- Сообщения
- 1.541
- Реакции
- 2.496
За прошедшие 8 месяцев злоумышленники похитили более $2 млрд. в криптовалюте. Сумма ущерба — на 60% больше, чем за весь 2021 год. При этом несколько крупных взломов произошли в периоды очередных рыночных катаклизмов, когда цены монет упали примерно наполовину. Поэтому потенциальный ущерб еще более значителен. В этой статье рассмотрим крупнейшие хакерские атаки 2022 года и попробуем разобраться, почему они произошли.
Международная биржа стала жертвой хакеров в январе 2022 года. Злоумышленники смогли обойти систему 2FA и вывести с кошельков пользователей более $35 млн в криптовалюте.
По данным Crypto.com, в общей сложности было затронуто 483 клиентских аккаунта. Ущерб от этой атаки мог быть намного крупнее. Представители биржи заявили, что предотвратили большую часть несанкционированных выводов.
Стоит отметить, что Crypto.com требует, чтобы все пользователи подтверждали снятие средств с помощью 2FA. Однако это не помешало хакерам украсть депозиты. В Crypto.com не стали объяснять, как такое могло произойти. Клиентам возместили убытки, а биржа пообещала усилить меры безопасности.
В частности, сервис планирует отказаться от 2FA и внедрить вместо этого многофакторную аутентификацию. Также биржа увеличит время ожидания при выводе монет на новые адреса до 24 часов.
Платформа, управляющая криптовалютными активами пенсионных фондов, подверглась атаке хакеров в феврале 2022 года. Злоумышленники вывели со счетов клиентов более $37 млн. IRA Financial Trust начала расследование инцидента и подала в суд на торгового партнера — Gemini.
Выяснилось, что во время атаки некто позвонил в службу 911, чтобы вызвать полицию в офисы компании. Это отвлекло внимание сотрудников. Однако партнеры продолжали обвинять друг друга во взломе.
Через несколько месяцев после инцидента начался судебный процесс между IRA Financial Trust и Gemini. В ходе разбирательств стало известно, что биржа назначила учетную запись фонда основной, а клиенты являются владельцами субсчетов. IRA Financial Trust принадлежит мастер-ключ, который может обойти все протоколы безопасности. Gemini скрыла эту информацию в феврале и значительно приуменьшила проблемы с защитой платформы.
В судебном заседании также выяснилось, что биржа даже не смогла обнаружить нарушение в системе безопасности. IRA Financial Trust потребовалось более 2 часов и несколько электронных писем, чтобы заставить Gemini заблокировать счета.
Сложности возникли и с возмещением ущерба пользователям. Многим из них пришлось нанимать адвокатов, чтобы вернуть деньги.
Поставщик стабильных монет CASH, функционирующий на блокчейне Solana, стал жертвой хакеров в марте. Злоумышленники использовали уязвимость в механизме выпуска стейблеоинов, чтобы вывести из протокола криптовалюту на сумму более $52 млн. После взлома цена токенов CASH упала до $0,00005.
Для выпуска стейблкоинов, пользователю требовалось внести залог на счет компании. Обеспечение проходило ряд проверок прежде, чем быть принятым. После взлома пользователь Twitter под ником samszun провел собственное расследование. Выяснилось, что протокол Cashio никогда не проверял функцию mint.
Это значит, что злоумышленник мог подделать учетную запись, внести депозит, а затем создать цепочку поддельных аккаунтов и вывести более $52 млн. После этого проект был практически мертв, поскольку его стабильная монета попала в смертельную спираль, аналогично Terra UST.
Qubit Finance — один из самых новых DeFi-протоколов, подвергшихся нападению хакеров. Злоумышленники взломали протокол в январе. Адрес, связанный с атакой, вывел в общей сложности 206 809 монет BNB, которые на тот период оценивались в $80 млн.
По данным агентства по кибербезопасности CertiK, злоумышленник воспользовался опцией внесения депозита в QBridge, чтобы незаконно отчеканить 77 162 qXETH. Ему это удалось, поскольку межсетевые мосты технически не являются таковыми. Большинство сервисов блокируют (сжигают) актив в одной цепочке и выпускают его эквивалент в другой. Исходная криптовалюта никогда не выходит из блокчейна. Мошенник смог создать qXETH без необходимости блокировать Ethereum.
