Crypto: Πάνω από 3 δισ. “έκαναν φτερά” το 2022

Το 2022 ήταν μια χρονιά δύσκολη για την αγορά των crypto. Όπως αποδείχθηκε, η κατρακύλα των τιμών ή οι πτωχεύσεις εταιρειών φαίνεται πως δεν ήταν το χειρότερο πρόβλημα για τα ψηφιακά περιουσιακά στοιχεία.

Εκτός από τα δισεκατομμύρια δολάρια που χάθηκαν από την κατάρρευση του Terra της Luna και την καταστροφική χρονιά για τις εταιρείες Celsius, Voyager Digital και FTX, πάνω από 3 δισ. δολάρια “έκαναν φτερά” σε 125 κυβερνοεπιθέσεις, σύμφωνα με την Chainalysis.

Το 2022, οι πέντε μεγαλύτερες κλοπές στην αγορά κρυπτονομισμάτων απέφερε λεία 1,48 δισ. δολαρίων. Αν και τα πρωτόκολλα DeFi περηφανεύονται για τη διαφάνειά τους, εντούτοις έχασαν το 75% των ψηφιακών νομισμάτων που “κλειδώθηκαν” τους τελευταίους 11 μήνες, σύμφωνα με την εταιρεία ανάλυσης blockchain Elliptic.

Οι “γέφυρες blockchain” ήταν ο κύριος στόχος των δραστών, αφού έχουν μερίδιο 70% στις απώλειες του 2022, με περίπου 2 δισ. δολάρια να χάνονται από πρωτόκολλα DeFi, σύμφωνα με την Elliptic. Οι “γέφυρες blockchain” έγιναν δημοφιλείς, αφού δίνουν τη δυνατότητα στους χρήστες να μεταφέρουν tokens από ένα blockchain σε άλλο. Για να γίνει η μεταφορά, οι “γέφυρες blockchain” κρατούν προσωρινά την αξία της συναλλαγής σε κάθε ένα από τα token που εμπλέκονται στη διαδικασία, γεγονός που τις καθιστά δελεαστικές για τους χάκερ.

“Εκ των υστέρων, υπήρξαν πολλές περικοπές για λόγους προστασίας”, σχολίασε ο Sam Williams, CEO της εταιρείας ασφάλειας blockchain Arweave.

Τα κλειδιά σε ψηφιακά πορτοφόλια πολλαπλών υπογραφών, επισήμανε ο Williams, ήταν ένα άλλο τρωτό σημείο στο οικοσύστημα των κρυπτονομισμάτων. Τα πορτοφόλια πολλαπλών υπογραφών κατανέμουν τη λήψη αποφάσεων σε διάφορα μέρη, καθιστώντας δυσκολότερη την παραβίαση ενός κλειδιού. Ωστόσο, σε αρκετές περιπτώσεις, όπως στο blockchain Ronin και στη “γέφυρα” Harmony, οι χάκερ κατάφεραν να “σπάσουν” ιδιωτικά κλειδιά που κατείχαν μεμονωμένα μέρη, αποκτώντας πρόσβαση στα πρωτόκολλα των “γεφυρών”.

Ας δούμε τις μεγαλύτερες κλοπές της χρονιάς που πέρασε:

Ronin Network: $625 εκατ.
Στη μεγαλύτερη ληστεία της χρονιάς, πάνω από μισό δισεκατομμύριο δολάρια σε ethereum και USDC (το stablecoin η αξία του οποίου κινείται με βάση το αμερικανικό δολάριο) κλάπηκαν από το Ronin Network, το blockchain που υποστηρίζει το βιντεοπαιχνίδι Axie Infinity. Σύμφωνα με την εταιρεία, οι δράστες κατάφεραν να παραβιάσουν τους servers που επεξεργάζονταν τις συναλλαγές του δικτύου. Η δραστηριότητα πέρασε απαρατήρητη μέχρι που ένας χρήστης δεν μπόρεσε να αποσύρει χρήματα και υπέβαλε αναφορά. Το Υπουργείο Οικονομικών των ΗΠΑ συνέδεσε αργότερα τη ληστεία με την ομάδα χάκερ Lazarus Group που φέρεται να υποστηρίζεται από τη Βόρεια Κορέα.

