Криптомошенники, особенно мошенники, охотятся на наивных покупателей в физическом мире, читая мелкий шрифт в контрактах.
Биткойн (BTC) появился после глобального финансового кризиса 2008-09 годов, чтобы уберечь мир от финансовых кризисов в будущем. Однако, как свидетельствуют различные криптовалютные аферы с момента их появления в мире, криптовалюты также не обеспечивают достаточной безопасности средств пользователей.
Поскольку средства размещаются в цифровом виде (большую часть времени), хакерам легче украсть виртуальные валюты, чем физические наличные. Кроме того, криптовалюты, хранящиеся в огромных суммах, могут быть переведены анонимно, что приводит к крупным ограблениям в криптоиндустрии.
Давайте в этой статье рассмотрим самые крупные кражи криптовалют всех времен. Также в статье будет рассказано, почему криптобиржи продолжают взламывать, почему криптокражи становятся все более масштабными и что мы можем сделать, чтобы защитить себя от криптокраж.
Какие самые крупные криптовалютные кражи в истории?
На сегодняшний день крупнейшими ограблениями криптовалют являются MT Gox, Linode, BitFloor, Bitfinex, Bitgrail, Coincheck, KuCoin, PancakeBunny, Poly Network, Cream Finance, BadgerDAO, Bitmart, Wormhole, Ronin network, Beanstalk, Harmony Bridge и FTX.
MT Gox
Mt. Gox остается самым крупным криптовалютным ограблением в истории: с 2011 по 2014 год было похищено более 850 тысяч биткоинов. Mt. Gox утверждала, что причиной потери стала ошибка в Биткойне, известная как “податливость транзакций”. Копируемость транзакций – это процесс изменения уникального идентификатора транзакции путем изменения цифровой подписи, которая была использована для ее создания.
В сентябре 2011 года было обнаружено, что закрытые ключи MtGox были скомпрометированы, и компания не использовала никаких методов аудита, чтобы обнаружить нарушение. Более того, поскольку MtGox регулярно использовала биткоин-адреса повторно, украденный набор ключей использовался для кражи новых депозитов постоянно, и к середине 2013 года с биржи было похищено более 630 тысяч BTC. Удивительно, но WizSec (группа специалистов по безопасности Биткойна) утверждает, что доказательства продолжающегося воровства могут быть получены из транзакций блокчейна, подтверждающих это утверждение.
Многие компании используют холодные и горячие кошельки, чтобы минимизировать крупные потери, как это было показано на примере Mt. Gox. Все монеты передаются на холодный кошелек биржи, который при необходимости вручную переводится на горячий кошелек. Если сервер биржи будет взломан, вор сможет украсть деньги только из горячего кошелька, что позволяет бирже решать, каким количеством монет она готова рискнуть.
Linode
Linode, хостинговая компания, использовалась биткойн-биржами и китами сообщества для хранения своих горячих кошельков. Linode был взломан в июне 2011 года, и виртуальные сервисы, в которых хранились горячие кошельки, стали мишенью.
К сожалению, это привело к краже как минимум 46 тысяч BTC, реальное количество которых до сих пор неизвестно. Bitcoinia, потерявшая более 43 тыс. BTC, и Bitcoin.cx, потерявший 3 тыс. BTC, были среди пострадавших, как и Гэвин Андресен (разработчик Bitcoin), который также потерял 5 тыс. BTC.
BitFloor
Хотя эти кражи менее серьезны, взломы Биткойн-систем с большими последствиями продолжаются: в мае 2012 года с BitFloor было украдено 24 тыс. BTC. Злоумышленник получил доступ к незащищенной (т.е. незашифрованной) резервной копии ключей кошельков и похитил виртуальную валюту на сумму около четверти миллиона долларов. В результате создатель BitFloor Роман Штыльман принял решение о закрытии биржи.
Bitfinex
Использование multisig (требование нескольких ключей для авторизации транзакции BTC) само по себе не является серебряной пулей, о чем свидетельствует еще одно крупное ограбление на бирже Bitfinex, в результате которого было похищено 119 756 BTC.
Биржа Bitfinex объединилась с BitGo, чтобы выступать в качестве стороннего эскроу для вывода средств клиентов. Bitfinex также решила не использовать холодные кошельки, чтобы получить освобождение от Закона о товарных рынках и биржах. Хотя идея использования пороговых подписей привлекательна, она не гарантирует распространения полномочий на авторизацию транзакций.