В апреле эмитент стабильной монеты для DeFi обнаружил, что несколько его смарт-контрактов были незаконно использованы на общую сумму $80 млн. Fei Protocol использует механизм сжигания монет, чтобы привязать стейблкоин FEI к цене доллара по аналогии с LUNA и UST. Terra потеряла в общей сложности $18 млрд, что отразилось тяжелыми последствиями для всего крипторынка. По сравнению с этим, ущерб Fei Protocol, сколь бы ни был высок, кажется детской забавой.
Тем не менее проект подвергает себя риску из-за разветвления кодовой базы другой DeFi-платформы Compound. В головном блокчейне было обнаружено большое количество уязвимостей, включая проблемы с повторным входом. Многие из этих проблем были устранены в последующих обновлениях. Но некоторые уязвимости остались. Тот факт, что Fei не провел аудит безопасности своего форка вызывает сожаление, поскольку тогда проблема, наверняка, была бы выявлена и устранена.
Взлом произошел так:
Очередной взлом кроссплатформенного моста произошел в июне 2022 года. Добычей хакеров стали $100 млн. Подобно другим кроссплатформенным решениям, Harmony Horizon Bridge проверяет транзакции, передаваемые через мост. Снова под отправкой мы подразумеваем уничтожение криптовалюты на одной стороне и чеканку токенов на другой.
Для подтверждения транзакций Harmony Horizon Bridge использует схему с несколькими подписями и 5 валидаторами. Однако для сокращения времени операции, вероятно, задействованы только 2 из 5 проверяющих. Это значит, что только 2 учетных записи должны быть скомпрометированы, чтобы злоумышленники могли одобрить любые вредоносные транзакции. Атака стала возможной потому, что были украдены 2 секретных ключа, принадлежащих валидаторам.
Позже компания утверждала, что взлом совершила группа хакеров Lazarus, связанная с Северной Кореей. Harmony Horizon также объявила, что начала официальный розыск преступников. Однако, если злоумышленники действительно находятся в Северной Корее, найти их мало шансов.
В апреле неизвестный хакер взломал DeFi-проект, в котором пользователи зарабатывают криптовалюту, делая ставки. Злоумышленник воспользовался протоколом децентрализованного управления Beanstalk и флеш-кредитом AAVE, чтобы получить большинство голосов (79%) и провести 2 мошеннические сделки.
По условиям проекта, для принятия предложения достаточно одобрения подавляющего большинства участников (⅔). Хакер выдвинул 2 инициативы:
В августе пострадал еще один кроссплатформенный мост, который объединял цепочки Ethereum, Avalanche и Cardano. Взлом Nomad Bridge ознаменовал первую в истории децентрализованных финансов массовую кражу криптовалют. В результате беспрецедентной атаки проект потерял более $190 млн в различных криптовалютах.
Взлом кроссплатформенного моста изначально совершил один злоумышленник. Однако скоро клиенты платформы обнаружили уязвимость, которую нашел хакер, и использовали ее, просто нажимая комбинацию клавиш Ctrl + С, Ctrl + V.
Эксплойт стал возможен из-за ошибки в смарт-контрактах Nomad — Replica.sol. Примечательно, что компания обнаружила уязвимость во время аудита безопасности, но так и не исправила ее. Об этом говорит отчет, размещенный в репозитарии Nomad GitHub.
Проблема возникает в функции process() внутри файла Replica.sol, в строке 192:
require(acceptableRoot(messages[_messageHash]), «!proven»);
В самом коде нет ничего плохого. Обычно она гарантирует, что запрос исходит от того, что смарт-контракт считает приемлемым корнем. requite () — это встроенная функция Solidity, которая контролирует, чтобы только авторизованные адреса могли выполнять действия с этим конкретным смарт-контрактом.
Однако команда ошибочно добавила 0x00 в качестве приемлемого корня. Это значит, что любой пользователь может успешно вызывать различные функции контракта. В результате счет протокола быстро истощился со $190 млн до $700. Некоторые клиенты вернули деньги. Эти пользователи заявили, что вывели средства, чтобы предотвратить потенциальную кражу.
Проект, ныне известный как Portal, представляет собой кроссцепное решение Solana-Ethereum. Подобно другим мостам, ранее рассмотренным в статье, Wormhole использует механизм блокировки токенов на одной платформе для выпуска эквивалента на другой. Единственная уязвимость кроссплатформенных решений, которая, похоже, регулярно используется хакерами — получение подтверждения от сети, даже если токены никуда не передавались.
