Os 5 principais hacks de criptomoeda e DeFi de todos os tempos

No excitante mas arriscado mundo das criptomoedas, a busca pela liberdade financeira não deixou de ter a sua quota-parte de desafios. À medida que as moedas digitais continuam a ganhar destaque (e preços mais elevados), também se tornaram um alvo principal para agentes maliciosos que procuram explorar vulnerabilidades para obter ganhos financeiros. Nesta exploração, iremos nos aprofundar nos piores hacks de criptografia de todos os tempos, desde o Monte. Gox até os anos mais recentes (até 2023).

Além disso, também nos aventuraremos no domínio das criptomoedas baseadas em DAG e examinaremos casos em que essas redes inovadoras baseadas em gráficos acíclicos direcionados enfrentaram seu próprio conjunto único de desafios de segurança. Prepare-se para uma jornada pelos altos e baixos do mundo criptográfico, onde a inovação encontra a vulnerabilidade e onde os riscos são maiores do que nunca.

Monte Gox

A rigor, em teoria, houve ataques que exigiram recompensas maiores desde este em 2014. Mas todo o mundo criptográfico naquele ano era, basicamente, apenas Bitcoin (BTC); e Mt. Gox era a principal bolsa de Bitcoin do mundo. A plataforma gerenciou mais de 70% do total de transações globalmente em meio a preços muito voláteis. Então, após vários problemas e hacks ocultos, sérios problemas de solvência foram revelados em fevereiro de 2014.

Todas as retiradas foram interrompidas com desculpas esfarrapadas em 7 de fevereiro. Em 23 de fevereiro, o CEO, Mark Karpelès, renunciou ao conselho da Fundação Bitcoin e excluiu todos os tweets do Mt. No dia seguinte, o site ficou offline e documentos vazados indicou a perda de 744.408 BTC (cerca de US$ 473 milhões na época). Isso representaria mais de US$ 19,1 bilhões aos preços atuais [CMC].

Conforme lido nos documentos vazados, os hackers estavam desviando Bitcoin do Monte. Gox por vários anos, sem o conhecimento da empresa. De acordo com Pesquisa do WizSec , de alguma forma, os hackers conseguiram roubar a chave privada da carteira Bitcoin quente (online) do Mt. Gox, o que lhes permitiu administrar os fundos da exchange à sua vontade. Devemos dizer que a segurança deles não era das melhores, já que o Bitcoin como livro-razão não foi hackeado, mas apenas a troca.

Devido ao tamanho ainda pequeno da comunidade criptográfica naqueles anos, o golpe foi devastador. O Bitcoin perdeu mais de 43% desde fevereiro e até dezembro. Não mostraria sinais de melhoria até o final de 2015. As vítimas do hack do Mt. Gox, por sua vez, tiveram que esperar anos para receber algum tipo de esperança de reembolso. Depois de uma enorme batalha legal, o administrador do Mt. Gox está definido para finalmente retribuir os credores da bolsa até o final de outubro de 2023.

Verificação de moedas

Em janeiro de 2018, a Coincheck, uma proeminente bolsa japonesa de criptomoedas, foi vítima de um dos maiores hacks de criptomoedas da história. Os hackers exploraram vulnerabilidades nos sistemas de segurança da bolsa, obtendo acesso à carteira quente da Coincheck (online). Eles roubaram aproximadamente 523 milhões de tokens NEM (XEM), avaliados em quase US$ 530 milhões na época.

Conforme relatado por algumas fontes , a violação foi executada através do envio de e-mails infectados com malware aos funcionários da Coincheck, permitindo que os invasores obtivessem o controle dos sistemas internos. Uma vez lá dentro, eles transferiram rapidamente os tokens XEM roubados para vários endereços, tornando difícil rastrear os fundos.

Na sequência, a Coincheck enfrentou um intenso escrutínio dos reguladores, levando a melhores medidas de segurança e a um enorme esforço de reembolso . A troca jurou para compensar os usuários afetados, devolvendo seus tokens XEM roubados a uma taxa de 88.549 JPY por moeda, significativamente abaixo do valor de mercado da época. Eles fizeram isso com seus próprios fundos.

Apesar do esforços de reembolso , esse hack deixou um impacto significativo tanto na Coincheck quanto na comunidade mais ampla de criptomoedas. Serviu como um lembrete claro dos riscos de segurança associados às trocas centralizadas de criptomoedas e da importância de protocolos de segurança robustos. A forma como a Coincheck lidou com o incidente levantou questões sobre a segurança dos fundos confiados às bolsas e levou as autoridades reguladoras em todo o mundo a reforçar a supervisão das plataformas de criptomoeda para proteger os investidores e evitar futuras violações.

