paint-brush
Die 5 besten Kryptowährungs- und DeFi-Hacks aller Zeitenvon@obyte
186 Lesungen

Die 5 besten Kryptowährungs- und DeFi-Hacks aller Zeiten

von Obyte8m2023/10/09
Read on Terminal Reader

Zu lang; Lesen

In dieser Untersuchung werden wir uns mit den schlimmsten Krypto- und DeFi-Hacks aller Zeiten befassen, von Mt. Gox bis hin zu den letzten Jahren (bis 2023).
featured image - Die 5 besten Kryptowährungs- und DeFi-Hacks aller Zeiten
Obyte HackerNoon profile picture
0-item


In der aufregenden und zugleich riskanten Welt der Kryptowährungen war das Streben nach finanzieller Freiheit nicht ohne Herausforderungen. Da digitale Währungen immer mehr an Bedeutung gewinnen (und ihre Preise steigen), sind sie auch zu einem Hauptziel für böswillige Akteure geworden, die Schwachstellen ausnutzen wollen, um finanzielle Vorteile zu erzielen. In dieser Untersuchung werden wir uns mit den schlimmsten Krypto-Hacks aller Zeiten befassen, von Mt. Gox bis hin zu den letzten Jahren (bis 2023).


Darüber hinaus werden wir uns auch in den Bereich der DAG-basierten Kryptowährungen wagen und Fälle untersuchen, in denen diese innovativen, auf gerichteten azyklischen Graphen basierenden Netzwerke mit ihren eigenen, einzigartigen Sicherheitsherausforderungen konfrontiert waren. Machen Sie sich bereit für eine Reise durch die Höhen und Tiefen der Kryptowelt, wo Innovation auf Verwundbarkeit trifft und wo mehr auf dem Spiel steht als je zuvor.

Berg Gox Mt. Gox-Logo

Streng genommen gab es theoretisch seit diesem im Jahr 2014 Angriffe, die ein höheres Kopfgeld forderten. Aber die gesamte Kryptowelt bestand in diesem Jahr im Grunde nur aus Bitcoin (BTC); und Mt. Gox war die weltweit führende Bitcoin-Börse. Die Plattform wickelte über 70 % aller Transaktionen weltweit ab, und das bei sehr volatilen Preisen. Nach zahlreichen Problemen und versteckten Hacks wurden im Februar 2014 schwerwiegende Zahlungsschwierigkeiten aufgedeckt.


Alle Abhebungen wurden am 7. Februar mit fadenscheinigen Ausreden gestoppt. Am 23. Februar trat der CEO Mark Karpelès aus dem Vorstand der Bitcoin Foundation zurück und löschte alle Mt. Gox-Tweets. Am nächsten Tag ging die Website offline und durchgesickerte Dokumente gab den Verlust von 744.408 BTC (damals etwa 473 Millionen US-Dollar) an. Das wären nach heutigen Preisen über 19,1 Milliarden US-Dollar [CMC].


Wie aus den durchgesickerten Dokumenten hervorgeht, haben die Hacker mehrere Jahre lang Bitcoin von Mt. Gox abgeschöpft, ohne dass das Unternehmen davon wusste. Entsprechend WizSecs Forschung Irgendwie gelang es den Hackern, den privaten Schlüssel aus der Bitcoin-Hot-(Online-)Wallet von Mt. Gox zu stehlen, wodurch sie die Tauschgelder nach Belieben verwalten konnten. Wir müssen sagen, dass ihre Sicherheit nicht die beste war, da Bitcoin als Hauptbuch nicht gehackt wurde, sondern nur die Börse.


Aufgrund der damals noch geringen Größe der Krypto-Community war der Schlag verheerend. Bitcoin hat seit Februar und bis Dezember über 43 % verloren. Erst Ende 2015 sollte es Anzeichen einer Besserung geben. Die Opfer des Mt. Gox-Hacks mussten ihrerseits jahrelang warten, bis sie irgendeine Hoffnung auf Rückerstattung erhielten. Nach einem riesigen Rechtsstreit ist der Treuhänder von Mt. Gox bereit endlich zurückzahlen die Gläubiger der Börse bis Ende Oktober 2023.

