Финансовая энциклопедия

Эксплойты DeFi и взломы системы контроля доступа обойдутся криптоинвесторам в миллиарды в 2022 году: отчет

Опубликовано · Обновлено

В 2022 году киберпреступники использовали разнообразные новые способы взлома и эксплуатации, при этом в прошлом году было похищено криптовалюты на сумму более 2,8 миллиарда долларов.

Согласно отчету компании CoinGecko, составленному на основе данных базы данных REKT компании DeFiYield, почти половина от общего объема криптовалют, похищенных в 2022 году, была украдена с помощью различных методов. К ним относятся обход процессов верификации, манипулирование рынком, «грабеж толпы», а также использование смарт-контрактов и мостов.

Самый крупный взлом 2022 года был осуществлен с помощью взлома системы контроля доступа. Компания Sky Mavis, разработчик популярной игры Axie Infinity, в марте взломала мост Ronin, что привело к утечке 625 миллионов долларов из моста между цепочкой Ronin и сетью Ethereum.

Позже стало известно, что северокорейская хакерская группа Lazarus получила доступ к пяти закрытым ключам, которые использовались для подписания транзакций от пяти узлов валидатора сети Ronon. Таким образом хакеры вывели из моста 173 600 ETH и 25,5 миллионов USDC.

Согласно CoinGecko, эксплуатация контроля доступа осуществляется злоумышленниками, получившими доступ к кошелькам или счетам через скомпрометированные приватные ключи, сети или системы безопасности. Как исследовал Cointelegraph в прошлом году, взломы межцепочечных мостов были распространены в 2022 году: только в результате таких атак было похищено 65% средств.

Похожие материалы: Потери от криптоэксплойтов в январе снизились почти на 93% по сравнению с прошлым годом

Второй крупнейший эксплойт 2022 года произошел в феврале: злоумышленники обошли верификацию с помощью поддельной подписи на токен-мосте Wormhole, после чего добыли криптовалюту на сумму 326 миллионов долларов. Неспособность Wormhole подтвердить учетные записи «хранителей» позволила хакерам майнить токены, не требуя необходимого залога.

О «грабеже толпы» заговорили в августе, когда небезопасная конфигурация смарт-контракта на децентрализованном финансовом токен-мосте Nomad позволила пользователям выводить неограниченное количество средств. Сотни кошельков воспользовались этой уязвимостью, в результате чего было выведено более 190 миллионов долларов.

В октябре Mango Markets пострадал от эксплойта, связанного с манипулированием рынком: хакер приобрел и искусственно взвинтил курс токенов Mango (MNGO), а затем взял кредит под залог из казначейства проекта. В результате атаки на флэш-кредиты было похищено около 116 миллионов долларов.

Атаки на реентерабельность, при которых злоумышленники используют вредоносный смарт-контракт, выкачивающий средства из цели с помощью повторяющихся приказов о снятии средств, составили 81 млн долларов, похищенных в прошлом году.

Взломы эмиссии Oracle привели к краже 54 миллионов долларов. При этом способе хакеры получают доступ к сервису oracle и манипулируют его сервисом передачи данных о ценах, чтобы обеспечить отказ смарт-контракта или осуществить атаки на флэш-кредиты.

В результате фишинговых атак в 2022 году было похищено криптовалюты на сумму всего 17 млн долларов. Этот метод был распространен в период с 2017 по 2020 год, поскольку злоумышленники охотились на невольных жертв, используя методы социальной инженерии для кражи учетных данных и закрытых ключей.

Атака на оракул в феврале 2023 года стала крупнейшим хакерским инцидентом нового года. Хакерам удалось манипулировать ценой токена AllianceBlock с помощью взлома оракула, в результате чего из протокола было похищено примерно 120 миллионов долларов.


Похожие статьи