Central de tokens BSC

A marca Binance também não está isenta de problemas. Em 7 de outubro de 2022, a ponte cruzada nativa do BNB Smart Chain entre o BNB Beacon Chain e o BNB Smart Chain foi vítima de um hack. A exploração resultou na suspensão temporária da Binance Smart Chain para conter os danos. O invasor cunhou ilicitamente 2 milhões de tokens BNB, avaliados em aproximadamente US$ 566 milhões na época. A maior parte foi rapidamente congelada pela equipe, mas o hacker conseguiu movimentar cerca de US$ 137 milhões para outras redes.

A violação começou com o invasor recebendo 100 BNB de uma carteira ChangeNOW em 5 de outubro de 2022. Isso permitiu que eles se registrassem como Relayer para BSC Token Hub, o que facilita transações cross-chain entre BNB Beacon Chain (BEP2) e Binance Smart Chain (BEP20) . O invasor explorou uma vulnerabilidade na forma como o BSC Token Hub verificou as provas, forjando mensagens arbitrárias e iniciando a criação e retirada de 2 milhões de BNB em duas transações.

Em vez de transferir imediatamente os fundos roubados para as exchanges, o invasor usou o Venus, um protocolo de empréstimo popular na rede BNB. Eles garantiram 900 mil BNB para emprestar stablecoins como USDT, USDC e BUSD em cinco transações, no valor de mais de US$ 250 milhões . Essas stablecoins foram então roteadas para múltiplas cadeias usando pontes, e vários produtos DeFi foram empregados para evitar a detecção.

Após o hack, o BSC interrompeu a cadeia devido a atividades irregulares, impedindo novas movimentações de fundos. Os saldos do invasor entre as cadeias foram monitorados de perto. A Cadeia BNB implementou um hardfork (atualização) para resolver vulnerabilidades e introduziu um novo mecanismo de governança na cadeia para lutar contra ataques futuros.

Rede Poli

A Poly Network, um protocolo de interoperabilidade que facilita a negociação entre diferentes cadeias, foi vítima de uma exploração em 10 de agosto de 2021. Foi orquestrada por hackers anônimos, resultando na transferência de mais de US$ 610 milhões em criptomoedas para seu controle. Eles roubaram ETH, USDC, DAI, UNI, SHIB, FEI, MATIC e vários tokens BSC; todos eles de membros da comunidade em geral. Notavelmente, este foi um dos maiores incidentes de segurança na história das finanças descentralizadas (DeFi).

Os hackers transferiram os fundos furtados para endereços que controlavam em Ethereum, Binance Smart Chain e Polygon. Após o ataque, a equipe da Poly convocou exchanges e mineradores para monitorar o fluxo dos tokens roubados e pediu a suspensão das transações do hacker. Tether congelou US$ 33 milhões em USDT.

Em uma reviravolta surpreendente, os hackers anunciaram em 11 de agosto de 2021 sua intenção de devolver os tokens , alegando que o roubo tinha como objetivo expor vulnerabilidades e aumentar a segurança da Poly Network. Eles usaram mensagens incorporadas em transações para se comunicarem publicamente.

A equipe de protocolo, em resposta, iniciou o processo de recuperação e referiu-se aos hackers como “Sr. Chapéu Branco”. Eles ofereceram uma recompensa de US$ 500 mil por bugs e o papel de “consultor-chefe de segurança” para garantir o retorno seguro dos ativos restantes. A última parte dos fundos roubados foi devolvida em23 de agosto .

O incidente gerou alguma controvérsia sobre o uso do termo “chapéu branco” para os hackers, com preocupações de que isso poderia abrir um precedente para que hackers criminosos saneassem suas ações. No entanto, a Poly Network lançou um programa de recompensas por bugs para melhorar a segurança, convidando agências de segurança e organizações de chapéu branco para auditar suas funções principais. Recompensas de até US$ 100.000 foram oferecidas para vulnerabilidades críticas.

Ronin (Axie Infinity)

Este é considerado o maior hack de todos os tempos no mundo criptográfico. Em 23 de março de 2022, a Ronin Network, uma cadeia lateral Ethereum para o jogo Axie Infinity, foi vítima de um ataque massivo. Os hackers roubaram 173.600 ETH e 25,5 milhões de USDC, totalizando mais de US$ 625 milhões , superando roubos de criptografia recordes anteriores.

