Göre TRM Laboratuar analizine göre 2022, yaklaşık 3.7 milyar dolar değerinde kripto çalınmasıyla kripto hackleri için rekor bir yıl oldu. Defi saldırılar yaygındı ve yaklaşık %80'i veya 3 milyar doları DeFi kurbanlarını içeriyordu.
2023'e doğmakta olan bir teknoloji vaadi konusunda iyimser bir şekilde girerken, geriye dönüp baktığımızda karşılaştığımız zorluklardan ve aksiliklerden ders çıkarmalıyız.
Ronin Bridge altyapı kripto hack'i
Axie Sonsuzluk Ronin köprüsü kripto hack Mart ayında 612 milyon dolarla listenin başında yer alıyor. Ronin köprüsü bir Ethereum Axie Infinity oyna-kazan oyunu için yan zincir.
Bugün Lazarus adlı Kuzey Koreli bir siber suç grubu olarak tanımlanan kripto bilgisayar korsanları, Ronin köprüsü işlem doğrulayıcılarının dokuz özel anahtarına erişim sağladı. Anahtarları kullanarak, biri 173,600 ETH ve diğeri 25.5 milyon USDC olmak üzere büyük işlemleri onayladılar.
Bilgisayar korsanları, kriptoyu Tornado cash'e, açık kaynaklı bir kripto tumbler'a ve birkaç başka borsaya taşıdı.
Topluluğun ortak çabaları, Binance, Chainalysis ve kolluk kuvvetleri fonların bir kısmının izini sürmeye yardımcı oldu.
BSC Beacon çapraz köprü kod istismarı
Ekim ayında bilgisayar korsanları, 570 milyon dolar değerindeki kripto parayı çalmak için BSC Beacon çapraz köprü kodundaki bir güvenlik açığından yararlandı. Köprü, BNB zincirinin kritik bir bileşenidir.
Token Hub olarak adlandırılan BSC Beacon zinciri, BNB Beacon Chain (BEP2) ve BNB Chain (BEP20/BSC) arasında zincirler arası bir köprüdür.
Saldırı işe yaradı kriptografik kanıtları tahrif etmek işlemler gibi verilerin geçerli olduğunu onaylayan ve blockchain. Kripto korsanı, BSC Beacon çapraz köprüsünden diğer zincirlere para aktarmak için sahte Merkle kanıtını kullandı.
Tether, saldırganın adresini engelleme listesine alırken, BNB zincirinden taşınan 7 milyon doların üzerinde etkin bir şekilde donduruldu.
Solucan deliği köprüsü kod istismarı
Kripto bilgisayar korsanları, solucan deliğinin kodunu Şubat ayında 326 milyon dolar değerinde kriptodan yararlandı. Solucan deliği, Solana ve Ethereum arasında simgesel bir köprüdür.
Kripto korsanı, imza doğrulamasını atlamak için kullanımdan kaldırılmış/son derece güvenli olmayan bir işlev kullandı.
Kullanımdan kaldırılan bir kod, 'Bunu gelecekte sileceğim' yazan bir yapışkan nota benzetilebilir. Bazı tüketiciler hala kullandığından kodu şu anda silemezsiniz.
Bir imza doğrulama delegasyonları zinciri, kripto hack'ini etkinleştirdi. Kullanımdan kaldırılan işlev, sahte bir imzanın doğrulanmasına izin vererek adresleri kontrol etmedi.
Siber analistlere göre, geliştiriciler 'güvenli kodlama' uygulamış olsalardı saldırıdan kaçınabilirdi.
Göçebe köprü kodu istismarı
Bilgisayar korsanları, Ağustos ayında Nomad kripto köprüsünden 190 milyon dolar değerinde kripto para kullandı. Bilgisayar korsanı, protokoldeki tüm fonları fiilen tüketti; artan istismarlar, zincirler arası token köprülerinin güvenliğini sorgulattı.
Köprüler, bir zincirdeki akıllı sözleşmedeki belirteçleri kilitleyerek ve ardından bunları başka bir zincirde 'sarmalanmış' bir biçimde yeniden yayınlayarak çalışır. Nomad'ın durumunda, saldırı sözleşmeyi sabote ederek, sarılmış jetonlarını değersiz hale getirdi.
Nomad, gerçekte, bilgisayar korsanından fonların %10'unu elinde tutmasını ve yasal işlem görmemesini ve ayrıca bir beyaz şapka bonusu almasını talep eden bir ödül koydu. NFT. Saldırgan sonuçta yalnızca 36 milyon dolar iade etti.
Fasulye Sırığı protokol saldırısı
Nisan ayının önemli bir haftasonunda, bir bilgisayar korsanı ETH, BEAN stabilcoin ve Beanstalk stablecoin protokolünden diğer varlıklarda 182 milyon $ çalmak için ani bir kredi kullandı.
Hızlı kredi, kullanıcıların bir varlığı ödünç almasına, hızlı bir ticaret yapmasına ve ardından birden çok protokolde tek bir karmaşık işlemle geri ödemesine olanak tanıyan bir özelliktir.
Saldırgan, ⅔ oy gerektiren ve ardından 24 saat sonra uygulanan acil durum gerçekleştirme işlevi aracılığıyla Beanstalk DAO'ya iki kötü niyetli teklif sundu.
Saldırgan yaramazca %79 kontrol elde etmek ve teklifini geçmek için ani kredi işlevini kullandı.
Saldırgan, flaş kredisini ödemek için protokoldeki parayı ve geri kalanını Ukrayna fon adresine gönderdi. Sonunda 76 milyon dolar kar elde etti.
Daha fazla mega kripto hack'i
Diğer mega kripto saldırıları arasında Wintermute'un Nisan'daki 160 milyon dolarlık altyapı saldırısı, Maiar/ Elrond'un Haziran'daki 113 milyon dolarlık Altyapı saldırısı, Ekim'deki Mango Markets'in 112 milyon dolarlık Altyapı saldırısı ve Haziran'daki Harmony köprüsünün 100 milyon dolarlık Altyapı saldırısı yer alıyor.
Kaynak: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/