Bitgrail
Bitgrail была небольшой итальянской биржей, которая торговала малоизвестными криптовалютами, такими как Nano (XNO), ранее известными как RaiBlocks. В ноябре 2017 года Nano стоил всего 20 центов; однако, когда цены держались в районе 10 долларов, биржа была взломана в феврале 2018 года, в результате чего потери BitGrail составили 146 миллионов долларов.
Обмануты более 230 000 человек. К сожалению, небольшие биржи не внедряют базовую защиту, такую как холодное хранение кошелька, подвергая риску большие деньги. По словам директора национального центра по киберпреступлениям Ивано Габриэлли, стало очевидно, что генеральный директор BitGrail причастен к скандалу с BitGrail.
Coincheck
У компании Coincheck, базирующейся в Японии, в январе 2018 года были похищены токены NEM (XEM) на сумму 530 миллионов долларов. Личность японских хакеров, взломавших систему безопасности, до сих пор остается загадкой.
После расследования Coincheck выяснила, что хакеры смогли получить доступ к своей системе из-за кадрового дефицита в то время. Хакеры смогли успешно взломать систему благодаря тому, что средства хранились в “горячих” кошельках и не были приняты достаточные меры безопасности.
KuCoin
KuCoin объявила в сентябре 2020 года, что хакеры получили приватные ключи от их горячих кошельков, после чего вывели значительное количество Ethereum (ETH), BTC, Litecoin (LTC), Ripple (XRP), Stellar Lumens (XLM), Tron (TRX) и Tether (USDT). Lazarus Group, северокорейская хакерская группа, обвиняется в совершении ограбления криптовалютной биржи KuCoin, в результате которого было потеряно 275 миллионов долларов. Однако позже биржа смогла вернуть около 240 миллионов долларов в виде платежей.
PancakeBunny
Атака с использованием флэш-кредитов, в ходе которой хакеры смогли выманить у платформы 200 миллионов долларов, произошла в мае 2021 года и относится к числу наиболее серьезных случаев кражи криптовалюты. Хакер одолжил большую сумму монет Binance Coin (BNB), после чего манипулировал их ценой и продал на рынке BUNNY/BNB на PancakeBunny, чтобы осуществить атаку.
Флэш-кредит необходимо взять в долг, а затем погасить всю сумму сразу. Хакер получил большое количество BUNNY через флэш-кредит, затем выбросил все BUNNY на рынок, чтобы снизить цену, а затем погасил BNB с помощью PancakeSwap.
Poly Network
В августе 2021 года хакер украл цифровые токены на сумму около 600 миллионов долларов США в ходе одной из самых крупных краж криптовалюты в истории. Хакер, известный как “Мистер Белая шляпа”, воспользовался слабым местом в сети Poly Network, платформы DeFi.
С момента первоначальной кражи история с каждым днем становилась все более странной. Мистер Уайт Хэт не только поддерживал публичный и последовательный диалог с Poly Network, но и вернул все украденное через неделю, за исключением 33 миллионов долларов в Tether (USDT), которые были заморожены эмитентами.
За возвращение всех украденных денег г-н Уайт Хэт получил приз в размере 500 000 долларов США, а также предложение стать старшим сотрудником по безопасности Poly Network.
Cream Finance
Хакеры украли 130 миллионов долларов во время инцидента Cream Finance в октябре 2021 года. Это было третье криптовалютное ограбление Cream Finance за год, в ходе которого хакеры похитили 37 миллионов долларов в феврале 2021 года и 19 миллионов долларов в августе 2021 года.
Судя по всему, деньги были получены через флэш-кредит в ходе сложнейшей транзакции стоимостью более 9 ETH и с участием 68 различных активов. Злоумышленник использовал DAI MakerDAO для выпуска огромного количества токенов yUSD, а также воспользовался вычислениями оракула цены yUSD.
В результате в сети Ethereum они смогли завладеть всеми токенами и активами Cream Finance на общую сумму 130 миллионов долларов.
BadgerDAO
Хакеру удалось украсть активы из нескольких криптовалютных кошельков в сети DeFi, BadgerDAO, в декабре 2021 года. Инцидент связан с фишингом, когда через Cloudflare в пользовательский интерфейс сайта был внедрен вредоносный скрипт.
