Kripto para piyasalarının ciddi bir düşüş eğilimi içinde sıkışıp kalmasına rağmen, Web3'teki dolandırıcılık ve hacklemeler 2022'nin tamamı boyunca alevler içindeydi. Bir dizi üst düzey merkezi kripto para birimi ağır sikletleri de zayıf risk yönetimi ve içeriden yapılan manipülasyonlar nedeniyle çöktü.
Kripto segmenti yeni yıla yaklaşırken U.Today, en tehlikeli kripto dolandırıcılıklarını, bunların kökenlerini, tasarımlarını ve neden oldukları kayıpları özetliyor. Ayrıca sosyal medyada her gün milyonlarca kullanıcıyı hedef alan, en sık görülen kripto dolandırıcılıklarına ilişkin kısa bir inceleme hazırladık.
2022'nin kripto dolandırıcılıkları ve hack'leri: Kısa bilgiler
Çok sayıda siber güvenlik raporuna göre, 11'nin ilk 2022 ayında bilgisayar korsanları ve dolandırıcılar, benzeri görülmemiş miktarda 4.2 milyar dolarlık kripto para birimi çalmayı başardılar; bu, önemli kripto paraların 37 ila 2021 kat daha pahalı olduğu 2 yılına göre %3 daha fazla.
- En büyük saldırılar çapraz zincir protokollerine (Axie Infinity'nin köprü mekanizması Ronin ve çoklu protokol ekosistemi Wormhole) karşı gerçekleştirildi.
- Terra (LUNA) ekosisteminin, onun ana DeFi Anchor Protokolünün (ANC) ve USD'ye sabitlenmiş stablecoin TerraUSD'nin (UST) çöküşü, düşüş yönlü durgunluğun 2'nin 4.-2022. çeyreği aşamasına katkıda bulundu.
- Artık feshedilmiş kripto borsası FTX ve ilgili ticaret şirketi Alameda Research etrafındaki drama, 2022'deki en büyük merkezi hizmet çöküşüydü.
- Medyada geniş çapta tartışılan en büyük hacklemelere rağmen, kripto dolandırıcılıklarının büyük çoğunluğu eski yöntemlerle organize ediliyor: sahte airdroplar, kötü niyetli "kurtarma programları", dolandırıcılık arbitraj planları ve benzerleri.
- Bir dizi büyük hack'in beyaz şapka operasyonları olduğu ortaya çıktı: Saldırganlar, etkileyici hata ödülleri karşılığında çalınan parayı iade etti.
- Tüm BEP-12 tokenlarının neredeyse %20'si ve ERC-8 tokenlarının %20'i sahtedir; Her gün 350 yeni dolandırıcılık başlatılıyor.
Bu incelemede, kasıtlı olarak başlatılan dolandırıcılıklardan ve başlangıçta meşru olan projelerden "dolandırıcılık" olarak söz edeceğiz; "hackler" ise "içeriden bilgi" olayları olmaksızın yürütülen meşru projelere yönelik üçüncü taraf saldırılarıdır.
2022'nin en önemli kripto dolandırıcılıkları ve çöküşleri
2022'de Bitcoin (BTC), Ethereum (ETH) ve tüm büyük kripto para birimleri ATH'lerinden %70-80'in üzerinde kayıp yaşarken, etkilenen çoğu segmentte (metaverse tokenleri, GameFi tokenleri, Solana (SOL) ekosistemi) ortalama kayıp 90'ı aşıyor %. Bazı kripto para devleri bu kadar acı verici bir düşüşten sağ çıkamadı.
Terra (LUNA)/Terra USD (UST)
EVM uyumlu akıllı sözleşme platformu Terra (LUNA), 2021'in en çok abartılan Ethereum (ETH) öldürücüleri arasında yer aldı. Ancak TVL'deki aslan payı, %19'luk getiri sunan basit bir verim tarım makinesi olan Anchor Protokolüne (ANC) yoğunlaştı. APY, Terra'nın artık kullanılmayan USD'ye sabitlenmiş stablecoin'i Terra USD'deki (UST) mevduatlarda. Toplamda, 20'nin ilk çeyreğinde Anchor'da (ANC) 1 milyar dolardan fazla eşdeğer tutar kilitlendi.
