5 лучших хаков в области криптовалют и DeFi всех времен

В захватывающем, но рискованном мире криптовалют поиск финансовой свободы не обошёлся без изрядной доли проблем. Поскольку цифровые валюты продолжают приобретать известность (и повышаться в цене), они также стали главной мишенью для злоумышленников, стремящихся использовать уязвимости для получения финансовой выгоды. В этом исследовании мы углубимся в худшие крипто-взломы всех времен, от Mt. Gox до недавних лет (до 2023 года).

Кроме того, мы также погрузимся в сферу криптовалют на основе DAG и рассмотрим случаи, когда эти инновационные сети на основе направленного ациклического графа сталкивались со своим собственным уникальным набором проблем безопасности. Приготовьтесь к путешествию по взлетам и падениям криптомира, где инновации встречаются с уязвимостью и где ставки выше, чем когда-либо прежде.

Гора Гокс

Строго говоря, теоретически были атаки, за которые требовалась более высокая награда, начиная с этой атаки в 2014 году. Но весь криптомир в том году, по сути, представлял собой только биткойн (BTC); Gox была ведущей в мире биржей биткойнов. Платформа обрабатывала более 70% общих транзакций по всему миру на фоне очень волатильных цен. Затем, после многочисленных проблем и скрытых взломов, в феврале 2014 года были выявлены серьезные проблемы с платежеспособностью.

Все выводы средств были остановлены под слабыми предлогами 7 февраля. 23 февраля генеральный директор Марк Карпелес ушел из правления Bitcoin Foundation и удалил все твиты Mt.Gox. На следующий день сайт отключился и просочившиеся документы указал на потерю 744,408 BTC (около 473 миллионов долларов на тот момент). В сегодняшних ценах это будет более 19,1 миллиарда долларов [CMC].

Как следует из просочившихся документов, хакеры перекачивали биткойны с Mt.Gox в течение нескольких лет без ведома компании. В соответствии с Исследование WizSec Каким-то образом хакерам удалось украсть закрытый ключ из горячего (онлайн) биткойн-кошелька Mt. Gox, который позволил им распоряжаться обменными средствами по своему желанию. Надо сказать, что их безопасность была не самой лучшей, поскольку взломан был не Биткойн как реестр, а только биржа.

Из-за еще небольшого размера криптосообщества в те годы удар был разрушительным. Биткойн потерял более 43% с февраля по декабрь. Gox, со своей стороны, пришлось годами ждать, чтобы получить хоть какую-то надежду на возмещение. После огромной судебной тяжбы управляющий Mt.Gox собирается наконец отплатить кредиторам биржи к концу октября 2023 года.

Коинчек

В январе 2018 года Coincheck, известная японская криптовалютная биржа, стала жертвой одного из крупнейших взломов криптовалюты в истории. Хакеры воспользовались уязвимостями в системах безопасности биржи, получив доступ к горячему кошельку Coincheck (онлайн). Они украли около 523 миллионов токенов NEM (XEM), стоимость которых на тот момент составляла почти 530 миллионов долларов.

Как сообщает некоторые источники Взлом был осуществлен путем отправки зараженных вредоносным ПО электронных писем сотрудникам Coincheck, что позволило злоумышленникам получить контроль над внутренними системами. Оказавшись внутри, они быстро перевели украденные токены XEM на разные адреса, что усложнило отслеживание средств.

После этого Coincheck столкнулся с пристальным вниманием со стороны регулирующих органов, что привело к усилению мер безопасности и масштабным усилиям по возмещению расходов . Обмен поклялся чтобы компенсировать пострадавшим пользователям возврат украденных токенов XEM по цене 88,549 иен за монету, что значительно ниже рыночной стоимости на тот момент. Они сделали это на собственные средства.

Несмотря на усилия по возмещению Этот взлом оказал значительное влияние как на Coincheck, так и на более широкое криптовалютное сообщество. Это послужило ярким напоминанием о рисках безопасности, связанных с централизованными обменами криптовалютами, и важности надежных протоколов безопасности. Действия Coincheck в отношении инцидента подняли вопросы о безопасности средств, вверенных биржам, и побудили регулирующие органы по всему миру ужесточить надзор за криптовалютными платформами, чтобы защитить инвесторов и предотвратить будущие нарушения.

