Pro kryptoměnový průmysl to byl turbulentní rok – tržní ceny zaznamenaly obrovský propad, krypto obři se zhroutili a byly ukradeny miliardy v krypto exploitech a hackech.

Nebyla ani polovina října, když Chainalysis prohlásila rok 2022 za „největší rok pro hackerské aktivity“.

K 29. prosinci bylo v rámci 10 největších exploitů roku 2022 z krypto protokolů ukradeno 2,1 miliardy dolarů. Níže jsou tyto exploity a hacky seřazené od nejmenšího po největší.

10: Využití Beanstalk Farms – 76 milionů dolarů

Stablecoinový protokol Beanstalk Farms utrpěl 18. dubna zneužití ve výši 76 milionů dolarů od útočníka, který použil flash půjčku k nákupu tokenů správy. To bylo použito ke schválení dvou návrhů, které vkládaly škodlivé chytré smlouvy.

Původně se předpokládalo, že tento exploit stál kolem 182 milionů dolarů, protože Beanstalk byl zbaven veškerého zajištění, ale nakonec se útočníkovi podařilo uniknout jen s méně než polovinou této částky.

9: Využití mostu Qubit Finance – 80 milionů dolarů

Qubit Finance, protokol decentralizovaného financování (DeFi) na BNB Smart Chain, ukradl 28. ledna BNB (BNB) v hodnotě přes 80 milionů dolarů při zneužití mostu.

Útočník napálil inteligentní smlouvu protokolu, aby uvěřil, že uložili kolaterál, který jim umožnil razit aktiva představující přemostěný éter (ETH).

Toto opakovali několikrát a vypůjčili si několik kryptoměn proti nekrytému přemostěnému ETH, čímž odčerpali prostředky protokolu.

8: exploit Rari Fuse – 79,3 milionů dolarů

Další protokol DeFi s názvem Rari Capital byl využit 30. dubna za částku zhruba 79,3 milionu dolarů.

Útočník zneužil zranitelnost reentrancy v inteligentních kontraktech likviditního fondu Rar Fuse protokolu a přiměl je zavolat funkci do škodlivého kontraktu, aby vyčerpal fondy všech kryptoměn.

V září Tribe DAO, který zahrnuje Rari Capital a další protokoly DeFi, hlasoval pro odškodnění postižených uživatelů z hacku.

7: Harmony bridge hack – 100 milionů dolarů

V dalším hacku mostu, Horizon Bridge, který spojuje Ethereum, Bitcoin (BTC) a BNB Chain s blockchainem vrstvy 1 Harmony, bylo vyčerpáno přibližně 100 milionů dolarů v několika kryptoměnách.

Blockchainová forenzní firma Elliptic přišpendlila hack na severokorejský kyberzločinecký syndikát Lazarus Group, protože finanční prostředky byly prany podobným způsobem jako u jiných známých útoků Lazarus.

Má se za to, že Lazarus zacílil na přihlašovací údaje zaměstnanců Harmony, narušil bezpečnostní systém platformy a získal kontrolu nad protokolem před nasazením programů pro automatické praní, aby přesunul své neoprávněně získané zisky.

6: Využití řetězového mostu BNB – 100 milionů dolarů

Řetězec BNB byl 6. října pozastaven kvůli „nepravidelné aktivitě“ v síti, která byla později odhalena jako exploit, který z jeho cross-chain bridge, BSC Token Hub, odčerpal přibližně 100 milionů dolarů.

Zpočátku se předpokládalo, že útočník mohl získat kolem 600 milionů dolarů kvůli zranitelnosti, která umožnila vytvoření zhruba dvou milionů BNB, nativního tokenu řetězce.

Naneštěstí pro útočníka měli na blockchainu zmrazená digitální aktiva v hodnotě zhruba přes 400 milionů dolarů a další možná uvízli v křížových můstcích na straně blockchainu BNB.

5: Wintermute hack – 160 milionů dolarů

Tvůrce kryptotrhu Wintermute se sídlem ve Spojeném království trpěl kompromitovanou horkou peněženkou, která zaznamenala přibližně 160 milionů $ přes 70 tokenů převedených z peněženky.

