2022 เกิดขึ้นในวันที่ 23 มีนาคม เมื่อ สะพานโรนินถูกเอาเปรียบ ในราคาประมาณ 612 ล้านดอลลาร์ — 173,600 ETH และ 25.5 ล้าน USD Coin (USDC).

Ronin เป็น Ethereum sidechain ที่สร้างขึ้นสำหรับ Axie Infinity ซึ่งเป็นเกม token (NFT) ที่เล่นเพื่อรับรายได้ Sky Mavis ผู้พัฒนา Axie Infinity กล่าวว่า แฮกเกอร์เข้าถึงได้ ไปยังคีย์ส่วนตัว โหนดเครื่องมือตรวจสอบที่ถูกบุกรุก และธุรกรรมที่ได้รับอนุมัติซึ่งทำให้เงินไหลออกจากบริดจ์

กระทรวงการคลังสหรัฐอัปเดตรายชื่อ Specially Designated Nationals and Blocked Persons (SDN) เมื่อวันที่ 14 เมษายนเป็น สะท้อนความเป็นไปได้ ว่ากลุ่มลาซารัสอยู่เบื้องหลังการหาประโยชน์จากสะพาน

การแฮ็กสะพาน Ronin เป็นการใช้ประโยชน์จากสกุลเงินดิจิทัลที่ใหญ่ที่สุดที่เคยมีมา