Münzscheck

Im Januar 2018 wurde Coincheck, eine bekannte japanische Kryptowährungsbörse, Opfer eines der größten Kryptowährungs-Hacks der Geschichte. Hacker nutzten Schwachstellen in den Sicherheitssystemen der Börse aus und verschafften sich Zugang zum Hot Wallet von Coincheck (online). Sie stahlen etwa 523 Millionen NEM (XEM)-Token im damaligen Wert von fast 530 Millionen US-Dollar.

Coincheck-Logo


Wie berichtet von einige Quellen Der Verstoß wurde durchgeführt, indem mit Malware infizierte E-Mails an Coincheck-Mitarbeiter gesendet wurden, wodurch die Angreifer die Kontrolle über interne Systeme erlangen konnten. Sobald sie drinnen waren, transferierten sie die gestohlenen XEM-Tokens schnell an verschiedene Adressen, was es schwierig machte, die Gelder zurückzuverfolgen.


In der Folge wurde Coincheck einer intensiven Prüfung durch die Aufsichtsbehörden ausgesetzt, was zu verbesserten Sicherheitsmaßnahmen und massiven Erstattungsbemühungen führte . Der Austausch gelobt um betroffene Benutzer zu entschädigen, indem sie ihre gestohlenen XEM-Token zu einem Preis von 88,549 JPY pro Münze zurückgeben, was deutlich unter dem damaligen Marktwert liegt. Sie haben es aus eigenen Mitteln geschafft.


Trotz der Erstattungsbemühungen Dieser Hack hinterließ erhebliche Auswirkungen sowohl auf Coincheck als auch auf die breitere Kryptowährungs-Community. Es war eine deutliche Erinnerung an die Sicherheitsrisiken, die mit zentralisierten Kryptowährungsbörsen verbunden sind, und an die Bedeutung robuster Sicherheitsprotokolle. Der Umgang von Coincheck mit dem Vorfall warf Fragen zur Sicherheit der den Börsen anvertrauten Gelder auf und veranlasste Regulierungsbehörden weltweit, ihre Aufsicht über Kryptowährungsplattformen zu verschärfen, um Anleger zu schützen und zukünftige Verstöße zu verhindern.

BSC-Token-Hub

Auch die Marke Binance ist nicht von Problemen verschont geblieben. Am 7. Oktober 2022 wurde die native Cross-Chain-Brücke der BNB Smart Chain zwischen BNB Beacon Chain und BNB Smart Chain Opfer eines Hacks. Der Exploit führte zur vorübergehenden Sperrung der Binance Smart Chain, um den Schaden einzudämmen. Der Angreifer prägte illegal 2 Millionen BNB-Token im damaligen Wert von etwa 566 Millionen US-Dollar. Der Großteil davon wurde vom Team schnell eingefroren, aber dem Hacker gelang es, rund 137 Millionen US-Dollar an andere Ketten zu transferieren.

Binance Smart Chain-Logo


Der Verstoß begann damit, dass der Angreifer am 5. Oktober 2022 100 BNB aus einem ChangeNOW-Wallet erhielt. Dadurch konnte er sich als Relayer für den BSC Token Hub registrieren, der kettenübergreifende Transaktionen zwischen BNB Beacon Chain (BEP2) und Binance Smart Chain (BEP20) ermöglicht. . Der Angreifer nutzte eine Schwachstelle in der Art und Weise aus, wie BSC Token Hub Beweise überprüfte, indem er willkürliche Nachrichten fälschte und die Erstellung und Auszahlung von 2 Millionen BNB in zwei Transaktionen initiierte.


Anstatt die gestohlenen Gelder sofort an Börsen weiterzuleiten, nutzte der Angreifer Venus, ein beliebtes Kreditprotokoll auf der BNB-Kette. Sie besicherten 900.000 BNB, um sich in fünf Transaktionen Stablecoins wie USDT, USDC und BUSD im Wert von über 250 Millionen US-Dollar zu leihen . Diese Stablecoins wurden dann über Brücken an mehrere Ketten weitergeleitet und verschiedene DeFi-Produkte wurden eingesetzt, um einer Entdeckung zu entgehen.


Nach dem Hack stoppte BSC die Kette aufgrund unregelmäßiger Aktivitäten und verhinderte so weitere Geldbewegungen. Die Guthaben des Angreifers über die Ketten hinweg wurden genau überwacht. BNB Chain hat einen Hardfork (Update) implementiert, um Schwachstellen zu beheben, und einen neuen On-Chain-Governance-Mechanismus zur Abwehr künftiger Angriffe eingeführt.