Это случилось и с Wormhole. В феврале злоумышленник подделал оригинальную подпись, чтобы создать 120 тыс. wETH. Это стало возможным из-за того, что Wormhole неправильно проверял транзакции. По сути, каждый фрагмент кода в смарт-контракте Solana, который отвечал за создание wETH, не тестировал должным образом подлинность ключей. Хакер использовал это. чтобы вывести из проекта более $325 млн.
Самым громким взломом 2022 года стала атака на кроссплатформенный мост (снова) популярного проекта. В марте Axie Infinity потеряла $625 млн.
По словам разработчиков, злоумышленники получили доступ к 5 закрытым ключам, которые принадлежали валидаторам. В руководстве Axie Infinity Ronin Bridge указано, что для подтверждения транзакции требуются решения 5 узлов. В то время цепочка Ronin состояла из 9 нод. Хакеру удалось получить доступ к 4, а также к стороннему валидатору, управляемому Axie DAO.
По данным правительства США, злоумышленники были связаны с северокорейской хакерской группой Lazarus. Мошенники выдавали себя за криптокомпанию, которая нанимает штат. Хакеры пригласили нескольких сотрудников Axie на собеседование, предложив им выгодные условия работы и высокий оклад. Предположительно, злоумышленники спрятали вредоносный код внутри PDF-файлов рабочей спецификации, которые попали в систему Ronin и извлекли секретные ключи.
Какой бы гениальной ни была атака, то, что последовало было еще более сюрреалистичным. Злоумышленники ожидали, что Axie Infinity и Ronin рухнут, как только начнут появляться новости о взломе. Однако атака оставалась незамеченной в течение недели.
Сам взлом оказался настолько разрушительным, что сеть Ronin пришлось отключить для перезапуска через 3 месяца. Компания также обещала возместить ущерб пользователям.
Crypto.com — $35 млн
Международная биржа стала жертвой хакеров в январе 2022 года. Злоумышленники смогли обойти систему 2FA и вывести с кошельков пользователей более $35 млн в криптовалюте.
По данным Crypto.com, в общей сложности было затронуто 483 клиентских аккаунта. Ущерб от этой атаки мог быть намного крупнее. Представители биржи заявили, что предотвратили большую часть несанкционированных выводов.
Стоит отметить, что Crypto.com требует, чтобы все пользователи подтверждали снятие средств с помощью 2FA. Однако это не помешало хакерам украсть депозиты. В Crypto.com не стали объяснять, как такое могло произойти. Клиентам возместили убытки, а биржа пообещала усилить меры безопасности.
В частности, сервис планирует отказаться от 2FA и внедрить вместо этого многофакторную аутентификацию. Также биржа увеличит время ожидания при выводе монет на новые адреса до 24 часов.
IRA Financial Trust — $37 млн
Платформа, управляющая криптовалютными активами пенсионных фондов, подверглась атаке хакеров в феврале 2022 года. Злоумышленники вывели со счетов клиентов более $37 млн. IRA Financial Trust начала расследование инцидента и подала в суд на торгового партнера — Gemini.
Выяснилось, что во время атаки некто позвонил в службу 911, чтобы вызвать полицию в офисы компании. Это отвлекло внимание сотрудников. Однако партнеры продолжали обвинять друг друга во взломе.
Через несколько месяцев после инцидента начался судебный процесс между IRA Financial Trust и Gemini. В ходе разбирательств стало известно, что биржа назначила учетную запись фонда основной, а клиенты являются владельцами субсчетов. IRA Financial Trust принадлежит мастер-ключ, который может обойти все протоколы безопасности. Gemini скрыла эту информацию в феврале и значительно приуменьшила проблемы с защитой платформы.
В судебном заседании также выяснилось, что биржа даже не смогла обнаружить нарушение в системе безопасности. IRA Financial Trust потребовалось более 2 часов и несколько электронных писем, чтобы заставить Gemini заблокировать счета.
Сложности возникли и с возмещением ущерба пользователям. Многим из них пришлось нанимать адвокатов, чтобы вернуть деньги.
