Unatoč tome što su tržišta kriptovaluta zarobljena u teškoj medvjeđoj recesiji, prijevare i hakiranja u Web3 gorjela su cijelu 2022. Brojni centralizirani teškaši kriptovaluta na najvišem nivou također su propali zbog lošeg upravljanja rizikom i manipulacija insajdera.
Kako se kripto segment približava Novoj godini, U.Today sažima najopasnije kripto prijevare, njihove korijene, dizajne i gubitke koje su prouzročile. Pripremili smo i kratki pregled najčešćih kripto prijevara na društvenim mrežama koje svakodnevno ciljaju milijune korisnika.
Kripto prijevare i hakiranja 2022.: kratke činjenice
Prema brojnim izvješćima o cybersecu, u prvih 11 mjeseci 2022. hakeri i prevaranti uspjeli su ukrasti dosad neviđenu količinu od 4.2 milijarde dolara u kriptovaluti, što je 37% više nego 2021., kada su ključne kriptovalute bile 2x-3x skuplje.
- Najveći napadi izvršeni su protiv međulančanih protokola — premosnog mehanizma Ronin Axie Infinity i ekosustava crvotočine s više protokola.
- Kolaps ekosustava Terra (LUNA), njegovog glavnog DeFi Anchor Protocol-a (ANC) i stabilcoina TerraUSD (UST) vezanog za USD pridonio je Q2-Q4, 2022., fazi medvjeđe recesije.
- Drama oko sada ugašene kripto burze FTX i povezane trgovačke tvrtke Alameda Research bila je najveći kolaps centralizirane usluge tijekom 2022. godine.
- Unatoč najvećim hakovima o kojima se naširoko raspravlja u medijima, velika većina kripto prijevara organizirana je putem starih metoda: lažnih airdropova, zlonamjernih "programa za oporavak", arbitražnih shema prijevara i slično.
- Čini se da su brojna velika hakiranja bila operacije bijelog šešira: napadači su vratili ukradeni novac u zamjenu za impresivne nagrade za bugove.
- Gotovo 12% svih BEP-20 tokena i 8% ERC-20 tokena je lažno; Dnevno se lansira 350 novih prijevara.
U ovoj recenziji ćemo namjerno pokrenute prijevare i projekte koji su u početku bili legitimni nazivati "prevarama", dok su "hakiranja" napadi trećih strana na legitimne projekte koji se izvode bez događaja "insajderskog posla".
Najpopularnije kripto prijevare i kolapsi 2022
U 2022. Bitcoin (BTC), Ethereum (ETH) i sve glavne kriptovalute izgubile su više od 70-80% od svog ATH-a, dok u većini pogođenih segmenata — metaverse tokeni, GameFi tokeni, Solana (SOL) ekosustav — srednji gubitak prelazi 90 %. Neki veliki kriptovaluti nisu uspjeli preživjeti tako bolan pad.
Terra (LUNA)/Terra USD (UST)
Platforma pametnih ugovora Terra (LUNA) kompatibilna s EVM-om bila je među najatraktivnijim ubojicama Ethereuma (ETH) 2021. Međutim, lavovski udio TVL-a bio je koncentriran na Anchor Protocol (ANC), jednostavan stroj za uzgoj prinosa koji je nudio 19% APY na depozite u Terra USD (UST), Terra-in sada nepostojeći stabilcoin vezan za USD. Ukupno je više od 20 milijardi dolara u protuvrijednosti bilo zaključano u Anchoru (ANC) u prvom tromjesečju 1.
Međutim, početkom svibnja 2022. netko je počeo agresivno slati UST na skupove na Curve Finance (CRV) DeFi i razmjenjivati tokene na USD Coin (USDC). UST je izgubio vezu. Terraform Labs i njegov CEO Do Kwon počeli su ubrizgavati likvidnost u UST/LUNA mehanizam. Međutim, zbog golemog priliva kapitala, i LUNA i UST su pale na gotovo nulte vrijednosti. Terra (LUNA) blockchain je zauvijek zaustavljen.
Kao što je U.Today ranije objavio, istraživači su otkrili da je Terraform Labs inicirao kolaps: masivne UST prijenose odobrio je Do Kwon. Osnivač Terre je navodno pobjegao u Srbiju i tamo pokušava unovčiti svoje bitcoine (BTC).