O hack explorou a ponte Ronin, um componente crucial para transferências de ativos entre Ronin e outros ecossistemas. Os invasores obtiveram o controle de quatro chaves validadoras Ronin hospedadas na Sky Mavis (a empresa por trás do Axie Infinity). É comum para blockchains que esse pequeno número de chaves seja suficiente para obter o controle da rede. Para completar seu esquema, eles aproveitaram um backdoor por meio de um nó RPC sem gás, obtendo a assinatura para o validador Axie DAO. Isso lhes concedeu o controle de todas as chaves necessárias para realizar saques falsos.

Sky Mavis detectou a violação depois que um usuário relatou problemas de retirada, seis dias após o ataque . Embora uma parte significativa dos fundos roubados tenha permanecido com os hackers, eles tentaram sacar quantias menores por meio de trocas criptográficas centralizadas. Pelo menos, Sky Mavis comprometido para reembolsar seus usuários.

O incidente fez com que o preço do token Ronin despencasse mais de 20%, exacerbando as preocupações dentro do espaço DeFi, que já enfrentava uma série de ataques de alto perfil. As exchanges de criptomoedas Binance e Huobi se comprometeram a ajudar no rastreamento e devolução de fundos roubados aos usuários do Axie Infinity, enquanto a Sky Mavis está cooperando com agências governamentais para levar os hackers à justiça.

Tudo isso é possível em um DAG como o Obyte?

Ledgers de gráfico acíclico direcionado (DAG), como o Obyte, têm sua própria estrutura única e mecanismos de consenso, que podem oferecer certas vantagens em termos de descentralização em comparação aos sistemas blockchain. No entanto, eles não estão totalmente imunes a vulnerabilidades de segurança e possíveis hacks.

Os vetores de ataque específicos e explorações potenciais podem ser diferentes dos blockchains, mas os sistemas baseados em DAG ainda podem ser suscetíveis a vários tipos de ataques. Algumas possíveis preocupações, dependendo da plataforma envolvida, incluem:

• Ataques Sybil: Os perpetradores criam inúmeras identidades ou nós falsos para controlar uma rede, comprometendo sua confiança, segurança e mecanismos de consenso por meio de influência e manipulação artificiais. Apenas alguns DAGs concebidos de forma ingénua são vulneráveis a este problema e geralmente resolvem-no através da centralização (por exemplo, IOTA).
  

• Vulnerabilidades de contratos inteligentes: Explorar falhas de codificação para executar ações não autorizadas, desviar ativos ou interromper aplicativos descentralizados, muitas vezes levando a perdas financeiras.
  

• Gastos duplos: um ato fraudulento em que um usuário duplica uma transação de criptomoeda, permitindo-lhe gastar os mesmos ativos digitais várias vezes, prejudicando a integridade do livro-razão. Tal como nas blockchains, este problema ocorre apenas se o utilizador aceitar um pagamento sem esperar pela sua finalidade (ou sem esperar o tempo suficiente se não houver uma finalidade determinística).
  

• Centralização potencial: Alguns DAG correm o risco de controlo ou influência excessivos por parte de algumas entidades numa rede (como empresas, mineiros ou validadores), minando a sua descentralização e comprometendo potencialmente a sua segurança, imutabilidade e fiabilidade. No entanto, este não é o caso dos Order Providers em Obyte.
  

• Falhas em exchanges externas: Vulnerabilidades em exchanges externas de criptomoedas podem resultar em violações de segurança, incidentes de hackers ou insolvência de exchanges, causando perdas financeiras substanciais e interrupções nas atividades comerciais.

  
  

Nem todo DAG é suscetível a todos esses problemas e eles têm seus próprios métodos para evitá-los. Portanto, embora os DAGs ofereçam seu próprio conjunto de vantagens, eles não estão imunes a preocupações de segurança. A natureza específica dos potenciais ataques pode ser diferente, mas os princípios fundamentais para garantir um livro-razão descentralizado ainda se aplicam. É essencial avaliar e resolver continuamente as vulnerabilidades de segurança em qualquer sistema baseado em blockchain ou DAG.

É por isso que Obyte tem um programa de recompensa de bugs no Immunefi, onde qualquer pessoa pode relatar um bug – se o encontrar. Estamos oferecendo até US$ 50.000 por bug crítico. Até agora, a Obyte pagou cerca de 5.000 dólares para white hats através do Immunefi – e cerca de 10.000 dólares para relatórios de bugs antes deste programa. A segurança é sempre essencial para qualquer tipo de plataforma criptográfica!

Imagem vetorial em destaque por Freepik