Токен-концентратор BSC

Бренд Binance также не был освобожден от проблем. 7 октября 2022 года собственный кросс-чейн BNB Smart Chain между BNB Beacon Chain и BNB Smart Chain стал жертвой взлома. Эксплойт привел к временной приостановке работы Binance Smart Chain для устранения ущерба. Злоумышленник незаконно выпустил 2 миллиона токенов BNB, стоимость которых на тот момент составляла примерно 566 миллионов долларов. Большая часть средств была быстро заморожена командой, но хакеру удалось перевести примерно 137 миллионов долларов в другие сети.

Нарушение началось с того, что злоумышленник получил 100 BNB из кошелька ChangeNOW 5 октября 2022 года. Это позволило ему зарегистрироваться в качестве ретранслятора для BSC Token Hub, который облегчает межсетевые транзакции между BNB Beacon Chain (BEP2) и Binance Smart Chain (BEP20). . Злоумышленник воспользовался уязвимостью в способе проверки доказательств BSC Token Hub, подделав произвольные сообщения и инициировав создание и вывод 2 миллионов BNB в двух транзакциях.

Вместо того чтобы немедленно перевести украденные средства на биржи, злоумышленник использовал Venus, популярный протокол кредитования в сети BNB. Они предоставили залог в размере 900 тысяч BNB для заимствования стейблкоинов, таких как USDT, USDC и BUSD, в пяти транзакциях на сумму более 250 миллионов долларов . Эти стейблкоины затем направлялись в несколько цепочек с использованием мостов, а во избежание обнаружения использовались различные продукты DeFi.

После взлома BSC остановила сеть из-за нерегулярной активности, предотвратив дальнейшее движение средств. Балансы злоумышленников в цепочках тщательно отслеживались. BNB Chain реализовала хардфорк (обновление) для устранения уязвимостей и представила новый механизм управления внутри цепочки для борьбы с будущими атаками.

Поли Сеть

Poly Network, протокол взаимодействия, облегчающий торговлю между различными цепочками, стал жертвой эксплойта 10 августа 2021 года. Он был организован анонимными хакерами, в результате чего под их контроль было передано более 610 миллионов долларов в криптовалютах. Они украли ETH, USDC, DAI, UNI, SHIB, FEI, MATIC и несколько токенов BSC; все они от обычных членов сообщества. Примечательно, что это был один из крупнейших инцидентов безопасности в истории децентрализованных финансов (DeFi).

Хакеры переместили украденные средства на контролируемые ими адреса в Ethereum, Binance Smart Chain и Polygon. После атаки команда Poly призвала биржи и майнеров отслеживать поток украденных токенов и призвала остановить хакерские транзакции. Tether заморозил USDT на сумму 33 миллиона долларов.

При неожиданном повороте событий 11 августа 2021 года хакеры объявили о своем намерении вернуть токены, заявив, что кража была направлена на обнаружение уязвимостей и повышение безопасности Poly Network. Они использовали встроенные сообщения в транзакциях для публичного общения.

Команда протокола в ответ инициировала процесс восстановления и назвала хакеров «мистером Белой Шляпой». Они предложили вознаграждение в размере 500 000 долларов США и роль «главного советника по безопасности», чтобы обеспечить безопасное возвращение оставшихся активов. Последняя порция украденных средств была возвращена23 августа .

Инцидент вызвал некоторые разногласия по поводу использования термина «белая шляпа» для хакеров, поскольку возникли опасения, что это может создать прецедент для хакеров-преступников, которые смогут дезинформировать свои действия. Тем не менее, Poly Network запустила программу вознаграждений за обнаружение ошибок для повышения безопасности, приглашая агентства безопасности и организации «белой шляпы» проверять ее основные функции. За критические уязвимости предлагалось вознаграждение до $100 000.

Ронин (Акси Инфинити)

Это считается крупнейшим взломом в мире криптовалют. 23 марта 2022 года жертвой масштабной атаки стала сеть Ronin Network, сайдчейн Ethereum для игры Axie Infinity. Хакеры похитили 173 600 ETH и 25,5 миллионов долларов США, на общую сумму более 625 миллионов долларов , превзойдя предыдущие рекордные ограбления криптовалют.