Ancak Mayıs 2022'nin başlarında birisi agresif bir şekilde UST'yi Curve Finance (CRV) DeFi havuzlarına göndermeye ve tokenları USD Coin (USDC) üzerinde takas etmeye başladı. UST çivisini kaybetti. Terraform Labs ve CEO'su Do Kwon, UST/LUNA mekanizmasına likidite enjekte etmeye başladı. Ancak büyük bir sermaye akışı nedeniyle hem LUNA hem de UST neredeyse sıfır değerlerine düştü. Terra (LUNA) blok zinciri tamamen durduruldu.
Daha önce U.Today'da ele alındığı gibi araştırmacılar, çöküşü başlatanın Terraform Laboratuvarları olduğunu açıkladılar: büyük UST transferlerine Do Kwon tarafından izin verildi. Terra kurucusunun Sırbistan'a kaçtığı ve Bitcoin'lerini (BTC) orada nakde çevirmeye çalıştığı iddia ediliyor.
Üç Ok Başkenti
Columbia Üniversitesi mezunları ve Credit Suisse emektarları Su Zhu ve Kyle Davies tarafından başlatılan Three Arrows Capital (3AC), en etkili kripto hedge fonları arasında yer aldı. Ethereum (ETH), Avalanche (AVAX), Solana (SOL) ve diğerlerine ilk yatırımcı olması sayesinde 20 milyar doların üzerinde AUM biriktirdi.
Ancak çöken LUNA, 3AC portföyünün temel unsurlarından biriydi. Ekip Terra'ya (LUNA) 600 milyon doların üzerinde yatırım yaptı: Bu devasa hisse, LUNA/UST'nin çöküşünden iki hafta sonra silindi.
16 Haziran 2022'de FT, Terra'nın Çapa Protokolündeki kayıplar nedeniyle 3AC'nin marj tamamlamalarını karşılayamadığını duyurdu. Firma ayrıca Lido Finance (LDO) DeFi ve Grayscale Bitcoin Trust'taki (GBTC) Staked Ether (stETH) pozisyonlarında da su altındaydı. Haziran ayında kripto devi Voyager'a olan kredisini geri ödeyemedi. Temmuz ayı sonlarında firma bir BVI mahkemesi tarafından tasfiye edilirken, 3AC yönetimi iflas başvurusunda bulundu. Toplamda 20AC'deki 3 yatırımcı 3.5 milyar doların üzerinde zarar etti.
Yolcu
ABD'de kayıtlı alacaklı Voyager da zayıf risk yönetiminin kurbanı oldu: Three Arrows Capital'e 650 milyon dolarlık teminatsız kredi sağlarken, net AUM'u neredeyse 5.9 milyar dolardı. Platform, %3.5'si 97 doların altında yatırım yapan 10,000 milyon müşteriye sahipti.
Genel olarak Voyager, ekibinin riskli bir iş stratejisi seçmesi nedeniyle çöktü: birden fazla ticaret hizmetine ve bireysel kripto para birimi tüccarlarına kredi teklif etti. Borç verenler paralarını toplu halde çekmeye başlayınca, Temmuz ayı başlarında Voyager müşteri fonlarını dondurdu. Birkaç gün sonra New York'ta iflas koruması için başvuruda bulundu.
Platform küçük ölçekli perakende müşterilere odaklandığından çöküşü, kripto para meraklıları için en acı verici olay oldu.
Selsius
Aslında Celsius, sorunları hakkında sinyal veren ilk firmaydı: Nisan 2022'de platform, akredite olmayan yatırımcıların tüm varlıklarını gözetim altında tutacağını duyurdu: bu nedenle müşterilerin bu kısmı yeni likidite sağlayamadı ve ödül alamadı.
