Топ-10 крупнейших хакерских атак в 2022 году. Часть 2

12.09.2022

5 мин

762

Даже в условиях криптозимы рынок цифровых валют развивается и по-прежнему интересен не только инвесторам, но и киберпреступникам. В прошлой статье мы рассмотрели 5 хаков из десятки крупнейших в 2022 году. Сегодня продолжим тему. Рассмотрим 5 самых крупных взломов на крипторынке за минувшие 8 месяцев.

Harmony Horizon Bridge — $100 млн
Beanstalk — $182 млн
Nomad Bridge — $190 млн
Wormhole — $325 млн
Axie Infinity Ronin Bridge — $625 млн

Harmony Horizon Bridge — $100 млн

Очередной взлом кроссплатформенного моста произошел в июне 2022 года. Добычей хакеров стали $100 млн. Подобно другим кроссплатформенным решениям, Harmony Horizon Bridge проверяет транзакции, передаваемые через мост. Снова под отправкой мы подразумеваем уничтожение криптовалюты на одной стороне и чеканку токенов на другой.

Для подтверждения транзакций Harmony Horizon Bridge использует схему с несколькими подписями и 5 валидаторами. Однако для сокращения времени операции, вероятно, задействованы только 2 из 5 проверяющих. Это значит, что только 2 учетных записи должны быть скомпрометированы, чтобы злоумышленники могли одобрить любые вредоносные транзакции. Атака стала возможной потому, что были украдены 2 секретных ключа, принадлежащих валидаторам.

Позже компания утверждала, что взлом совершила группа хакеров Lazarus, связанная с Северной Кореей. Harmony Horizon также объявила, что начала официальный розыск преступников. Однако, если злоумышленники действительно находятся в Северной Корее, найти их мало шансов.

Beanstalk — $182 млн

В апреле неизвестный хакер взломал DeFi-проект, в котором пользователи зарабатывают криптовалюту, делая ставки. Злоумышленник воспользовался протоколом децентрализованного управления Beanstalk и флеш-кредитом AAVE, чтобы получить большинство голосов (79%) и провести 2 мошеннические сделки.

По условиям проекта, для принятия предложения достаточно одобрения подавляющего большинства участников (⅔). Хакер выдвинул 2 инициативы:

Отправить криптовалюту на свой кошелек (#18).
Перевести деньги на адрес для пожертвований в Украине (#19).

Голосовать за предложения могут только держатели токенов BEAN. Чем большим количеством криптовалюты владеет участник, тем больший вес он имеет при выборе инициатив. Злоумышленник предоставил займ около $1 млрд через протокол кредитования AAVE, чтобы получить 79% голосов. Таким образом, хакер подтвердил собственные предложения. Общая сумма похищенных средств составила $182 млн.

Nomad Bridge — $190 млн

В августе пострадал еще один кроссплатформенный мост, который объединял цепочки Ethereum, Avalanche и Cardano. Взлом Nomad Bridge ознаменовал первую в истории децентрализованных финансов массовую кражу криптовалют. В результате беспрецедентной атаки проект потерял более $190 млн в различных криптовалютах.

Взлом кроссплатформенного моста изначально совершил один злоумышленник. Однако скоро клиенты платформы обнаружили уязвимость, которую нашел хакер, и использовали ее, просто нажимая комбинацию клавиш Ctrl + С, Ctrl + V.

Эксплойт стал возможен из-за ошибки в смарт-контрактах Nomad — Replica.sol. Примечательно, что компания обнаружила уязвимость во время аудита безопасности, но так и не исправила ее. Об этом говорит отчет, размещенный в репозитарии Nomad GitHub.

Проблема возникает в функции process() внутри файла Replica.sol, в строке 192:

require(acceptableRoot(messages[_messageHash]), «!proven»);

В самом коде нет ничего плохого. Обычно она гарантирует, что запрос исходит от того, что смарт-контракт считает приемлемым корнем. requite () — это встроенная функция Solidity, которая контролирует, чтобы только авторизованные адреса могли выполнять действия с этим конкретным смарт-контрактом.

Однако команда ошибочно добавила 0x00 в качестве приемлемого корня. Это значит, что любой пользователь может успешно вызывать различные функции контракта. В результате счет протокола быстро истощился со $190 млн до $700. Некоторые клиенты вернули деньги. Эти пользователи заявили, что вывели средства, чтобы предотвратить потенциальную кражу.

Wormhole — $325 млн

Проект, ныне известный как Portal, представляет собой кроссцепное решение Solana-Ethereum. Подобно другим мостам, ранее рассмотренным в статье, Wormhole использует механизм блокировки токенов на одной платформе для выпуска эквивалента на другой. Единственная уязвимость кроссплатформенных решений, которая, похоже, регулярно используется хакерами — получение подтверждения от сети, даже если токены никуда не передавались.

Это случилось и с Wormhole. В феврале злоумышленник подделал оригинальную подпись, чтобы создать 120 тыс. wETH. Это стало возможным из-за того, что Wormhole неправильно проверял транзакции. По сути, каждый фрагмент кода в смарт-контракте Solana, который отвечал за создание wETH, не тестировал должным образом подлинность ключей. Хакер использовал это. чтобы вывести из проекта более $325 млн.

Axie Infinity Ronin Bridge — $625 млн

Самым громким взломом 2022 года стала атака на кроссплатформенный мост (снова) популярного проекта. В марте Axie Infinity потеряла $625 млн.

По словам разработчиков, злоумышленники получили доступ к 5 закрытым ключам, которые принадлежали валидаторам. В руководстве Axie Infinity Ronin Bridge указано, что для подтверждения транзакции требуются решения 5 узлов. В то время цепочка Ronin состояла из 9 нод. Хакеру удалось получить доступ к 4, а также к стороннему валидатору, управляемому Axie DAO.

По данным правительства США, злоумышленники были связаны с северокорейской хакерской группой Lazarus. Мошенники выдавали себя за криптокомпанию, которая нанимает штат. Хакеры пригласили нескольких сотрудников Axie на собеседование, предложив им выгодные условия работы и высокий оклад. Предположительно, злоумышленники спрятали вредоносный код внутри PDF-файлов рабочей спецификации, которые попали в систему Ronin и извлекли секретные ключи.

Какой бы гениальной ни была атака, то, что последовало было еще более сюрреалистичным. Злоумышленники ожидали, что Axie Infinity и Ronin рухнут, как только начнут появляться новости о взломе. Однако атака оставалась незамеченной в течение недели.

Сам взлом оказался настолько разрушительным, что сеть Ronin пришлось отключить для перезапуска через 3 месяца. Компания также обещала возместить ущерб пользователям.