A 9 legnagyobb kriptós hackertámadás 2022-ben

A kriptodeviza-hackerek miatt elveszett eszközök összértéke idén rekordot ért el, mintegy hárommilliárd dollárt tett ki. Ez volt tehát a legrosszabb év eddig, miközben a rosszindulatú támadók egyre fejlettebb taktikákat alkalmaztak a decentralizált alkalmazások gyenge pontjainak kihasználására.

A kriptoeszközök biztonsága szempontjából minden idők legrosszabb évének tekinthető 2022 a The Block szerint. A kriptodeviza-hackelések gyakorisága is alaposan megsűrűsödött ebben az évben, és a Chainalysis jelentése alapján az elveszett pénzeszközök összértéke is meghaladta a hárommilliárd dollárt. Ami a 2021-es kétmilliárd dollárhoz képest ugrásszerű növekedés. (A Peckshield biztonsági cég 2021-re csak 1,55 milliárd dollárt számolt össze.)

Főleg a hidakat támadták

A blackhat (“fekete kalapos”), vagyis rosszindulatú hackerek egyre fejlettebb taktikákat alkalmaznak, hogy kihasználják a decentralizált alkalmazások gyengeségeit. (Amelyek ugyanúgy hibákat tartalmazhatnak, mint minden más szoftver.)

Az év nagy támadásai közül kiemelkedtek a blokkláncok között hidakat (bridge) és a decentralizált pénzügyi alkalmazásokat, protokollokat (DeFi) érintő incidensek.

1. Ronin Network hackerek, 625 millió dollár

Március 29-én a Sky Mavis Axie népszerű Infinity játékának otthont adó Ronin Network oldalláncot 625 millió dollár értékben károsították meg különböző kriptoeszközökben. Ezzel ez volt az eddigi legnagyobb kriptodeviza-rablás.

Az elkövetőket később az észak-koreai Lazarus hackercsoportként azonosították. A bűnözők egy korábbi alkalmazottat ért e-mail alapú adathalász-támadás révén jutottak hozzáféréshez. A legtöbb felhasználónak azonban teljes mértékben visszafizették az összeget – állítja a cég. A hackelés után a SkyMavis ugyanis 150 millió dollárt gyűjtött egy Binance által vezetett finanszírozási körben, és ezt a saját vagyonával kombinálta, hogy kártalanítson mindenkit.

2. FTX hackelés – 370-400 millió dollár

A november elején összeomlott centralizált tőzsde (CEX), az FTX is a 2022-es év egyik legnagyobb hackelésének esett áldozatul. Az Onchain adatai szerint a tőzsde pénztárcái 370 és 400 millió dollár közötti összeget veszítettek el nem sokkal azután, hogy a volt vezérigazgató, Sam Bankman-Fried csődvédelmet kért.

Néhány híroldal összemosta a hackelést egy másik gyanús, 400 millió dolláros átutalással, amelyet a bahamai értékpapír-felügyelet megbízásából az FTX-től végeztek. A kettő azonban különálló eset volt.

A felszámoló szerint az FTX titkosítatlanul tárolta a tárcák privát kulcsait, és nagyon gyenge biztonsági ellenőrzéseket foganasított. Ez könnyen lehetővé tette a hackelést.

3. A Wormhole feltörése – 325 millió dollár

Februárban a Wormhole, egy másik, blokkláncokon átívelő bridge protokoll kódját törték fel. A Wormhole lehetővé teszi a felhasználók számára, hogy zárolják az ETH-jukat, és egy Wormhole ETH (wETH) nevű, a Solana hálózaton rögzített eszközt kapjanak érte.

Február 2-án egy hacker 120 000 wETH-ot hozott létre (“nyomtatott”) a semmiből, 325 millió dollár értékben. Majd valódi ETH-ra cserélte azt, ezzel a Wormhole-ban tartott összes eszközt elszívta.

Mindenki meglepetésére néhány nappal a hack után a Wormhole közölte, hogy az összes ellopott ETH-t pótolta, és újra megnyitotta a hidat. Az érdekelt Jump Crypto kockázatitőke-cég ugyanis saját pénzeszközeiből pótolta az ellopott 120 000 ETH-t, hogy segítsen fenntartani a hidat.