Mayıs 2022'de UST ve Terra olaylarından korkan kullanıcılar parayı Celsius protokolünden çıkarmaya başladı. 12 Haziran 2022'de Celsius, 1.7 milyon müşterinin (çoğunlukla bireysel yatırımcılar) fonlarını dondurdu. Tıpkı Voyager gibi Temmuz başında iflas başvurusunda bulundu.
14 Temmuz 2022'de Celsius'un hukuk danışmanı Kirkland & Ellis, platformun liderlerine bilançosunda 1.3 milyar dolarlık bir boşluk hakkında bilgi verildiğini paylaştı.
FTX
Sam Bankman-Fried'ın kripto para borsası FTX ve ona bağlı kripto yatırım şirketi Alameda Research'ün çöküşü, Web3'teki en şaşırtıcı dramaydı: SBF ve ekibi, Forbes'un kapaklarında yer alan ve düzinelerce ortaklığa imza atarak sektör üzerinde muazzam bir kontrol elde etmeye çalıştı. yakında.
Ancak Alameda Research'ün bilançosu büyük ölçüde FTX'in yerel kripto para birimi olan FTX Token'a (FTT) bağlıydı. Bu nedenle Binance CEO'su Changpeng "CZ" Zhao agresif bir şekilde FTT satmaya başladığında (CZ tarafından 500 milyon doların üzerinde eşdeğeri piyasaya sürüldü) tüm sistem çöktü.
Tüm benzer durumlarda olduğu gibi yatırımcılar FTX'ten toplu para çekmeye başladı. Platform para çekme işlemlerini durdurdu, SBF CEO'luktan ayrıldı ve iflas başvurusunda bulundu. Bu arada, kendi ticaret şirketi Alameda Research'te yatırımcıların ve müşterilerin parasını kullandığı öğrenildi. Korkunç bir kötü yönetim nedeniyle Alameda Araştırma iyice sular altında kaldı. SBF tutuklandı ve kefaletle serbest bırakılırken, FTX'in çöküşünden kaynaklanan kayıplar 9 milyar dolar eşdeğerine ulaştı.
2022'nin en iyi kripto hack'leri
Göre analiz Merkle Science siber güvenlik uzmanlarının belirttiğine göre ağlar arası köprüler, teknik karmaşıklıkları ve son derece deneysel karakterleri nedeniyle istismarlara karşı özellikle savunmasızdır:
Zincirler arasındaki köprüler, diğer protokollere göre daha fazla etkileşim ve sözleşme onayı gerektirdiğinden, genellikle kötüye kullanımlara karşı daha hassastır. Ayrıca köprüler, denetlenmemiş bilgisayar kodları tarafından çalıştırıldıkları için saldırılara karşı daha hassastır. Üstelik işlemleri yürüten doğrulayıcıların/düğümlerin kimlikleri de bilinmiyor
2022'de saldırıların birincil hedefi köprüler olurken, diğer DeFi mekanizmaları da bilgisayar korsanları tarafından istismar edildi.
Solucan deliği
3 Şubat 2022'de bilgisayar korsanları, heterojen blok zincirleri arasında kesintisiz değer aktarımını kolaylaştırmak için tasarlanmış bir köprü olan Wormhole'a saldırdı. Koddaki bir güvenlik açığı nedeniyle, ilgili Ethereum (ETH) teminatını koymadan Solana (SOL) blok zincirinde 120,000 Sarılmış Ether (wETH) çıkarmayı başardılar.
Saldırı, teminat olarak 120,000 wETH'yi (havadan basılmış) kabul etmeye hazır herhangi bir DeFi platformunun iflasına yol açabilir. Neyse ki en kötü senaryo gerçekleşmedi.
Solucan Deliği hizmetinin ana şirketi Jump Crypto, tüm kayıpları üstlendi: protokol likidite havuzlarına anında 120,000 Ether eklediler.