Kapital s tri strelice
Pokrenut od strane Su Zhua i Kylea Daviesa, bivših studenata Sveučilišta Columbia i veterana Credit Suissea, Three Arrows Capital (3AC) bio je među najutjecajnijim kripto hedge fondovima. Prikupio je više od 20 milijardi dolara u AUM-u zahvaljujući tome što je bio rani ulagač u Ethereum (ETH), Avalanche (AVAX), Solanu (SOL) i druge.
Međutim, propala LUNA bila je jedan od ključnih elemenata portfelja 3AC. Tim je uložio preko 600 milijuna dolara u Terru (LUNA): ovaj golemi udio je izbrisan u dva tjedna nakon kolapsa LUNA/UST.
Dana 16. lipnja 2022. FT je objavio da 3AC nije ispunio zahtjeve za maržom zbog gubitaka u Terra's Anchor Protocolu. Tvrtka je također bila pod vodom u svojim pozicijama u Staked Etheru (stETH) u Lido Finance (LDO) DeFi iu Grayscale Bitcoin Trustu (GBTC). U lipnju nije uspio otplatiti zajam kripto divu Voyageru. Krajem srpnja tvrtku je likvidirao sud BVI, dok je uprava 3AC-a podnijela zahtjev za stečaj. Ukupno je 20 investitora u 3AC izgubilo preko 3.5 milijardi dolara.
Putnik
Američki vjerovnik Voyager također je postao žrtva lošeg upravljanja rizikom: dao je 650 milijuna dolara neosiguranog zajma tvrtki Three Arrows Capital, dok je njegov neto AUM iznosio gotovo 5.9 milijardi dolara. Platforma se može pohvaliti s 3.5 milijuna kupaca, od kojih je 97% uložilo manje od 10,000 dolara.
Općenito, Voyager je propao zbog činjenice da je njegov tim odabrao rizičnu poslovnu strategiju: ponudio je zajmove višestrukim servisima za trgovanje i pojedinačnim trgovcima kriptovalutama. Kako su zajmodavci počeli masovno povlačiti svoj novac, Voyager je početkom srpnja zamrznuo sredstva klijenata. Nekoliko dana kasnije podnijela je zahtjev za zaštitu od stečaja u New Yorku.
Kako je platforma bila usmjerena na male maloprodajne kupce, njezin je kolaps bio najbolniji za ljubitelje kriptovaluta.
Celzijus
Celsius je zapravo bila prva tvrtka koja je signalizirala svoje probleme: u travnju 2022. platforma je objavila da će držati svu imovinu neakreditiranih investitora na skrbništvu: ovaj dio kupaca stoga nije mogao ubrizgati novu likvidnost i dobiti nagrade.
U svibnju 2022., uplašeni dramama oko UST-a i Terre, korisnici su počeli premještati novac iz Celsius protokola. Celsius je 12. lipnja 2022. zamrznuo sredstva 1.7 milijuna klijenata (uglavnom malih investitora). Baš kao i Voyager, podnio je zahtjev za stečaj početkom srpnja.
Dana 14. srpnja 2022. Celsiusov pravni savjetnik Kirkland & Ellis podijelio je da su čelnici platforme obaviješteni o rupi od 1.3 milijarde dolara u njezinoj bilanci.
FTX
Kolaps mjenjačnice kriptovaluta FTX Sama Bankman-Frieda i s njom povezane tvrtke za kripto ulaganje Alameda Research bila je najiznenađujuća drama u Web3: SBF i njegov tim pokušali su steći ogromnu kontrolu nad industrijom potpisivanjem desetaka partnerstava, pojavljivanjem na Forbesovim naslovnicama i tako dalje.
Međutim, bilanca Alameda Researcha uvelike je ovisila o FTX tokenu (FTT), izvornoj kriptovaluti FTX-a. Zbog toga se cijeli sustav urušio kada je izvršni direktor Binancea Changpeng “CZ” Zhao počeo agresivno prodavati FTT (preko 500 milijuna dolara u protuvrijednosti je izdao CZ).
Kao i u svim sličnim slučajevima, investitori su počeli masovno povlačiti svoj novac s FTX-a. Platforma je zaustavila povlačenja, SBF je odstupio s mjesta izvršnog direktora i podnio zahtjev za stečaj. U međuvremenu se doznalo da je koristio novac investitora i kupaca u vlastitoj trgovačkoj tvrtki Alameda Research. Zbog strašnog lošeg upravljanja, Alameda Research je bila duboko pod vodom. SBF je uhićen i pušten uz jamčevinu, dok su ostvareni gubici od kolapsa FTX-a dosegli vrhunac od 9 milijardi dolara u protuvrijednosti.
