Laut TRM Labs-Analyse war 2022 ein Rekordjahr für Krypto-Hacks, mit gestohlenen Kryptos im Wert von etwa 3.7 Milliarden US-Dollar. DeFi Angriffe waren weit verbreitet, wobei etwa 80 % oder 3 Milliarden US-Dollar DeFi-Opfer betrafen.
Während wir optimistisch in das Jahr 2023 gehen, was das Versprechen einer aufstrebenden Technologie angeht, müssen wir zurückblicken, um aus den Herausforderungen und Rückschlägen zu lernen, denen wir im Nachhinein gegenüberstanden.
Krypto-Hack der Ronin Bridge-Infrastruktur
Axie Infinity Ronin-Bridge-Krypto-Hack im März führt die Liste mit 612 Millionen US-Dollar an. Die Ronin-Brücke ist eine Ethereum Seitenkette für das Axie Infinity Play-to-Earn-Spiel.
Die Krypto-Hacker, die heute als nordkoreanische Cyberkriminalität namens Lazarus identifiziert werden, erhielten Zugriff auf neun private Schlüssel der Ronin-Bridge-Transaktionsprüfer. Mit den Schlüsseln genehmigten sie große Transaktionen, eine für 173,600 ETH und die andere für 25.5 Millionen USDC.
Hacker haben die Krypto zu Tornado Cash, einem Open-Source-Krypto-Tumbler, und mehreren anderen Börsen verschoben.
Gemeinsame Bemühungen der Gemeinde, Binance, Kettenanalyse und Strafverfolgungsbehörden halfen dabei, einige der Gelder aufzuspüren.
Cross-Bridge-Code-Exploit von BSC Beacon
Im Oktober nutzten Hacker eine Schwachstelle im Cross-Bridge-Code von BSC Beacon aus, um Krypto im Wert von 570 Millionen US-Dollar zu stehlen. Die Brücke ist ein kritischer Bestandteil der BNB-Kette.
Die BSC-Beacon-Kette, bezeichnet als Token Hub, ist eine kettenübergreifende Brücke zwischen der BNB-Beacon-Kette (BEP2) und der BNB-Kette (BEP20/BSC).
Der Angriff funktionierte Verfälschung kryptografischer Beweise Merkle nennt Beweise dafür, dass bestätigte Daten wie Transaktionen als gültig und in den enthalten sind Blockchain. Der Krypto-Hacker benutzte den falschen Merkle-Beweis, um Gelder von der BSC Beacon Crossbridge zu anderen Ketten zu transferieren.
Tether setzte die Adresse des Angreifers auf die Blockliste, während über 7 Millionen US-Dollar, die von der BNB-Kette bewegt wurden, effektiv eingefroren wurden.
Wurmloch-Bridge-Code-Exploit
Krypto-Hacker nutzten im Februar den Code von Wormhole in Krypto im Wert von 326 Millionen US-Dollar aus. Ein Wurmloch ist eine symbolische Brücke zwischen Solana und Ethereum.
Der Krypto-Hacker verwendete eine veraltete/unsichere Funktion, um die Signaturüberprüfung zu umgehen.
Ein veralteter Code kann mit einer Haftnotiz verglichen werden, auf der steht: „Ich werde dies in Zukunft löschen.“ Sie können den Code jetzt nicht löschen, da einige Verbraucher ihn immer noch verwenden.
Eine Kette von Delegationen zur Signaturüberprüfung ermöglichte den Krypto-Hack. Die veraltete Funktion überprüfte keine Adressen, was die Validierung einer gefälschten Signatur ermöglichte.
Laut Cyberanalysten hätten Entwickler den Angriff vermeiden können, wenn sie „sichere Codierung“ praktiziert hätten.
Nomad Bridge-Code-Exploit
Hacker nutzten im August die Kryptobrücke Nomad von Krypto im Wert von 190 Millionen US-Dollar aus. Der Hacker hat praktisch alle Gelder im Protokoll aufgebraucht – die zunehmenden Exploits stellten die Sicherheit von Cross-Chain-Token-Bridges in Frage.
Bridges funktionieren, indem sie Token in einem Smart Contract in einer Chain sperren und sie dann in einem „verpackten“ Format in einer anderen Chain neu ausgeben. Im Fall von Nomad sabotierte der Angriff den Vertrag und machte seine verpackten Token wertlos.
Nomad hat tatsächlich ein Kopfgeld ausgesetzt, in dem der Hacker aufgefordert wird, 10 % der Gelder zu behalten und keine rechtlichen Schritte plus einen Whitehat-Bonus zu riskieren NFT. Der Angreifer gab schließlich nur 36 Millionen Dollar zurück.
Angriff auf das Beanstalk-Protokoll
An einem schicksalhaften Wochenende im April nutzte ein Hacker ein Flash-Darlehen, um 182 Millionen Dollar an ETH, BEAN-Stablecoin und anderen Vermögenswerten aus dem Beanstalk-Stablecoin-Protokoll zu stehlen.
Ein Flash-Darlehen ist eine Funktion, die es Benutzern ermöglicht, einen Vermögenswert zu leihen, einen schnellen Handel zu tätigen und ihn dann in einer einzigen komplexen Transaktion über mehrere Protokolle hinweg zurückzuzahlen.
Der Angreifer präsentierte der Beanstalk-DAO über die Notfall-Commit-Funktion zwei böswillige Vorschläge, die eine ⅔-Abstimmung erforderten und dann nach 24 Stunden umgesetzt wurden.
Der Angreifer verschmitzt nutzte die Flash-Darlehensfunktion, um 79 % der Kontrolle zu erlangen und seinen Vorschlag zu bestätigen.
Der Angreifer schickte die Gelder im Protokoll zur Rückzahlung seines Flash-Darlehens und den Rest an die Adresse des ukrainischen Fonds. Am Ende machte er einen Gewinn von 76 Millionen Dollar.
Mehr Mega-Krypto-Hacks
Andere Mega-Krypto-Hacks sind der 160-Millionen-Dollar-Infrastrukturangriff von Wintermute im April, der 113-Millionen-Dollar-Infrastrukturangriff von Maiar/Elrond im Juni, der 112-Millionen-Dollar-Infrastrukturangriff von Mango Markets im Oktober und der 100-Millionen-Dollar-Infrastrukturangriff von Harmony Bridge im Juni.
Quelle: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/