4. Nomad hack – 190 millió dollár

Augusztus 7-én a Nomad Bridge – az Ethereum, Avalanche, a Moonbeam és az Evmos blokkláncokat összekötő híd – 190 millió dollár értékű veszteséget szenvedett el. A hack egy hibás szoftverfrissítés eredménye volt. Bárki pénzt vehetett ki a hídról anélkül, hogy az átment volna a szokásos ellenőrzésen. Ahogy a hiba nyilvánosságra került, több mint 300 cím szedett ki pénzt a Nomadból. Szerencsére ennek egy része etikus hackerekhez tartozott, akik később 22 millió dollárt adtak vissza.

5. Beanstalk Farms – 182 millió dollár

A Beanstalk Farms elleni támadás során áprilisban egy ismeretlen hacker kihasználta a decentralizált autonóm szervezetben (DAO) lévő biztonsági rést. A Beanstalkon bárki benyújthatott egy javaslatot, és egy nap alatt elfogadtathatta azt, ha az megkapta a tulajdonosok többségi szavazatát. Valaki javaslatot nyújtott be, amelyben arra kérte a közösséget, hogy a Beanstalk kincstárából kriptoeszközöket küldjenek a hacker kriptodevza-címére. A szavazás ezt elfogadta, az átutalás automatikusan megtörtént.

A támadó mindehhez villámhitelt vett fel, hogy több millió dollár értékben vásároljon BEAN tokeneket a szavazás jóváhagyásához. A becslések szerint az incidens a Beanstalknak 182 millió dolláros veszteséget okozott.

6. A Mango Markets hacker – 114 millió dollár

Bár technikailag nem hackelésről van szó, a Solana-alapú Mango Markets hitelezési platform októberben hatalmas kárt szenvedett el. A támadó egy DeFi-befektető, Avraham Eisenberg volt, 114 millió dollárnyi ügyfélbetétet csatornázott ki a platformról. (Később be is ismerte részvételét. A napokban pedig őrizetbe vették a hatóságok.)

A bonyolult támadás során Eisenberg több tízmillió illikvid Mango tokent vásárolt, amelyeket a saját maga által manipulált áron hitelbiztosítékként helyezett el a protokollban.

Egy nappal később szavazásra kényszerítette a Mango protokoll irányítását, és elfogadtatta, hogy 47 millió dollárt “fehér kalapos hackerként” egy alku keretében visszaadjon. Eisenberghez cáfolta, hogy bármi illegálisat tett volna, azzal érvelve, hogy “a protokollt a terveknek megfelelően használta”. A hatóságok nyilvánvalóan nem vették be az Eisenberg által felhozott “a kód a törvény” érvet.

7. BNB Token Hub hackelés – 120 millió dollár

Október 6-án egy ismeretlen szervezet nagyszabású támadást hajtott végre a BNB Token Hub ellen, amely a BNB Chain – a Binance kriptotőzsde által alapított blokklánc – és az Ethereum között működő híd. A híd kriptográfiai rendszerében lévő hibát kihasználva egy hacker képes volt átvenni az irányítást az ott zárolt kétmillió BNB token felett, amelyek értéke akkoriban 550 millió dollár volt.

De csak 120-130 millió dollár közötti értékben sikerült átvinnie értékeket a BNB Chainről más láncokra, mielőtt a hálózat leállt és befagyasztották, átvették a hacker címén tartott 430 millió dollárt.

8. Horizont támadás – százmillió dollár

A Horizon protokoll is egy híd, amely az Ethereumot a Harmony blokklánchoz kapcsolja, és szintén masszív hackelés áldozatául esett. Júniusban egy támadó ellopott százmillió dollárt, amelyet a Horizonon zároltak, miután hozzájutott néhány privát kulcshoz, amelyeket az adminok használtak.

9. Qubit hackerek – 80 millió dollár

A Qubit a BNB Chain kölcsönzési és hídprotokollján ETH-t helyezhettek el a felhasználók, a híd pedig egy “xETH” nevű eszközt bocsátott ki cserébe. Január 27-én egy hacker kihasználta a Qubit egy szoftveres sebezhetőségét, így az xETH elérhetővé vált anélkül, hogy ETH-t helyeztek volna el érte.

Ez a cikk is érdekelhet:

Ezek voltak a legnagyobb DeFi hackertámadások 2022-ben