Ronin
23 Mart'ta, devlet destekli kötü şöhretli bir siber suç grubu olan Lazarus'un Kuzey Koreli bilgisayar korsanları Ronin ağına saldırdı. Ronin, GameFi'nin amiral gemisi olan Axie Infinity için özel olarak geliştirilmiş Ethereum benzeri bir yan zincirdir. Saldırganlar Ronin'in 568 milyon doları elinden aldı.
Bilgisayar korsanları, Ronin Bridge için dokuz doğrulayıcı imzadan beşinin kontrolünü ele geçirmeyi başardı. Daha sonra 173,600 Ether (ETH) ve 25.5 milyon USD Coin (USDC) olmak üzere iki işleme izin verdiler. Bu korkunç ganimetten 445 milyon dolardan fazlası Tornado Cash kripto karıştırıcısı aracılığıyla aklandı.
Axie Infinity geliştiricisi Sky Mavis ekstra fon topladı, CertiK tarafından başka bir güvenlik denetimi yapılmasını emretti ve çoklu imza eşiğini 5/9'dan 8/9'a yükseltti.
Göçebe
Ağustos 2022'de Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) ve diğer blok zincirleri arasında değer taşıyan çok zincirli bir köprü mekanizması olan Nomad'ın 190.7 milyon dolarlık kripto parası boşaltıldı. Saldırganlar, akıllı sözleşme tasarımındaki bir güvenlik açığından yararlanmayı başardı: protokol, kullanıcıların, başlangıçta dağıtılan miktara eşdeğer olup olmadığını kontrol etmeden, hedef blok zincirindeki fonları çekmelerine olanak tanıdı.
12/tl;dr rutin bir yükseltme, sıfır hash'i geçerli bir kök olarak işaretledi, bu da Nomad'de mesajların aldatılmasına izin verme etkisine sahipti. Saldırganlar bunu işlemleri kopyalayıp yapıştırmak için kötüye kullandılar ve herkes için çılgın bir şekilde köprüyü hızla boşalttılar
— bu artık bir shitpost hesabı (@samczsun) Ağustos 2, 2022
Basitçe söylemek gerekirse, düzenli yükseltmenin ardından kullanıcılar Ethereum'a (ETH) 1 ETH yatırabildi ve Avalanche'den (AVAX) 100 Ethereum (ETH) eşdeğerinde para çekme talebinde bulunabildi.
Sorun şu ki, teknoloji meraklısı her Web3 meraklısı, yama yayınlanmadan önce bu saldırı vektörünü kopyalayabilmiş ve Nomad'dan para çalabilmişti. Bu nedenle birçok Ethereum (ETH) geliştiricisi, sırf Nomad ekibine geri göndermek için fonlarını çekti: neredeyse 40 milyon dolar geri gönderildi.
Beanstalk
16 Nisan 2022'de Ethereum tabanlı stablecoin projesi Beanstalk (BEAN), karmaşık bir flaş kredi saldırısının hedefi oldu. Yani, kötü niyetli kişiler Aave Finance'den (AAVE) flaş bir kredi almayı ve zincir içi referandum protokolünün kontrolünü ele geçirmek için gerekli miktarda yönetim tokeni satın almayı başardılar.
Saldırganlar daha sonra oylamada üstün çoğunluğu elde etti ve kendi hesaplarına para transferini onayladı. 180 milyon dolar transfer edildiğinde flaş krediyi hemen geri ödediler; net kar 80 milyon doları aştı.
Kış Dilsiz
Eylül 2022'de en büyük piyasa yapıcı platformlardan biri olan Wintermute'un cüzdanları 160 milyon dolara boşaltıldı. Saldırganlar, Wintermute'un bazı anahtar cüzdanlarının Ethereum (ETH) ağı için bir "özel adresler" oluşturucusu olan Profanity ile oluşturulduğunu açıkladı. Bu tür programlar, insanlar tarafından okunabilen adreslere sahip kripto cüzdanlar oluşturabilir; 0xJohnDoe1111… ve benzerleri.
