による TRM ラボの分析によると、2022 年は仮想通貨のハッキングが記録的な年となり、約 3.7 億ドル相当の仮想通貨が盗まれました。 DeFi 攻撃が蔓延しており、約 80%、つまり 3 億ドルが DeFi の被害者に関係していました。
発生したばかりのテクノロジーの可能性について楽観的に 2023 年に向かうとき、私たちは過去を振り返って直面した課題や挫折から学ぶ必要があります。
Ronin Bridge インフラストラクチャ暗号ハッキング
アクシーインフィニティ Ronin ブリッジ暗号ハック 612 月には XNUMX 億 XNUMX 万ドルでリストのトップに立っています。 ローニンブリッジは Ethereum Axie Infinity play-to-ear ゲームのサイド チェーン。
今日、Lazarus と呼ばれる北朝鮮のサイバー犯罪グループとして特定された暗号ハッカーは、Ronin ブリッジ トランザクション バリデーターの 173,600 つの秘密鍵へのアクセスを取得しました。 キーを使用して、25.5 つは XNUMX ETH、もう XNUMX つは XNUMX 万 USDC の大規模なトランザクションを承認しました。
ハッカーは暗号を、オープンソースの暗号タンブラーである Tornado キャッシュ、および他のいくつかの取引所に移動しました。
コミュニティからの共同の取り組み、 バイナンス、Chainalysis、および法執行機関は、資金の一部を追跡するのに役立ちました.
BSC ビーコン クロスブリッジ コードのエクスプロイト
570 月には、ハッカーが BSC ビーコン クロスブリッジ コードの脆弱性を悪用して、XNUMX 億 XNUMX 万ドル相当の暗号を盗みました。 ブリッジは、BNB チェーンの重要なコンポーネントです。
トークン ハブと呼ばれる BSC ビーコン チェーンは、BNB ビーコン チェーン (BEP2) と BNB チェーン (BEP20/ BSC) の間のクロスチェーン ブリッジです。
によって行われた攻撃 暗号証明の改ざん トランザクションなどのデータが有効であり、 ブロックチェーン. 暗号ハッカーは、偽のマークル証明を使用して、BSC ビーコン クロス ブリッジから他のチェーンに資金を転送しました。
Tether は攻撃者のアドレスをブロックリストに載せ、BNB チェーンから移動した 7 万ドル以上は事実上凍結されました。
ワームホール ブリッジ コードのエクスプロイト
暗号ハッカーは、326 月に XNUMX 億 XNUMX 万ドル相当の暗号のワームホールのコードを悪用しました。 ワームホールは、Solana と Ethereum の間のトークン ブリッジです。
暗号ハッカーは、署名の検証をバイパスするために、非推奨/完全に安全でない機能を使用しました。
非推奨のコードは、「今後これを削除します」という付箋に例えることができます。 一部の消費者がまだコードを使用しているため、コードを削除することはできません。
署名検証の一連の委任により、暗号ハッキングが可能になりました。 非推奨の関数はアドレスをチェックせず、偽造された署名の検証を可能にしました。
サイバーアナリストによると、開発者は「安全なコーディング」を実践していれば攻撃を回避できたはずです。
ノマド ブリッジ コードのエクスプロイト
ハッカーは 190 月に Nomad クリプト ブリッジを悪用し、XNUMX 億 XNUMX 万ドル相当のクリプトを盗みました。 ハッカーは事実上、プロトコルのすべての資金を使い果たしました。エクスプロイトの増加により、クロスチェーン トークン ブリッジのセキュリティが疑問視されました。
ブリッジは、XNUMX つのチェーンのスマート コントラクトでトークンをロックし、別のチェーンで「ラップされた」形式でトークンを再発行することによって機能します。 Nomad の場合、攻撃はコントラクトを妨害し、ラップされたトークンを価値のないものにしました。
Nomad は事実上、ハッカーに資金の 10% を保持するように要求する報奨金を提示し、法的措置とボーナス ホワイトハットに直面することはありません。 NFT. 攻撃者は最終的に 36 万ドルしか返さなかった。
Beanstalk プロトコル攻撃
182 月の運命的な週末に、ハッカーがフラッシュ ローンを使用して、XNUMX 億 XNUMX 万ドルの ETH、BEAN ステーブルコイン、および Beanstalk ステーブルコイン プロトコルからその他の資産を盗みました。
フラッシュ ローンは、ユーザーが資産を借りて迅速な取引を行い、複数のプロトコルにわたる単一の複雑なトランザクションで返済できるようにする機能です。
攻撃者は、緊急コミット機能を通じて Beanstalk DAO に 24 つの悪意のある提案を提示しました。これには XNUMX/XNUMX の投票が必要で、XNUMX 時間後に実装されました。
攻撃者 いたずらに はフラッシュ ローン機能を使用して 79% の支配権を獲得し、彼の提案を可決しました。
攻撃者は、フラッシュローンを完済するためにプロトコルで資金を送り、残りをウクライナの資金アドレスに送りました。 最終的に、彼は 76 万ドルの利益を上げました。
その他のメガ暗号ハック
その他のメガ暗号ハッキングには、160 月の Wintermute の 113 億 112 万ドルのインフラストラクチャ攻撃、100 月の Maiar/Elrond の XNUMX 億 XNUMX 万ドルのインフラストラクチャ攻撃、XNUMX 月の Mango Markets の XNUMX 億 XNUMX 万ドルのインフラストラクチャ攻撃、および XNUMX 月の Harmony bridge の XNUMX 億ドルのインフラストラクチャ攻撃が含まれます。
ソース: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/