Wormhole Network: 325 εκατ. δολάρια
Στις 2 Φεβρουαρίου, ένας χάκερ εκμεταλλεύτηκε ένα τρωτό σημείο στο Wormhole Network, ένα πρωτόκολλο “γέφυρας” που επιτρέπει στους χρήστες να διακινούν κρυπτονομίσματα και NFTs μεταξύ πολλαπλών ζευγών blockchains. Σύμφωνα με την Chainalysis, ο δράστης φαίνεται να βρήκε ένα σφάλμα στον κώδικα του Wormhole που του επέτρεψε να δημιουργήσει 120.000 wETH – ένα ισοδύναμο του ether στο blockchain Solana, αξίας περίπου 325 εκατ. δολαρίων κατά τον επίμαχο χρόνο της κλοπής. Η εταιρεία δεν έδωσε λύτρα στους χάκερ και στη συνέχεια η μητρική Jump Crypto αναπλήρωσε τα κλεμμένα κεφάλαια.

Nomad: 190 εκατ. δολάρια
Ένας χάκερ εκμεταλλεύτηκε μια αδυναμία στον κώδικα της Nomad την 1η Αυγούστου, δημιουργώντας ένα μήνυμα που ξεγέλασε το πρωτόκολλο cross-chain ώστε να στείλει tokens χωρίς την κατάλληλη εξουσιοδότηση. Το σφάλμα ήταν τόσο απλό που δεν απαιτούσε καν δεξιότητες προγραμματισμού για να το εκμεταλλευθεί κάποιος. Σύντομα, δεκάδες “αντιγραφείς” έπαιρναν μέρος στη ληστεία. Η Nomad κατάφερε να ανακτήσει πάνω από 20 εκατ. δολάρια αφού παρακάλεσε τους χρήστες να επιστρέψουν τα χρήματα.

Beanstalk Farms: 182 εκατ. δολάρια
Τον Απρίλιο, ένας χάκερ κατάφερε να αποσπάσει κρυπτονομίσματα αξίας άνω των 150 εκατ. δολαρίων από την Beanstalk Farms, ένα project stable coin με βάση το Ethereum. Σύμφωνα με την εταιρεία ασφάλειας blockchain CertiK, ο επιτιθέμενος χρησιμοποίησε ένα δάνειο flash -το οποίο επιτρέπει στους χρήστες να δανείζονται μεγάλα ποσά κρυπτονομισμάτων για πολύ σύντομες χρονικές περιόδους- που αποκτήθηκε μέσω του αποκεντρωμένου πρωτοκόλλου Aave για να δανειστεί κρυπτονομίσματα αξίας σχεδόν 1 δισ. δολαρίων και τα αντάλλαξε για να αποκτήσει μερίδιο 67% στην Beanstalk. Με το πλειοψηφικό πακέτο στην κατοχή του, ο χάκερ κατάφερε να μεταφέρει τα tokens της Beanstalk στο δικό του ψηφιακό πορτοφόλι. Χρησιμοποιώντας το δάνειο flash της Aave, η όλη διαδικασία πραγματοποιήθηκε σε λιγότερο από 13 δευτερόλεπτα.

Wintermute: 160 εκατ. δολάρια
Ο market maker κρυπτονομισμάτων με έδρα το Λονδίνο έχασε 160 εκατ. δολάρια σε μια κυβερνοεπίθεση που πραγματοποιήθηκε στις 20 Σεπτεμβρίου. Ο ιδρυτής και CEO Evgeny Gaevoy δήλωσε ότι η επίθεση πιθανότατα προήλθε από μια υπηρεσία που είχε χρησιμοποιήσει η Wintermute με την ονομασία Profanity, η οποία δημιουργεί “vanity addresses” για λογαριασμούς ψηφιακών περιουσιακών στοιχείων. Αυτοί οι λογαριασμοί συναλλαγών αποτελούσαν μέρος της δραστηριότητας DeFi της Wintermute, με την οποία πραγματοποιεί γρήγορες συναλλαγές σε αποκεντρωμένα ανταλλακτήρια όπως το Uniswap και το SushiSwap. Φαίνεται ότι οι χάκερς ήταν σε θέση να χρησιμοποιήσουν brute-force computing για να δημιουργήσουν όλους τους πιθανούς κωδικούς πρόσβασης σε μια “vanity address” της εταιρείας.