Poly-Netzwerk

Das Poly Network, ein Interoperabilitätsprotokoll, das den Handel zwischen verschiedenen Ketten erleichtert, wurde am 10. August 2021 Opfer eines Exploits . Er wurde von anonymen Hackern orchestriert, was dazu führte, dass mehr als 610 Millionen US-Dollar an Kryptowährungen unter ihre Kontrolle gelangten. Sie haben ETH, USDC, DAI, UNI, SHIB, FEI, MATIC und mehrere BSC-Token gestohlen; alle von allgemeinen Community-Mitgliedern. Dies war insbesondere einer der größten Sicherheitsvorfälle in der Geschichte des dezentralen Finanzwesens (DeFi). PolyNetwork-Logo

Die Hacker Die gestohlenen Gelder wurden an von ihnen kontrollierte Adressen auf Ethereum, Binance Smart Chain und Polygon verschoben. Nach dem Angriff forderte das Poly-Team Börsen und Miner auf, den Fluss der gestohlenen Token zu überwachen, und drängte darauf, die Transaktionen des Hackers zu stoppen. Tether hat USDT im Wert von 33 Millionen US-Dollar eingefroren.


In einer überraschenden Wendung der Ereignisse kündigten die Hacker am 11. August 2021 ihre Absicht an, die Token zurückzugeben , und gaben an, dass der Diebstahl darauf abzielte, Schwachstellen aufzudecken und die Sicherheit von Poly Network zu erhöhen. Sie nutzten eingebettete Nachrichten in Transaktionen, um öffentlich zu kommunizieren.


Als Reaktion darauf leitete das Protokollteam den Wiederherstellungsprozess ein und bezeichnete die Hacker als „Mr. White Hat“. Sie boten ein Kopfgeld von 500.000 US-Dollar und die Rolle des „Chef-Sicherheitsberaters“ an, um die sichere Rückgabe der verbleibenden Vermögenswerte zu gewährleisten. Der letzte Teil der gestohlenen Gelder wurde zurückgegeben23. August .


Der Vorfall löste einige Kontroversen über die Verwendung des Begriffs „White Hat“ für die Hacker aus, mit der Sorge, dass dies einen Präzedenzfall für kriminelle Hacker schaffen könnte, ihre Aktionen zu bereinigen. Poly Network startete jedoch ein Bug-Bounty-Programm zur Verbesserung der Sicherheit und lud Sicherheitsbehörden und White-Hat-Organisationen ein, seine Kernfunktionen zu überprüfen. Für kritische Schwachstellen wurden Belohnungen von bis zu 100.000 US-Dollar ausgesetzt.

Ronin (Axie Infinity)

Dies gilt als der größte Hack aller Zeiten in der Kryptowelt. Am 23. März 2022 wurde das Ronin Network, eine Ethereum-Sidechain für das Spiel Axie Infinity, Opfer eines massiven Angriffs. Die Hacker erbeuteten insgesamt 173.600 ETH und 25,5 Millionen USDC über 625 Millionen US-Dollar , was frühere rekordverdächtige Krypto-Raubüberfälle übertrifft.


Ronin-Logo


Der Hack nutzte die Ronin-Brücke, eine entscheidende Komponente für den Vermögenstransfer zwischen Ronin und anderen Ökosystemen. Die Angreifer erlangten die Kontrolle über vier Ronin-Validatorschlüssel, die auf Sky Mavis (dem Unternehmen hinter Axie Infinity) gehostet werden. Bei Blockchains ist es üblich, dass diese geringe Anzahl an Schlüsseln ausreicht, um die Kontrolle über das Netzwerk zu erlangen. Um ihren Plan zu vervollständigen, nutzten sie eine Hintertür über einen gasfreien RPC-Knoten und erhielten die Signatur für den Axie DAO-Validator. Dadurch hatten sie die Kontrolle über alle notwendigen Schlüssel, um gefälschte Abhebungen durchzuführen.


Sky Mavis entdeckte den Verstoß, nachdem ein Benutzer sechs Tage nach dem Angriff Auszahlungsprobleme gemeldet hatte . Während ein erheblicher Teil der gestohlenen Gelder bei den Hackern verblieb, versuchten sie, kleinere Beträge über zentralisierte Krypto-Börsen abzuheben. Zumindest Sky Mavis kompromittiert seinen Nutzern eine Entschädigung zu zahlen.