Хакер использовал ключ интерфейса программирования приложений (API), чтобы украсть средства в размере 130 миллионов долларов. API-ключ был создан без ведома или разрешения инженеров Badger, чтобы регулярно внедрять вредоносный код в часть своих клиентов. Однако около 9 миллионов долларов удалось вернуть, так как хакеры еще не успели вывести средства из хранилищ Badger.
Bitmart
В декабре 2021 года в результате взлома горячего кошелька Bitmart было похищено около 200 миллионов долларов. Сначала считалось, что 100 миллионов долларов были украдены через блокчейн Ethereum, но дополнительное исследование показало, что еще 96 миллионов долларов были украдены через блокчейн Binance Smart Chain.
Было похищено более 20 токенов, включая такие альткоины, как BSC-USD, Binance Coin (BNB), BNBBPay (BPay) и Safemoon, а также значительное количество Moonshot (MOONSHOT), Floki Inu (FLOKI) и BabyDoge (BabyDoge).
Wormhole
Атака на Wormhole, мост Ethereum и Solana, обманула пользователей примерно на 328 миллионов долларов, став четвертой по величине брешью в истории DeFi. Согласно предварительному расследованию CertiK (компания по безопасности блокчейна и смарт-аудиту), злоумышленник использовал майнинговые токены для получения ETH, которые хранились на стороне Ethereum, воспользовавшись функцией майнинга на стороне Solana моста Wormhole, чтобы создать для себя 120 000 обернутых Ethereum (wETH).
Ronin Network (Axie Infinity)
Ronin Network, криптовалютная сеть, ориентированная на игры, 29 марта 2022 года сообщила, что ее взломали и что было потеряно 620 миллионов долларов. По данным Etherscan, злоумышленник “использовал взломанные приватные ключи для создания фиктивных выводов средств” с моста Ronin в течение двух транзакций. Эксплойт на узлах валидатора Ronin затронул издателей популярной игры Axie Infinity, Sky Mavis, и Axie DAO.
Beanstalk
Протокол управления Beanstalk, основанной на Ethereum платформы стабильных монет, стал объектом атаки в апреле 2022 года. Стоимость, хранящаяся в протоколе Beanstalk, была передана фонду Украины после реализации мошеннического предложения, и злоумышленник(и) использовал(и) ее для погашения своего флеш-кредита. Из 181 миллиона долларов, которые были украдены в итоге, злоумышленник получил прибыль в размере 76 миллионов долларов.
Horizon Bridge (Harmony)
В июне 2022 года хакеры взломали протокол Harmony, который позволяет осуществлять транзакции между блокчейнами Ethereum, Binance и Bitcoin. Они украли криптовалюты на 100 миллионов долларов, включая ETH, Binance Coin (BNB), USDT, USD Coin (USDC) и Dai.
FTX
В ноябре 2022 года хакеры похитили 323 миллиона долларов с материнской компании FTX.com, расположенной на Багамах, 2 миллиона долларов с компании Alameda Research и 90 миллионов долларов с ее американской платформы. Однако FTX заявила, что вернула $1,7 млрд наличными, $3,5 млрд в якобы ликвидных криптовалютах и $300 млн в ликвидных акциях.
Как избежать криптовалютного мошенничества?
Один из лучших способов защитить свои криптоинвестиции – это завести кошелек и провести собственное исследование проектов на рынке.
Все меры безопасности биткоин-бирж носят проактивный характер, направленный на предотвращение ограбления. Согласно вышеприведенному обсуждению, проактивные меры безопасности уменьшили последствия ограблений, но, к сожалению, они не могут предотвратить кражу. По сути, из-за необратимой природы блокчейна биржа мало что может сделать, чтобы остановить ограбление после кражи соответствующих закрытых ключей.
Вы всегда должны проверять любые заявления о криптоинвестициях, особенно если они кажутся слишком хорошими, чтобы быть правдой. Также не доверяйте тому, кто лично обращается к вам по поводу инвестиций в BTC или другие криптовалюты.
Кроме того, включите двухфакторную аутентификацию на вашем криптовалютном кошельке и бирже и никогда не сообщайте приватный ключ или начальную фразу вашего криптокошелька, храните эту информацию в автономном режиме в “холодном” кошельке.
Проверяйте URL-адреса веб-сайтов два или три раза и действуйте только тогда, когда убедитесь в подлинности криптопроекта. Кроме того, следует отклонять любые предложения, требующие предварительной оплаты, независимо от суммы, особенно если цена должна быть оплачена в криптовалютах.