Najpopularniji kripto hakovi u 2022
Prema an analiza stručnjaka za kibernetičku sigurnost tvrtke Merkle Science, međumrežni mostovi posebno su osjetljivi na iskorištavanje zbog svoje tehničke složenosti i izrazito eksperimentalnog karaktera:
Mostovi između lanaca često su podložniji iskorištavanju jer zahtijevaju više interakcija i odobrenja ugovora nego drugi protokoli. Osim toga, mostovi su osjetljiviji na napade jer ih pokreću nerevidirani računalni kodovi. Štoviše, identitet validatora/čvorova koji pokreću transakcije također je nepoznat
Godine 2022. mostovi su bili glavne mete napada, dok su hakeri također iskorištavali druge DeFi mehanizme.
rupa od crva
Dana 3. veljače 2022. hakeri su napali Wormhole, most dizajniran za omogućavanje besprijekornog prijenosa vrijednosti između heterogenih lanaca blokova. Zbog ranjivosti u kodu, uspjeli su izdati 120,000 XNUMX Wrapped Ethers (wETH) na Solana (SOL) blockchainu bez postavljanja odgovarajućeg kolaterala Ethereum (ETH).
Hakiranje bi moglo dovesti do nesolventnosti bilo koje DeFi platforme koja bi bila spremna prihvatiti 120,000 XNUMX wETH (isprintanih iz ničega) kao kolateral. Srećom, najgori scenarij se nije dogodio.
Jump Crypto, matična tvrtka usluge Wormhole, preuzela je sve gubitke: odmah su nadopunili 120,000 Ethera u fondove likvidnosti protokola.
Ronin
23. ožujka sjevernokorejski hakeri iz Lazarusa, zloglasne cyber kriminalne skupine koju podupire država, napali su mrežu Ronin. Ronin je sidechain sličan Ethereumu razvijen posebno za Axie Infinity, vodeći GameFi. Napadači su Roninu iscijedili nevjerojatnih 568 milijuna dolara.
Hakeri su uspjeli preuzeti kontrolu nad pet od devet validatorskih potpisa za Ronin Bridge. Zatim su autorizirali dvije transakcije, 173,600 Ethera (ETH) i 25.5 milijuna USD Coina (USDC). Od ovog monstruoznog plijena oprano je više od 445 milijuna dolara putem Tornado Cash kriptomješalice.
Programer Axie Infinity Sky Mavis prikupio je dodatna sredstva, naručio još jednu sigurnosnu reviziju od strane CertiK-a i povećao prag multisig-a sa 5/9 na 8/9.
nomad
U kolovozu 2022. Nomad, mehanizam za premošćivanje s više lanaca koji premješta vrijednost između Avalanchea (AVAX), Ethereuma (ETH), Evmosa (EVMOS), Moonbeama (GLMR) i drugih lanaca blokova, iscijedio je 190.7 milijuna dolara u kriptovaluti. Napadači su uspjeli iskoristiti ranjivost dizajna pametnog ugovora: protokol je korisnicima omogućio povlačenje sredstava na ciljanom blokovnom lancu bez provjere jesu li ekvivalentna prvobitno raspoređenom iznosu.
12/ tl;dr rutinska nadogradnja označila je nulti hash kao važeći korijen, što je imalo učinak dopuštanja lažiranja poruka na Nomadu. Napadači su to zloupotrijebili za kopiranje/lijepljenje transakcija i brzo ispraznili most u mahnitoj akciji besplatnog korištenja
— ovo je sada shitpost račun (@samczsun) Kolovoz 2, 2022
Jednostavno rečeno, nakon redovite nadogradnje, korisnici su mogli položiti 1 ETH na Ethereum (ETH) i zatražiti isplatu u iznosu od 100 Ethereuma (ETH) ekvivalenta Avalanchea (AVAX).
Stvar je u tome što je svaki Web3 entuzijast koji se razumije u tehnologiju bio u mogućnosti replicirati ovaj vektor napada i ukrasti sredstva od Nomada prije nego što je zakrpa objavljena. Zbog toga su mnogi programeri Ethereuma (ETH) povukli sredstva samo kako bi ih poslali natrag Nomad timu: gotovo 40 milijuna dolara poslano je natrag.