Analýza od blockchainové firmy CertiK pro kybernetickou bezpečnost tvrdila, že byl napaden zranitelný soukromý klíč, který byl pravděpodobně vygenerován Profanity – aplikací, která uživatelům umožňuje generovat marné krypto adresy, která má známé zneužití.

Podle CertiK to útočníkovi umožnilo použít funkci s privátním klíčem, která hackerovi umožnila změnit swapovou smlouvu platformy na hackerovu vlastní.

Konspirační teorie, které tvrdí, že hack byl „interní úkol“ kvůli tomu, jak byl proveden, byly odhaleny bezpečnostní firmou Blockchain BlockSec, která uvedla, že obvinění nejsou „dostatečně přesvědčivá“.

4: Využití tokenového mostu Nomad — 190 milionů

2. srpna byl Nomad token bridge, který uživatelům umožňuje swapovat kryptoměny napříč několika blockchainy, vyčerpán několika útočníky na 190 milionů dolarů.

Příčinou zneužití byla zranitelnost inteligentní smlouvy, která nedokázala správně ověřit transakční vstupy.

Několik uživatelů, zdánlivě zlomyslných i benevolentních, bylo schopno zkopírovat původní útočníkovy kroky k přesunu finančních prostředků na sebe. Přibližně 88 % adres účastnících se exploitu bylo ve zprávě identifikováno jako „napodobitelé“.

Hackerům z bílého klobouku se podařilo zachytit a vrátit do protokolu finanční prostředky v hodnotě přibližně 32,6 milionů dolarů.

3: Využití mostu Wormhole – 321 milionů dolarů

Token bridge Wormhole utrpěl 2. února zneužití, které mělo za následek ztrátu 120 000 tokenů Wrapped Ether (wETH) v hodnotě 321 milionů $.

Wormhole umožňuje uživatelům odesílat a přijímat kryptoměny mezi více blockchainy. Útočník našel zranitelnost v inteligentní smlouvě protokolu a dokázal vytěžit 120 000 wETH na Solana (SOL) bez zajištění a poté byl schopen toto vyměnit za ETH.

V té době byl označen jako největší exploit v roce 2022 a je to třetí největší ztráta protokolu celkově za rok.

2: Hack peněženky FTX – 477 milionů dolarů

Během zahájení konkurzního řízení FTX 11. a 12. listopadu došlo na burze k sérii neautorizovaných transakcí, přičemž společnost Elliptic naznačila, že bylo ukradeno krypto v hodnotě přibližně 477 milionů dolarů.

Sam Bankman-Fried v rozhovoru z 16. listopadu řekl, že se domníval, že to byl „buď bývalý zaměstnanec, nebo někde někdo nainstaloval malware do počítače bývalého zaměstnance“ a zúžil pachatele na osm lidí, než byl vyloučen ze sítě. firemní systémy.

Podle zpráv zahájilo 27. prosince ministerstvo spravedlnosti Spojených států vyšetřování místa, kde se nachází přibližně 372 milionů dolarů chybějící kryptoměny.

1: Ronin bridge hack – 612 milionů dolarů

Největší exploatace, ke které došlo v roce 2022, se stala 23. března, kdy byl Roninův most vytěžen za přibližně 612 milionů $ – 173 600 ETH a 25,5 milionu USD Coin (USDC).

Ronin je Ethereum sidechain vytvořený pro Axie Infinity, hru s nezaměnitelnými tokeny (NFT), kterou lze vydělat. Sky Mavis, vývojáři Axie Infinity, uvedli, že hackeři získali přístup k soukromým klíčům, kompromitovali validační uzly a schválili transakce, které odčerpávaly finanční prostředky z mostu.

Ministerstvo financí USA aktualizovalo 14. dubna svůj seznam speciálně určených státních příslušníků a blokovaných osob (SDN), aby odrážel možnost, že za zneužitím mostu stála společnost Lazarus Group.

Hack Ronin bridge je největším zneužitím kryptoměny, který kdy proběhl.