Блокчейн-исследователи фирмы SlowMist проанализировали взломы, которые произошли в криптовалютной индустрии в 2022 году. Рассказываем, какие проекты пострадали больше всего
10 место. Взлом кредитного протокола QBridge
Десятую строчку рейтинга главных инцидентов на рынке криптовалют в минувшем году открыл взлом кредитного протокола QBridge. Проект на базе сети BNB Chain (бывш. Binance Smart Chain) потерял $80 млн из-за взлома своего дочернего проекта Qubit. По мнению аналитиков, злоумышленник смог найти недочет в логике смарт-контракта, похитив токены из кредитного пула.
9 место. Взлом кросс-чейн моста Harmony Bridge
На девятом месте расположился проект Harmony Bridge, который потерял более $100 млн в различных альткоинах. По подсчетам исследователей, проект лишился одиннадцати токенов на базе алгоритма ERC20, свыше 13 000 ETH, около 5000 BNB и $640 000 в стейблкоине BUSD. При этом по мнению SlowMist взлом удалось провернуть не благодаря изъяну в смарт-контракте, а с помощью кражи приватного ключа администратора проекта.
8 место. Атака на маркетмейкера Mango Markets
Проект Mango Markets на базе сети Solana тоже лишился около $100 млн, однако детали до сих пор подсчитываются. Злоумышленники смогли найти изъян в системе котировочных оракулов путем рыночной манипуляции с нативным токеном проекта MNGO, чем успешно и воспользовались. Впрочем, как именно злоумышленники смогли идентифицировать недочет, до сих пор неясно.
7 место. Взлом и спасение блокчейна Elrond
Инцидент вокруг блокчейна Elrond выделяется на фоне других проектов в сегменте криптовалют, поскольку разработчики смогли установить причину взлома, быстро починить уязвимость и компенсировать убытки. Впрочем, сначала злоумышленники все же смогли «похитить» около 1,6 млн токенов EGLD, что на тот момент оценивалось в ~$125 млн.
6 место. Взлом кросс-чейн моста Nomad
В августе 2022 года проект Nomad Bridge потерял свыше $190 млн из-за хакерской атаки. Злоумышленник смог заметить нарушения в последовательности верификации данных у смарт-контракта, подменив значения для несанкционированного доступа к резервам проекта. К моменту составления списка разработчикам проекта удалось вернуть лишь $36 млн из украденной суммы.
5 место. Вызов неверной функции Wintermute
Разработчики проекта Wintermute узнали, что кошелек, который они использовали при создании проекта, имел уязвимость. Чтобы обезопасить проект, команда разработчиков решила перевести средства со старого кошелька на новый. В процессе ручного перевода криптовалют через скрипт разработчики случайно запустили стороннюю функцию, которая привела к утрате $160 млн в токенах.
4 место. Атака на Beanstalk Farms через флеш-займы
Флеш-займы были популярной схемой атак на проекты из области децентрализованных финансов. Проект Beanstalk Farms оказался не исключением и выделился на фоне других тем, что лишился в результате взлома свыше $180 млн. Злоумышленник заметил, что время, выделяемое смарт-контрактом на создание голосования и проверку результатов, оказалось достаточно большим для обхода всего процесса. Из украденной суммы около $250 000 злоумышленники выделили на помощь Украине.
3 место. Ошибка в коде Wormhole
Тройку самых громких инцидентов открыла сеть Wormhole, через которую хакеры смогли «из воздуха» напечатать токенов на $326 млн. Расследование показало, что в функции, которая отвечала за права доступа у смарт-контракта в сети Solana, была ошибка. Всего одна ошибка позволила хакеру провернуть крупнейшую на сегодняшний день атаку в рамках экосистемы Solana.
2 место. Взлом кросс-чейн моста BSC Token Hub
Кросс-чейн мост на базе BNB Chain под названием BSC Token Hub лишился около $570 млн в токенах BNB. Выяснилось, что хакеры смогли подделывать данные в блоках сети BNB Chain, заполучив несанкционированный доступ к токенам сети. Злоумышленников до сих пор так и не нашли.
1 место. Атака северокорейских хакеров на Ronin Network
Сайдчейн Ronin Network прогремел на весь мир после того, как хакеры смогли похитить свыше $600 млн. По данным властей США, за атакой на проект стоит группировка северокорейских хакеров Lazarus Group. При этом для проведения атаки киберпреступникам оказалось достаточно всего лишь прислать сотруднику проекта файл с приглашением на работу, в который интегрировали вредоносный код.