ru
Назад к списку

Темная сторона крипторынка: взломы и воровство в 2022 году

Безопасность

beincrypto.ru 17 Август 2022 09:24, UTC
  
Время прочтения: ~2 м

Рассказываем о том, сколько, как и у кого своровали киберзлоумышленники на крипторынке в 2022 году, и как обезопасить себя от мошенников

В последние несколько лет злоумышленники очень активно наживаются на крипторынке. Тех денег, которые перетекают к ним в карман, хватило бы на запуск 48 ракет до Марса.

По подсчетам аналитиков Chainalysis, с начала 2022 года злоумышленники обокрали криптопроекты примерно на $3 млрд. Для сравнения: за 2020 год мошенники похитили активы примерно на $1,5 млрд. В 2021 году этот показатель вырос на 80% до $7,7 млрд.

Злоумышленники заставляют страдать всех участников и все секторы крипторынка. Из криптоотрасли в руки преступников утекают миллиарды долларов, которые вряд ли вернутся обратно.

В этом материале редакция BeInCrypto собрала информацию о том, какой вред крипторынку нанесли злоумышленники в 2022 году.

Сектор NFT

Невзаимозаменяемые токены (NFT) — одна из самых привлекательных целей для мошенников. Из-за взрывного роста популярности продукт привлек внимание не только пользователей, но и хакеров. За первые 2 квартала 2022 года взломы NFT-коллекций принесли злоумышленникам суммарно $84,6 млн

В результате взлома Discord-сервера NFT-коллекции Bored Ape злоумышленники похитили 2 NFT стоимостью не менее $70 тыс.

NFT-маркетплейс OpenSea взламывали минимум дважды за один только январь этого года. В первый раз злоумышленнику удалось вывести с платформы более чем $700 тыс. в ETH. Во второй раз хищение было более крупным — с маркетплейса украли как минимум 8 дорогостоящих NFT на общую сумму в более чем $1,3 млн. Оба раза мошенники воспользовались критическими уязвимостями платформы: «проблемами с интерфейсом» и ошибкой в программе.

Другой NFT-маркетплейс, TreasureDAO, лишился свыше 100 NFT из различных коллекций. Общая сумма ущерба по предварительным данным оценивается в $1,4 млн. Хакеры также воспользовались ошибкой в протоколе.

DeFi-сектор: проекты, блокчейны, сайдчейны

DeFi-продукты — главная жертва преступных действий. Новые проекты зачастую запускаются без надлежащих аудитов безопасности, поэтому злоумышленники без труда находят уязвимости в смарт-контрактах и воруют деньги у разработчиков и пользователей.

Например, 9 марта протокол Fantasm Finance потерял около $2,6 млн в ETH из-за уязвимости смарт-контракта.

Первого апреля у протокола кредитования Ola Finance похитили около $4,6 млн в результате хакерской атаки по типу «повторного входа».

Децентрализованный сервис потоковой аудиопередачи Audius также стал жертвой хакерской атаки на $6 млн. Злоумышленнику удалось изменить конфигурации смарт-контракта управления.

В марте кредитный DeFi-протокол Hundred Finance потерял около $6,5 млн в ETH. Хакеры использовали атаку «повторного входа».

DeFi-проект Elephant Money стал жертвой мошенников, которые сумели выкрасть более $11 млн из резервов. Для атаки они использовали уязвимости сразу в нескольких смарт-контрактах.

Проект Qubit Finance потерял около $80 млн в результате взлома. Тут злоумышленники снова воспользовались уязвимостями протокола.

Одной из крупнейших атак остается взлом игры Axie Infinity. Из игрового сайдчейна Ronin Network хакеры похитили свыше $615 млн в ETH и USDC. Предположительно, за инцидентом стоит северокорейская группировка Lazarus Group.

Кросс-чейн мосты

Еще одна ахиллесова пята криптоиндустрии. С начала 2022 года злоумышленники атаковали кросс-чейн мосты тринадцать раз и похитили суммарно $2 млрд, выяснили аналитики Chainalysis.

В июне мост Harmony Horizon потерял $100 млн в результате взлома. В ходе атаки хакеры воспользовались давно выявленной уязвимостью. Позднее мошенники отмыли похищенное через теперь подсанкицонный миксер Tornado Cash.

Кросс-чейн мост Nomad также подвергся взлому, в результате которого в руки мошенников попало около $190 млн пользовательских средств. Впоследствии злоумышленники вернули $9 млн.

В феврале хакеры вывели криптовалюту более чем на $320 млн в ETH, взломав кросс-чейн протокол Wormhole. Причиной также стала обнаруженная злоумышленниками критическая уязвимость. Позднее все убытки удалось покрыть.

Потери в цифрах

~ $85 млн

потерял NFT-сектор

~ $725 млн

потерял DeFi-сектор

~ $2 млрд

потеряли кросс-чейн мосты

Новые схемы

Мошенники чаще всего используют схемы, сосредоточенные на использовании ошибок в протоколах и уязвимостей в смарт-контрактах проектов. Атаки по типу «повторного входа» и взлом Discord-серверов тоже входят в число любимых хакерских техник.

Однако злоумышленники не перестают изобретать и новые схемы. Вот лишь некоторые из хакерских нововведений, которые были замечены в 2022 году: 

  1. Мошенничество с криптокошельками. Такая схема была использована с MetaMask. Рассылая фальшивые электронные сообщения, злоумышленники пытаются выудить мнемонические фразы пользователей.
  1. Криптоскамы с поддержкой знаменитостей. Злоумышленники привлекают известных людей к рекламе проекта, чтобы вызвать доверие пользователей. 
  1. Фейковые эйрдропы. Например, в фервале мошенники просили пользователей верифицировать свои данные и внести предоплату за участие в раздаче токенов, выдавая себя за администрацию мессенджера Telegram.

Как защититься от мошенников

Помните, что никто кроме вас не защитит ваши деньги. Для того, чтобы минимизировать риски, достаточно придерживаться нескольких основных правил:

  • Приватный ключ, пароль, мнемоническая фраза
    Никому не рассказывайте эту информацию и не держите ее на устройствах с доступом к интернету. Лучше всего запишите ее на бумагу и храните в известном только вам месте.
  • Холодный кошелек
    Держать криптовалюту безопаснее всего в хранилище без доступа к интернету. Украсть средства с аппаратного кошелька практически невозможно.
  • Осторожность в интернете
    Лучше не использовать общественный Wi-Fi — такие подключение чаще всего небезопасны. Однако даже при использовании частной сети пользуйтесь антивирусными программами. Скачивайте приложения, программы и файлы только с проверенных источников.
  • Доверяй, но проверяй
    Прежде, чем ввести куда-то свои данные или внести деньги, тщательно изучите историю проекта. Выбирайте для работы только надежные платформы с хорошей репутацией. Каждый раз проверяйте адреса и домены, на которые собираетесь что-то отправить.

Дисклеймер

Вся информация, содержащаяся на нашем вебсайте, публикуется на принципах добросовестности и объективности, а также исключительно с ознакомительной целью. Читатель самостоятельно несет полную ответственность за любые действия, совершаемые им на основании информации, полученной на нашем вебсайте.

   Источник
Назад к списку