Топ-10 крупнейших хакерских атак в 2022 году. Часть 1
За прошедшие 8 месяцев злоумышленники похитили более $2 млрд. в криптовалюте. Сумма ущерба — на 60% больше, чем за весь 2021 год. При этом несколько крупных взломов произошли в периоды очередных рыночных катаклизмов, когда цены монет упали примерно наполовину. Поэтому потенциальный ущерб еще более значителен. В этой статье рассмотрим крупнейшие хакерские атаки 2022 года и попробуем разобраться, почему они произошли.
Crypto.com — $35 млн
Международная биржа стала жертвой хакеров в январе 2022 года. Злоумышленники смогли обойти систему 2FA и вывести с кошельков пользователей более $35 млн в криптовалюте.
По данным Crypto.com, в общей сложности было затронуто 483 клиентских аккаунта. Ущерб от этой атаки мог быть намного крупнее. Представители биржи заявили, что предотвратили большую часть несанкционированных выводов.
Стоит отметить, что Crypto.com требует, чтобы все пользователи подтверждали снятие средств с помощью 2FA. Однако это не помешало хакерам украсть депозиты. В Crypto.com не стали объяснять, как такое могло произойти. Клиентам возместили убытки, а биржа пообещала усилить меры безопасности.
В частности, сервис планирует отказаться от 2FA и внедрить вместо этого многофакторную аутентификацию. Также биржа увеличит время ожидания при выводе монет на новые адреса до 24 часов.
IRA Financial Trust — $37 млн
Платформа, управляющая криптовалютными активами пенсионных фондов, подверглась атаке хакеров в феврале 2022 года. Злоумышленники вывели со счетов клиентов более $37 млн. IRA Financial Trust начала расследование инцидента и подала в суд на торгового партнера — Gemini.
Выяснилось, что во время атаки некто позвонил в службу 911, чтобы вызвать полицию в офисы компании. Это отвлекло внимание сотрудников. Однако партнеры продолжали обвинять друг друга во взломе.
Через несколько месяцев после инцидента начался судебный процесс между IRA Financial Trust и Gemini. В ходе разбирательств стало известно, что биржа назначила учетную запись фонда основной, а клиенты являются владельцами субсчетов. IRA Financial Trust принадлежит мастер-ключ, который может обойти все протоколы безопасности. Gemini скрыла эту информацию в феврале и значительно приуменьшила проблемы с защитой платформы.
В судебном заседании также выяснилось, что биржа даже не смогла обнаружить нарушение в системе безопасности. IRA Financial Trust потребовалось более 2 часов и несколько электронных писем, чтобы заставить Gemini заблокировать счета.
Сложности возникли и с возмещением ущерба пользователям. Многим из них пришлось нанимать адвокатов, чтобы вернуть деньги.
Cashio — $52 млн
Поставщик стабильных монет CASH, функционирующий на блокчейне Solana, стал жертвой хакеров в марте. Злоумышленники использовали уязвимость в механизме выпуска стейблеоинов, чтобы вывести из протокола криптовалюту на сумму более $52 млн. После взлома цена токенов CASH упала до $0,00005.
Для выпуска стейблкоинов, пользователю требовалось внести залог на счет компании. Обеспечение проходило ряд проверок прежде, чем быть принятым. После взлома пользователь Twitter под ником samszun провел собственное расследование. Выяснилось, что протокол Cashio никогда не проверял функцию mint.
Это значит, что злоумышленник мог подделать учетную запись, внести депозит, а затем создать цепочку поддельных аккаунтов и вывести более $52 млн. После этого проект был практически мертв, поскольку его стабильная монета попала в смертельную спираль, аналогично Terra UST.
Qubit QBridge — $80 млн
Qubit Finance — один из самых новых DeFi-протоколов, подвергшихся нападению хакеров. Злоумышленники взломали протокол в январе. Адрес, связанный с атакой, вывел в общей сложности 206 809 монет BNB, которые на тот период оценивались в $80 млн.
По данным агентства по кибербезопасности CertiK, злоумышленник воспользовался опцией внесения депозита в QBridge, чтобы незаконно отчеканить 77 162 qXETH. Ему это удалось, поскольку межсетевые мосты технически не являются таковыми. Большинство сервисов блокируют (сжигают) актив в одной цепочке и выпускают его эквивалент в другой. Исходная криптовалюта никогда не выходит из блокчейна. Мошенник смог создать qXETH без необходимости блокировать Ethereum.
Fei Protocol — $80 млн
В апреле эмитент стабильной монеты для DeFi обнаружил, что несколько его смарт-контрактов были незаконно использованы на общую сумму $80 млн. Fei Protocol использует механизм сжигания монет, чтобы привязать стейблкоин FEI к цене доллара по аналогии с LUNA и UST. Terra потеряла в общей сложности $18 млрд, что отразилось тяжелыми последствиями для всего крипторынка. По сравнению с этим, ущерб Fei Protocol, сколь бы ни был высок, кажется детской забавой.
Тем не менее проект подвергает себя риску из-за разветвления кодовой базы другой DeFi-платформы Compound. В головном блокчейне было обнаружено большое количество уязвимостей, включая проблемы с повторным входом. Многие из этих проблем были устранены в последующих обновлениях. Но некоторые уязвимости остались. Тот факт, что Fei не провел аудит безопасности своего форка вызывает сожаление, поскольку тогда проблема, наверняка, была бы выявлена и устранена.
Взлом произошел так:
- Злоумышленник спрогнозировал ситуацию, когда курс FEI опустится ниже привязки, и купил токен, увеличив цену выше обеспечения. В награду он получил некоторое количество актива.
- Мошенник вернул FEI в пул Uniswap, выполнив перевод (не обмен) токенов. Таким образом он избежал штрафа за сжигание.
- Злоумышленник обменял FEI на WETH не уничтожив ни одного токена.
В следующей статье я расскажу о других криптовалютных взломах, которые стали крупнейшими в 2022 году. Проекты из первой пятерки по ущербу потеряли сотни миллионов долларов из-за уязвимостей или банальной невнимательности.