Profanity'nin tasarımındaki bir güvenlik açığı nedeniyle saldırganlar, özel adreslere kaba kuvvet uygulayarak özel anahtarları kurtarmayı başardı. Saldırı, kötü niyetli kişilerin kullandığı önemli bilgi işlem kaynakları sayesinde mümkün oldu.
Bonus: Bu uzun süredir devam eden dolandırıcılıklara kanmayın
1 milyar dolarlık flaş krediler, Kuzey Koreli bilgisayar korsanları ve etkileyici kaba kuvvet donanımlarını içeren karmaşık senaryoların yanı sıra, çok ilkel dolandırıcılık kampanyaları orada burada ortaya çıkıyor. 2022 itibariyle kriptoda üç saldırı tasarımı çok yaygın:
1. Sahte airdroplar. Kötü niyetli kişiler, bu dolandırıcılığı gerçekleştirmek için ya bir YouTube reklam kampanyası düzenliyor ya da reklamlarını Twitter'a koyuyor. Daha sonra bir İnternet ünlüsünün (Snoop Dogg), üst düzey bir teknoloji girişimcisinin (Vitalik Buterin veya Elon Musk) ve hatta politikacının (Donald Trump) kripto para birimini havadan dağıttığını duyuruyorlar. Bonuslarını almaya hazır olan herkes ya ilk depozitoyu (%100 kârla iade edileceği iddia ediliyor) ya da özel anahtarlarını göndermelidir. Her iki grubun da mevduatlarını veya cüzdanlarındaki tüm parayı kaybedeceğini söylemeye gerek yok.
Nasıl korunursun: Paranızı asla "airdrop organizatörlerine" göndermeyin veya özel anahtarlarınızı veya tohum ifadelerinizi ifşa etmeyin.
2. El yapımı MEV botları. Maksimum çıkarılabilir değer (MEV), Ethereum (ETH) ağı katılımcılarının blok doğrulama sürecine katkılarından dolayı alabilecekleri maksimum ödüldür. Gelişmiş teknikler MEV'yi optimize etmekten faydalanmamızı sağlar. Dolandırıcılar, Ethereum (ETH) cüzdanlarına erişim sağlamak ve fonları boşaltmak için kendi "MEV botlarınızı" nasıl oluşturacağınıza dair video veya metin kılavuzları yerleştirir.
Nasıl korunursun: YouTube kılavuzlarındaki "anlık" MEV botlarından kaçının.
3. Dolandırıcılar kurtarmaya geliyor. 2022 kesinlikle hacklerle dolu bir yıl olduğundan, birçok kripto kullanıcısı favori blockchainlerinin kırılıp kırılmadığını kontrol ediyor. Dolandırıcılar şu veya bu projenin saldırıya uğradığına dair sahte duyurular yayınlıyor ve sahte “tazminat” programları başlatıyor. Tazminatla ilgilenen herkesin tohum cümlelerini dolandırıcılara göndermeleri istenir.
Nasıl korunursun: Yalnızca blockchainlerin resmi medya kanallarındaki hack haberlerini kontrol edin.
Kapanış düşünceleri
2022'deki çöküşlerin çoğu, kripto para birimi fiyatlarındaki acı verici düşüş, zayıf risk yönetimi ve merkezi kripto para birimi ürünlerinin sahiplerinin açgözlülüğü tarafından tetiklendi. Bu nedenle merkeziyetsizlik çok önemli: DAO'nun kitle bilgeliği, FTX/Celsius/Voyager ölçeğinde çöküşlerin gerçekleşmesini önleyecektir.
Bu arada zincir üstü ürünler güvenlik denetimlerine, güncellemelere ve özel jet yönetimine dikkat etmelidir.
Kaynak: https://u.today/top-10-crypto-scams-and-hacks-of-2022