Самые громкие хакерские атаки в 2022 году

09.01.2023 | auglovoi

Криптовалюты созданы и развиваются благодаря уникальным интернет-технологиям. Блокчейн, смарт-контракты, кроссчейн-мосты, DeFi-приложения, — все они несут новые во многом еще недооцененные возможности в индустрии. И, закономерно, там где финансы строятся на технологиях, существуют те, кто стремиться найти уязвимости в системе для получения собственной прибыли.

Согласно заявлению компании по безопасности криптосистем PeckShield, основной мишенью киберпреступников в прошедшем году стали кроссчейн-мосты, соединяющие разные блокчейны для отправки транзакций. Всего за 2022 год было украдено порядка $3,37 млрд. В совокупности это в 2,17 раза больше чем в 2021 году (украдено $1,55 млрд), и в 13,48 раз больше чем в 2020 году (украдено $0,25 млрд). Рост этих значений связан и с ростом общей капитализации рынка криптовалют, с появлением множества новых криптопроектов, подчас имеющих еще слабый уровень защиты от действий злоумышленников. Сегодня разберем самые крупные хакерские атаки прошедшего года, приведшие к наибольшим потерям в экосистемах блокчейн.

Топ самых масштабных хакерских атак 2022 года

Wormhole

Wormhole — криптоплатформа, предоставляющая своим клиентам услуги безопасного обмена токенами между сетями разных блокчейнов. Такие платформы используют кроссчейн-протокол, блокирующий токены в своем смарт-контракте и создающий обернутую версию монеты в сети другого блокчейна.

3 февраля 2022 года в интернете появились новости о взломе блокчейн-платформы Wormhole и краже с нее $326 млн. Сообщалось, что хакер воспользовался уязвимостью в сети, связанной с верификацией данных учетных записей и цифровых подписей. Ему удалось создать и вывести 120 000 обернутых ETH, за которые в смарт-контракт Wormhole не было отправлено эквивалентного обеспечения.

После взлома разработчики платформы обратились к злоумышленнику с предложением вернуть украденные средства за вознаграждение в $10 млн. Сообщение было отправлено на адрес криптовалютного кошелька, на который хакер вывел $326 млн, однако ответа на него не последовало.

Компания Wormhole смогла в кратчайшие сроки восстановить работу моста и погасить убытки, не использовав клиентские средства. Они сумели создать обеспечение похищенных обернутых ETH, которые злоумышленник блокировал в блокчейне Solana. По данным CoinDesk, необходимое финансирование для восстановления счетов предоставила торговая фирма Jump Trading.

Ronin Network и Axie Infinity (AXS)

Axie Infinity (AXS) — популярная блокчейн-игра, использующая NFT и токены сети Ethereum во внутриигровой экономике. Ronin — сайдчейн сети Ethereum и кроссчейн-мост (Ronin Bridge), созданный для повышения масштабируемости Ethereum при использовании ETH внутри игры Axie Infinity.

23 марта 2022 года был взломан кроссчейн-мост Ronin, в результате чего хакерам удалось вывести рекордные $620 млн. Эта кража стала крупнейшей за всю историю существования криптовалют. Злоумышленниками двумя разными транзакциями были похищены 25,5 млн USDC и 17З 600 ETH. Разработчики проекта сообщили, что хакеры смогли получить доступ к управлению 5 из 9 узлов валидации, что позволило подделать подпись на вывод средств с моста Ronin. 4 из 5 подписей принадлежали Sky Mavis Ronin, а пятая - Axie DAO, у которой разработчики на тот момент еще не успели отозвать ключи валидации.

Несмотря на огромный размер похищенной суммы, управление Ronin Network узнало о краже только через неделю 30 марта, когда один из пользователь обратился с проблемой при выводе средств на 5000 ETH. В результате атаки курс нативного токена RON платформы обвалился с $2,3 в марте до $0,2 к началу июля. Курс AXS, токена платформы Axie Infinity также потерял в цене и с 30 марта по 1 июля снизился с $64,3 до 14,6$.