Mango Markets: 112 εκατ. δολάρια
Ο Avraham Eisenberg συμπίεσε τη ρευστότητα του ανταλλακτηρίου Mango Markets στα μέσα Οκτωβρίου, αποσπώντας token αξίας 112 εκατ. δολαρίων και αναγκάζοντας την εταιρεία να χρησιμοποιήσει τα περιουσιακά στοιχεία στο ταμείο της για τη χρηματοδότηση επισφαλών χρεών που ανέλαβε για τη διάσωση ενός επενδυτή εντός του 2022. Η κλοπή έγινε μέσα από δύο λογαριασμούς με USDC που διατηρούσε ο Eisenberg στην πλατφόρμα, σύμφωνα με την Mango. Ο Eisenberg άνοιξε long shorts σε συμβόλαια μελλοντικής εκπλήρωσης επί του νομίσματος πουλώντας από τον ένα λογαριασμό και αγοράζοντας στον άλλον χειραγωγώντας την τιμή του token. Καθώς η τιμή δεκαπλασιάστηκε σε άλλα αποκεντρωμένα ανταλλακτήρια, ο Eisenberg συγκέντρωσε περίπου 420 εκατ. δολάρια σε μη πραγματοποιημένα κέρδη και έπειτα προχώρησε σε ανάληψη άνω των 116 εκατ. δολαρίων από όλα τα κρυπτονομίσματα που ήταν διαθέσιμα στο Mango, αποσύροντας ουσιαστικά όλα τα κεφάλαια που ήταν κατατεθειμένα στο πρωτόκολλο της αποκεντρωμένης οικονομίας.

BNB Smart Chain: 110 εκατ. δολάρια
Χάκερ κατάφεραν να αποσπάσουν περίπου 110 εκατ. δολάρια από το BSC Token Hub της Binance στις 6 Οκτωβρίου. Η γέφυρα cross-chain μεταξύ δύο blockchain που συνδέονται με την Binance -το BNB Smart Chain (BSC) και το BNB Beacon Chain- έγινε αντικείμενο εκμετάλλευσης μετά από προγραμματισμένο update. Σύμφωνα με τους αναλυτές και τα δεδομένα του blockchain, οι χάκερ εκμεταλλεύτηκαν ένα σφάλμα στις επαληθεύσεις της γέφυρας που τους επέτρεψε να πλαστογραφήσουν τα μηνύματα έγκρισης και να καταθέσουν τα χρήματα στον λογαριασμό τους. Κατάφεραν να κόψουν 2 δισ. tokens BNB, επιχειρώντας να αποσπάσουν από τη “γέφυρα” 560 εκατ. δολάρια, αλλά τελικά οι χάκερ κατάφεραν να κλέψουν 110 εκατ. δολάρια.

“Γέφυρα” Harmony Horizon: 100 εκατ. δολάρια
Η βασική γέφυρα της Harmony μεταξύ των blockchain των Ethereum και Binance παραβιάστηκε τον Ιούνιο, με τους χάκερ να αφαιρούν κρυπτονομίσματα αξίας 100 εκατ. δολαρίων. Παρόλο που το πρωτόκολλο δεν αποκάλυψε τον τρόπο με τον οποίο αποσπάστηκαν τα κεφάλαια, η κυβερνοεπίθεση φαίνεται πως “χτύπησε” μια σειρά από 14 συναλλαγές. Πριν από την κυβερνοεπίθεση του Ιουνίου, οι υπεύθυνοι του blockchain ανησυχούσαν για τους μηχανισμούς ασφαλείας της “γέφυρας”, καθώς εκτιμούσαν πως το πορτοφόλι πολλαπλών υπογραφών ήταν ευάλωτο προς παραβίαση.