Der Vorfall führte dazu, dass der Token-Preis von Ronin um über 20 % einbrach, was die Besorgnis im DeFi-Bereich verschärfte, der bereits mit einer Reihe hochkarätiger Angriffe zu kämpfen hatte. Die Krypto-Börsen Binance und Huobi haben zugesagt, bei der Verfolgung und Rückgabe gestohlener Gelder an Axie Infinity-Benutzer zu helfen, während Sky Mavis mit Regierungsbehörden zusammenarbeitet, um die Hacker vor Gericht zu stellen.

Ist das alles in einer DAG wie Obyte möglich?

Directed Asymmetric Graph (DAG)-Ledger wie Obyte verfügen über eine eigene einzigartige Struktur und Konsensmechanismen, die im Hinblick auf die Dezentralisierung im Vergleich zu Blockchain-Systemen gewisse Vorteile bieten können. Allerdings sind sie nicht völlig immun gegen Sicherheitslücken und potenzielle Hacks.


Directed Asymmetric Graph (DAG)-Ledger


Die spezifischen Angriffsvektoren und mögliche Exploits können von denen von Blockchains abweichen, DAG-basierte Systeme können jedoch dennoch anfällig für verschiedene Arten von Angriffen sein. Zu den möglichen Bedenken gehören je nach Plattform:


  • Sybil-Angriffe: Täter erstellen zahlreiche gefälschte Identitäten oder Knoten, um ein Netzwerk zu kontrollieren, und gefährden dessen Vertrauen, Sicherheit und Konsensmechanismen durch künstliche Einflussnahme und Manipulation. Nur einige naiv konzipierte DAGs sind für dieses Problem anfällig und lösen es normalerweise durch Zentralisierung (z. B. IOTA).

  • Schwachstellen bei Smart Contracts: Ausnutzen von Codierungsfehlern, um nicht autorisierte Aktionen auszuführen, Vermögenswerte abzuschöpfen oder dezentrale Anwendungen zu stören, was häufig zu finanziellen Verlusten führt.

  • Doppelte Ausgaben: Eine betrügerische Handlung, bei der ein Benutzer eine Kryptowährungstransaktion dupliziert, wodurch er dieselben digitalen Vermögenswerte mehrmals ausgeben kann, wodurch die Integrität des Hauptbuchs untergraben wird. Wie bei Blockchains tritt dieses Problem nur dann auf, wenn der Benutzer eine Zahlung akzeptiert, ohne auf deren Endgültigkeit zu warten (oder ohne lange genug zu warten, wenn es keine deterministische Endgültigkeit gibt).

  • Potenzielle Zentralisierung: Bei einigen DAGs besteht das Risiko einer übermäßigen Kontrolle oder eines übermäßigen Einflusses durch einige wenige Einheiten in einem Netzwerk (wie Unternehmen, Miner oder Validatoren), was die Dezentralisierung untergräbt und möglicherweise seine Sicherheit, Unveränderlichkeit und Vertrauenswürdigkeit gefährdet. Dies ist jedoch bei den Auftragsanbietern in Obyte nicht der Fall.

  • Ausfälle externer Börsen: Schwachstellen in externen Kryptowährungsbörsen können zu Sicherheitsverstößen, Hacking-Vorfällen oder Börseninsolvenzen führen und erhebliche finanzielle Verluste und Unterbrechungen der Handelsaktivitäten verursachen.


Nicht jede DAG ist für alle diese Probleme anfällig und sie haben ihre eigenen Methoden, um sie zu vermeiden. Obwohl DAGs also ihre eigenen Vorteile bieten, sind sie nicht immun gegen Sicherheitsbedenken. Die spezifische Natur potenzieller Angriffe kann unterschiedlich sein, die Grundprinzipien der Sicherung eines dezentralen Hauptbuchs gelten jedoch weiterhin. Es ist wichtig, Sicherheitslücken in jedem Blockchain- oder DAG-basierten System kontinuierlich zu bewerten und zu beheben.


Deshalb hat Obyte ein Bug-Bounty-Programm auf Immunefi, wo jeder einen Fehler melden kann – wenn er ihn gefunden hat. Wir bieten bis zu 50.000 US-Dollar pro kritischem Fehler. Bisher hat Obyte über Immunefi rund 5.000 USD an White Hats gezahlt – und rund 10.000 USD für Fehlerberichte vor diesem Programm. Sicherheit ist für jede Art von Kryptoplattform immer wichtig!




Ausgewähltes Vektorbild von Freepik