Результатом взлома стала полная модернизация система подтверждения транзакций. В частности был внедрен механизм автоматической блокировки вывода средств подозрительно крупного размера, а также установлен суточный лимит вывода в $50 млн. Сразу же после атаки число валидаторов для подтверждения транзакции увеличили до 8 из 9 существующих, в дальнейшем предполагалось добавление новых валидаторов до общего количества в 21 независимых нод.

Впоследствие стало известо, что за атаку ответствена северокорейская группа хакеров Lazarus. В начале сентября американское ФБР и компания Chainalysis совместно смогли изъять у злоумышленников похищенные активы на сумму в $30 млн. С 28 июня 2022 года сеть Ronin была перезапущена, а средства частично компенсированы самой компанией, которая дополнительно привлекла для этого инвестиции в $150 млн.

Beanstalk

Beanstalk — децентрализованный протокол, предлагающий пользователям услуги кредитования в стейблкоинах BEAN. 17 апреля 2022 года компания PeckShield, специализирующаяся в сфере безопасности блокчейн, объявила о совершенном хакерском взломе в сети Beanstalk. Всего за время атаки платформа потеряла $182 млн, $80 млн из которых выведены хакером в виде 24 830 ETH. Для отмывания полученных средств токены были отправлены в крипто-анонимайзер Tornado Cash. Сообщалось также, что $250 000 злоумышленником было перечислено на кошелек пожертвований Украине.

Отмывание необходимо хакерам для того, чтобы предотвратить блокирование средств банками при их обналичивании, а также для обеспечения анонимности, на случай, если правоохранительные органы прибегнут к отслеживанию блокчейн-адресов.

Хакером была проведена так называемая “атака мгновенного кредита”. Услуга мгновенного кредита позволяет взять крупную сумму для использования ее в одной транзакции, чаще всего в арбитражной торговле. Полученными средствами злоумышленник воспользовался для получения токенов управления Stalk. Они позволили ему взять под контроль ⅔ голосов и инициировать “улучшение” протокола в версии BIP18, что дало хакеру доступ к управлению активами резервов Beanstalk.

После получения информации о взломе разработчики платформы раскрыли свои имена и заявили о непричастности к краже, подчеркнув, что их средства также пострадали. Помимо этого, они связались с американским ФБР для начала инициации расследования произошедшего. 6 августа 2022 года разработчики перезапустили проект.

Nomad Bridge

Nomad Bridge — это межсетевой протокол, кроссчейн-мост, позволяющий переводить токены между сетями Evmos, Avalanche, Milkomedia C1, Ethereum и Moonbeam. Его особенностью является отсутствие комиссионных сборов, за исключением платы за газ. Алгоритм Connext обеспечивает создание пулов ликвидности для активов, что позволяет значительно быстрее переводить через мост большие объемы токенов.

1 августа 2022 года появились первые сообщения о взломе. Первоначально хакер воспользовался уязвимостью в системе, которая сформировалась в результате последнего обновления моста. Неверная конфигурация главного смарт-контракта позволяла подтвердить самостоятельно любую транзакцию.

Данная атака на кроссчейн-мост считается уникальной по числу хакеров, причастных к краже средств. Первым злоумышленником было выведено всего $2,3 млн, чуть позже об уязвимости узнали и другие, после чего началось опустошение резервов Nomad. В результате около 300 хакеров в разное время создали транзакции на общую сумму в $190,7 млн. Последний вывод привел к исчерпанию резервов Nomad, на которых на конец атаки осталось всего $651.

По истечение нескольких дней команда платформы инициировала программу вознаграждений для хакеров, участвовавших во взломе. Было предложено вернуть 90% похищенных средств, за что те смогут оставить себе 10% в качестве награды. Также компанией утверждалось, что каждому вернувшему деньги будет присвоен статус “белой шляпы”.