Cashio — $52 млн
Поставщик стабильных монет CASH, функционирующий на блокчейне Solana, стал жертвой хакеров в марте. Злоумышленники использовали уязвимость в механизме выпуска стейблеоинов, чтобы вывести из протокола криптовалюту на сумму более $52 млн. После взлома цена токенов CASH упала до $0,00005.
Для выпуска стейблкоинов, пользователю требовалось внести залог на счет компании. Обеспечение проходило ряд проверок прежде, чем быть принятым. После взлома пользователь Twitter под ником samszun провел собственное расследование. Выяснилось, что протокол Cashio никогда не проверял функцию mint.
Это значит, что злоумышленник мог подделать учетную запись, внести депозит, а затем создать цепочку поддельных аккаунтов и вывести более $52 млн. После этого проект был практически мертв, поскольку его стабильная монета попала в смертельную спираль, аналогично Terra UST.
Qubit QBridge — $80 млн
Qubit Finance — один из самых новых DeFi-протоколов, подвергшихся нападению хакеров. Злоумышленники взломали протокол в январе. Адрес, связанный с атакой, вывел в общей сложности 206 809 монет BNB, которые на тот период оценивались в $80 млн.
По данным агентства по кибербезопасности CertiK, злоумышленник воспользовался опцией внесения депозита в QBridge, чтобы незаконно отчеканить 77 162 qXETH. Ему это удалось, поскольку межсетевые мосты технически не являются таковыми. Большинство сервисов блокируют (сжигают) актив в одной цепочке и выпускают его эквивалент в другой. Исходная криптовалюта никогда не выходит из блокчейна. Мошенник смог создать qXETH без необходимости блокировать Ethereum.
Fei Protocol — $80 млн
В апреле эмитент стабильной монеты для DeFi обнаружил, что несколько его смарт-контрактов были незаконно использованы на общую сумму $80 млн. Fei Protocol использует механизм сжигания монет, чтобы привязать стейблкоин FEI к цене доллара по аналогии с LUNA и UST. Terra потеряла в общей сложности $18 млрд, что отразилось тяжелыми последствиями для всего крипторынка. По сравнению с этим, ущерб Fei Protocol, сколь бы ни был высок, кажется детской забавой.
Тем не менее проект подвергает себя риску из-за разветвления кодовой базы другой DeFi-платформы Compound. В головном блокчейне было обнаружено большое количество уязвимостей, включая проблемы с повторным входом. Многие из этих проблем были устранены в последующих обновлениях. Но некоторые уязвимости остались. Тот факт, что Fei не провел аудит безопасности своего форка вызывает сожаление, поскольку тогда проблема, наверняка, была бы выявлена и устранена.
Взлом произошел так:
- Злоумышленник спрогнозировал ситуацию, когда курс FEI опустится ниже привязки, и купил токен, увеличив цену выше обеспечения. В награду он получил некоторое количество актива.
- Мошенник вернул FEI в пул Uniswap, выполнив перевод (не обмен) токенов. Таким образом он избежал штрафа за сжигание.
- Злоумышленник обменял FEI на WETH не уничтожив ни одного токена.
Harmony Horizon Bridge — $100 млн
Очередной взлом кроссплатформенного моста произошел в июне 2022 года. Добычей хакеров стали $100 млн. Подобно другим кроссплатформенным решениям, Harmony Horizon Bridge проверяет транзакции, передаваемые через мост. Снова под отправкой мы подразумеваем уничтожение криптовалюты на одной стороне и чеканку токенов на другой.
Для подтверждения транзакций Harmony Horizon Bridge использует схему с несколькими подписями и 5 валидаторами. Однако для сокращения времени операции, вероятно, задействованы только 2 из 5 проверяющих. Это значит, что только 2 учетных записи должны быть скомпрометированы, чтобы злоумышленники могли одобрить любые вредоносные транзакции. Атака стала возможной потому, что были украдены 2 секретных ключа, принадлежащих валидаторам.
Позже компания утверждала, что взлом совершила группа хакеров Lazarus, связанная с Северной Кореей. Harmony Horizon также объявила, что начала официальный розыск преступников. Однако, если злоумышленники действительно находятся в Северной Корее, найти их мало шансов.
Beanstalk — $182 млн
В апреле неизвестный хакер взломал DeFi-проект, в котором пользователи зарабатывают криптовалюту, делая ставки. Злоумышленник воспользовался протоколом децентрализованного управления Beanstalk и флеш-кредитом AAVE, чтобы получить большинство голосов (79%) и провести 2 мошеннические сделки.