Взлом использовали мост Ронина, важнейший компонент для передачи активов между Ронином и другими экосистемами. Злоумышленники получили контроль над четырьмя ключами валидатора Ronin, размещенными на Sky Mavis (компании, стоящей за Axie Infinity). Для блокчейнов характерно, что этого небольшого количества ключей достаточно, чтобы получить контроль над сетью. Чтобы завершить свою схему, они использовали бэкдор через безгазовый узел RPC, получив подпись для валидатора Axie DAO. Это дало им контроль над всеми необходимыми ключами для осуществления фиктивного вывода средств.

Sky Mavis обнаружила нарушение после того, как пользователь сообщил о проблемах с выводом средств, через шесть дней после атаки . Хотя значительная часть украденных средств осталась у хакеров, они попытались вывести меньшие суммы через централизованные криптобиржи. По крайней мере, Скай Мэвис скомпрометирован возмещать расходы своим пользователям.

Инцидент привел к падению цены токена Ronin более чем на 20%, что усилило обеспокоенность в сфере DeFi, которая уже столкнулась с рядом громких атак. Криптобиржи Binance и Huobi пообещали помочь в отслеживании и возврате украденных средств пользователям Axie Infinity, а Sky Mavis сотрудничает с государственными органами, чтобы привлечь хакеров к ответственности.

Возможно ли все это в такой группе обеспечения доступности баз данных, как Obite?

Регистры с направленным ациклическим графом (DAG), такие как Obyte, имеют свою собственную уникальную структуру и механизмы консенсуса, которые могут предложить определенные преимущества с точки зрения децентрализации по сравнению с системами блокчейна. Однако они не полностью застрахованы от уязвимостей безопасности и потенциальных взломов.

Конкретные векторы атак и потенциальные эксплойты могут отличаться от блокчейнов, но системы на основе DAG по-прежнему могут быть подвержены различным типам атак. Некоторые возможные проблемы, в зависимости от используемой платформы, включают в себя:

• Атаки Сивиллы: злоумышленники создают многочисленные фальшивые идентификаторы или узлы для управления сетью, ставя под угрозу ее механизмы доверия, безопасности и консенсуса посредством искусственного влияния и манипуляций. Лишь некоторые наивно спроектированные DAG уязвимы к этой проблеме, и они обычно решают ее посредством централизации (например, IOTA).
  

• Уязвимости смарт-контрактов: использование недостатков кодирования для выполнения несанкционированных действий, перехвата активов или нарушения работы децентрализованных приложений, что часто приводит к финансовым потерям.
  

• Двойные расходы: Мошенническое действие, при котором пользователь дублирует транзакцию криптовалюты, что позволяет ему тратить одни и те же цифровые активы несколько раз, подрывая целостность реестра. Как и в блокчейнах, эта проблема возникает только в том случае, если пользователь принимает платеж, не дожидаясь его окончательности (или не дожидаясь достаточно долго, если нет детерминированной окончательности).
  

• Потенциальная централизация. Некоторые группы обеспечения доступности баз данных имеют риск чрезмерного контроля или влияния со стороны нескольких субъектов в сети (например, компаний, майнеров или валидаторов), что разрушает ее децентрализацию и потенциально ставит под угрозу ее безопасность, неизменность и надежность. Однако это не относится к поставщикам заказов в Obyte.
  

• Сбои внешних бирж. Уязвимости внешних криптовалютных бирж могут привести к нарушениям безопасности, взломам или неплатежеспособности бирж, что приведет к существенным финансовым потерям и перебоям в торговой деятельности.

  
  

Не каждая группа обеспечения доступности баз данных подвержена всем этим проблемам, и у них есть свои способы их избежать. Таким образом, хотя группы обеспечения доступности баз данных предлагают свой набор преимуществ, они не застрахованы от проблем безопасности. Конкретный характер потенциальных атак может отличаться, но фундаментальные принципы защиты децентрализованного реестра по-прежнему применяются. Очень важно постоянно оценивать и устранять уязвимости безопасности в любой системе на основе блокчейна или DAG.

Вот почему у Obite есть программа вознаграждения за ошибки на Immunefi, где каждый может сообщить об ошибке, если он ее обнаружил. Мы предлагаем до 50 000 долларов за критическую ошибку. На данный момент Obyte заплатила около 5 000 долларов США «белым шляпам» через Immunefi – и около 10 000 долларов США за отчеты об ошибках до этой программы. Безопасность всегда важна для любой криптоплатформы!

Рекомендованное векторное изображение от Фрипик