Белой шляпой называют хакеров, которые не нарушают закон и используют свои навыки для помощи крупным корпорациям в обеспечении безопасности и защите компьютерных систем от взломов.

В результате обращения всего было возвращено $36,05 млн, 31 участников атаки вернули все средства полностью и заявили, что не преследовали личные интересы при взломе.

Wintermute

Wintermute — DeFi-маркетмейкер, специализирующийся на предоставлении ликвидности популярным криптоплатформам, в числе которых присутствует более 50 бирж, таких как Binance, Uniswap, Kraken, Coinbase.

О взломе Wintermute стало известно 20 сентября 2022. Представителями платформы было заявлено, что злоумышленнику удалось вывести $163 млн в более чем 90 разных альткоинах. Доступ к управлению токенами им был получен благодаря известной ранее но не устраненной уязвимости в системе безопасности Wintermute. Этот взлом стал вторым для Wintermute в 2022 году, - ранее в июне платформа потеряла около $17 млн в токенах Optimism (OP) из-за внутренней ошибки смарт-контракта, принимавшего транзакции.

Вскоре после раскрытия информации криптосыщик под ником @ZachXBT опубликовал твит с указанием адреса злоумышленника. При этом только $47,9 хранились на криптокошельке, остальные $114,4 млн оказались заблокированными на DEX-платформе Curve Finance.

Руководство биржи сделало попытку выйти на переговоры с хакерами. Евгений Гаевой, руководитель Wintermute, в своем Twitter-аккаунте заявил, что они готовы признать хакера “белой шляпой” и предоставить ему вознаграждение в размере 10% от украденной суммы в обмен на возврат оставшихся 90%.

Взлом Wintermute стал одним из самых загадочных в 2022 году. В первую очередь пользователями неоднозначно воспринималось, что руководство маркетмейкера не стало публиковать информацию о том, было ли начато расследование хищения и как именно злоумышленник смог получить доступ к управлению токенами. Сама платформа относительно легко перенесла потерю почти $200 млн, а по истечение некоторого времени руководство даже смогло выплатить взятый ранее кредит на $92 млн.

Помимо этого, в конце сентября программист Джеймс Эдвардс заявил, что подозревает в хищении самих разработчиков платформы. По его словам, такую атаку можно было совершить только имея доступ к внутренней информации компании.

FTX («Futures Exchange»)

FTX на начало ноября — крупнейшая криптовалютная биржа, ежедневный объем переводимых средств на которой достигал миллиардов долларов. 8 ноября в сети стала появляться информация о ненадежности биржи, заключающейся в отсутствии необходимого обеспечения на случай вывода пользователями крупных сумм. После того, как основатель Binance Чанпэн Чжао заявил о возврате инвестиций в FTX, начался массовый отток средств, который привел к банкротству биржи 11 ноября.

12 ноября, вскоре после раскрытия информации о кризисе ликвидности, официальным представителем FTX было сделано заявление о подозрительных транзакциях выводов с биржи. В этот же день в официальном канале Telegram появилось сообщение, что часть средств биржи похищена хакерами, а приложения могут быть заражены троянскими программами. При этом многие пользователи проследили обнуление собственных счетов.

Всего в результате атаки злоумышленниками было похищено $383 млн, из них 25% в биткоинах, а 68% в токенах Ethereum. Также компания Tether заморозила $46 млн токенов USDT, находящихся ранее на счетах биржи. 28 ноября стало известно, что Министерство юстиции США инициировало собственное расследование хакерского взлома, независимое от расследований SEC и CFTC по делу Сэма Бэнкмана-Фрида (основателя FTX) и банкротства криптобиржи.

Кто именно вывел $383 млн со счетов FTX до сих пор остается неизвестным. Среди версий популярными являются следующие. Часть пользователей биржи склоняются к мысли, что основатели платформы сами инициировали взлом, для вывода остающихся на балансе токенов. Другая версия — что взломщиком стал один из разработчиков FTX Самюэль Хайд, который ранее обвинялся в попытках хищения средств с счетов пользователей биржи.