По условиям проекта, для принятия предложения достаточно одобрения подавляющего большинства участников (⅔). Хакер выдвинул 2 инициативы:
- Отправить криптовалюту на свой кошелек (#18).
- Перевести деньги на адрес для пожертвований в Украине (#19).
Nomad Bridge — $190 млн
В августе пострадал еще один кроссплатформенный мост, который объединял цепочки Ethereum, Avalanche и Cardano. Взлом Nomad Bridge ознаменовал первую в истории децентрализованных финансов массовую кражу криптовалют. В результате беспрецедентной атаки проект потерял более $190 млн в различных криптовалютах.
Взлом кроссплатформенного моста изначально совершил один злоумышленник. Однако скоро клиенты платформы обнаружили уязвимость, которую нашел хакер, и использовали ее, просто нажимая комбинацию клавиш Ctrl + С, Ctrl + V.
Эксплойт стал возможен из-за ошибки в смарт-контрактах Nomad — Replica.sol. Примечательно, что компания обнаружила уязвимость во время аудита безопасности, но так и не исправила ее. Об этом говорит отчет, размещенный в репозитарии Nomad GitHub.
Проблема возникает в функции process() внутри файла Replica.sol, в строке 192:
require(acceptableRoot(messages[_messageHash]), «!proven»);
В самом коде нет ничего плохого. Обычно она гарантирует, что запрос исходит от того, что смарт-контракт считает приемлемым корнем. requite () — это встроенная функция Solidity, которая контролирует, чтобы только авторизованные адреса могли выполнять действия с этим конкретным смарт-контрактом.
Однако команда ошибочно добавила 0x00 в качестве приемлемого корня. Это значит, что любой пользователь может успешно вызывать различные функции контракта. В результате счет протокола быстро истощился со $190 млн до $700. Некоторые клиенты вернули деньги. Эти пользователи заявили, что вывели средства, чтобы предотвратить потенциальную кражу.
Wormhole — $325 млн
Проект, ныне известный как Portal, представляет собой кроссцепное решение Solana-Ethereum. Подобно другим мостам, ранее рассмотренным в статье, Wormhole использует механизм блокировки токенов на одной платформе для выпуска эквивалента на другой. Единственная уязвимость кроссплатформенных решений, которая, похоже, регулярно используется хакерами — получение подтверждения от сети, даже если токены никуда не передавались.
Это случилось и с Wormhole. В феврале злоумышленник подделал оригинальную подпись, чтобы создать 120 тыс. wETH. Это стало возможным из-за того, что Wormhole неправильно проверял транзакции. По сути, каждый фрагмент кода в смарт-контракте Solana, который отвечал за создание wETH, не тестировал должным образом подлинность ключей. Хакер использовал это. чтобы вывести из проекта более $325 млн.
Axie Infinity Ronin Bridge — $625 млн
Самым громким взломом 2022 года стала атака на кроссплатформенный мост (снова) популярного проекта. В марте Axie Infinity потеряла $625 млн.
По словам разработчиков, злоумышленники получили доступ к 5 закрытым ключам, которые принадлежали валидаторам. В руководстве Axie Infinity Ronin Bridge указано, что для подтверждения транзакции требуются решения 5 узлов. В то время цепочка Ronin состояла из 9 нод. Хакеру удалось получить доступ к 4, а также к стороннему валидатору, управляемому Axie DAO.
По данным правительства США, злоумышленники были связаны с северокорейской хакерской группой Lazarus. Мошенники выдавали себя за криптокомпанию, которая нанимает штат. Хакеры пригласили нескольких сотрудников Axie на собеседование, предложив им выгодные условия работы и высокий оклад. Предположительно, злоумышленники спрятали вредоносный код внутри PDF-файлов рабочей спецификации, которые попали в систему Ronin и извлекли секретные ключи.
Какой бы гениальной ни была атака, то, что последовало было еще более сюрреалистичным. Злоумышленники ожидали, что Axie Infinity и Ronin рухнут, как только начнут появляться новости о взломе. Однако атака оставалась незамеченной в течение недели.
Сам взлом оказался настолько разрушительным, что сеть Ronin пришлось отключить для перезапуска через 3 месяца. Компания также обещала возместить ущерб пользователям.