Beanstalk
Dana 16. travnja 2022. projekt stabilnih kovanica Beanstalk (BEAN) temeljen na Ethereumu bio je meta sofisticiranog napada na flash zajam. Naime, zlonamjernici su uspjeli dobiti flash zajam na Aave Finance (AAVE) i kupiti količinu tokena upravljanja potrebnu za preuzimanje kontrole nad protokolarnim on-chain referendumima.
Tada su napadači dobili glasačku nadvećinu i odobrili prijenos novca na vlastiti račun. Kad je 180 milijuna dolara prebačeno, odmah su otplatili brzi zajam; neto dobit je premašila 80 milijuna dolara.
zimnica
U rujnu 2022. Wintermute, jedna od najvećih platformi za stvaranje tržišta, ispraznila je novčanike za 160 milijuna dolara. Napadači su otkrili da su neki od Wintermuteovih ključnih novčanika stvoreni s Profanityjem, generatorom "taštinskih adresa" za Ethereum (ETH) mrežu. Takvi programi mogu stvoriti kripto novčanike s adresama čitljivim ljudima, npr. 0xJohnDoe1111… i slično.
Zbog ranjivosti u dizajnu Profanityja, napadači su uspjeli brutalno forsirati isprazne adrese i vratiti privatne ključeve. Napad je postao moguć zbog značajnih računalnih resursa koje zlonamjernici koriste.
Bonus: nemojte nasjedati na ove dugotrajne prijevare
Uz sofisticirane scenarije koji uključuju brze zajmove od milijardu dolara, sjevernokorejske hakere i impresivan hardver za brutalnu provjeru, tu i tamo se pojavljuju vrlo primitivne kampanje prijevare. Tri dizajna napada vrlo su česta u kripto od 1.:
1. Lažni airdrops. Kako bi pokrenuli ovu prijevaru, zlonamjernici ili organiziraju YouTube reklamnu kampanju ili postavljaju svoj oglas na Twitter. Zatim objave da internetska slavna osoba (Snoop Dogg), vrhunski tehnološki poduzetnik (Vitalik Buterin ili Elon Musk) ili čak političar (Donald Trump) emitira kriptovalutu. Svi koji su spremni zatražiti svoje bonuse trebali bi poslati početni depozit (koji bi navodno bio vraćen sa 100% dobiti) ili svoje privatne ključeve. Nepotrebno je reći da će obje grupe izgubiti svoje depozite ili sav novac iz svojih novčanika.
Kako se zaštititi: Nikada ne šaljite svoj novac “organizatorima sletanja” ili otkrivajte svoje privatne ključeve ili početne fraze.
2. Ručno izrađeni MEV roboti. Maksimalna vrijednost koja se može izdvojiti (MEV) najveća je nagrada koju sudionici mreže Ethereum (ETH) mogu dobiti za svoj doprinos u procesu provjere valjanosti bloka. Sofisticirane tehnike omogućuju nam da iskoristimo prednosti optimizacije MEV-a. Prevaranti postavljaju video ili tekstualne priručnike o tome kako izgraditi vlastite "MEV botove" kako biste dobili pristup Ethereum (ETH) novčanicima i crpili sredstva.
Kako se zaštititi: Izbjegavajte "instant" MEV robote iz YouTube priručnika.
3. Prevaranti priskaču u pomoć. Budući da je 2022. definitivno godina hakiranja, mnogi korisnici kriptovaluta provjeravaju jesu li njihovi omiljeni lanci blokova pokvareni. Prevaranti objavljuju lažne najave o hakiranju ovog ili onog projekta i pokreću lažne programe "kompenzacije". Mole se svi zainteresirani za naknadu da pošalju svoje početne fraze prevarantima.
Kako se zaštititi: Provjerite samo vijesti o hakiranju na službenim medijskim kanalima blockchaina.
Zatvaranje misli
U 2022. većina kolapsa bila je potaknuta bolnim padom cijena kriptovaluta, lošim upravljanjem rizikom i pohlepom vlasnika centraliziranih proizvoda kriptovaluta. Zato je decentralizacija velika stvar: mudrost DAO-a bi spriječila kolaps FTX/Celsius/Voyager skale.
U međuvremenu, proizvodi u lancu trebali bi voditi računa o sigurnosnim revizijama, ažuriranjima i upravljanju privatnim zrakoplovima.
Izvor: https://u.today/top-10-crypto-scams-and-hacks-of-2022