Nebyla to tajemství.

Experti na bezpečnost blockchainu to minulý rok křičeli ze střech: Útoky na infrastrukturu, které cílí na soukromé klíče a vlastnictví chytrých kontraktů, způsobí v roce 2024 vážné škody kryptoměnovým projektům.

Soukromé klíče kontrolují přístup k kryptoměnovým peněženkám a měly by být bezpečně uloženy. Pokud ne, hackeři je mohou použít k odcizení prostředků z peněženky oběti.

Některé společnosti tyto varování ignorovaly a nedokázaly zabezpečit své soukromé klíče, což otevřelo dveře pro severokorejské kyberzločince, aby ukradli 1,34 miliardy dolarů v kryptoměnách, podle společnosti na forenzní analýzu blockchainu Chainalysis.

Podle Luciana Ciattaglie, viceprezidenta služeb u auditorské společnosti Hacken, společnosti postižené únikem soukromých klíčů udělaly „vyhnutelné chyby.“

„Oběti často používaly platformy pro správu soukromých klíčů třetích stran, které postrádaly správné bezpečnostní praktiky, jako je šifrování nebo distribuované úložiště,“ řekl Ciattaglia pro DL News.

Největší hackerské útoky tohoto roku byly způsobeny zranitelnostmi v kontrolním přístupu, včetně úniků soukromých klíčů.

V roce, kdy investoři přišli o 2,3 miliardy dolarů kvůli krádežím kryptoměn, únik soukromých klíčů a další útoky na infrastrukturu tvoří 81 % z tohoto celkového čísla, podle firmy na bezpečnost blockchainu Cyvers.

Zde je pět největších kryptoměnových hacků roku 2024.

DMM Bitcoin 308 milionů dolarů v květnu

Japonská kryptoměnová burza DMM Bitcoin byla letos nejvíce zasažena.

Platforma ztratila 4 502,9 Bitcoinu v hodnotě 308 milionů dolarů v květnu.

Šest měsíců po útoku jsou detaily stále nejasné, ale bezpečnostní výzkumníci podezřívají severokorejské hackery, že získali přístup k soukromým klíčům platformy.

Své tvrzení založili na podobnostech mezi technikami praní peněz, které hackeři používali, a temnou severokorejskou kyberzločineckou skupinou Lazarus Group.

DMM Bitcoin se z hacku nedokázal zotavit. Platforma byla tento měsíc uzavřena a přenesla svá aktiva na obchodní platformu SVI VC Trade.

PlayDapp: 290 milionů dolarů

PlayDapp, jihokorejská blockchainová herní aplikace, dokázala odvrátit katastrofu, i když v únoru utrpěla masivní hack.

Sága začala, když hacker převzal kontrolu nad chytrým kontraktem PlayDapp pro mintování tokenů a vytvořil 200 milionů tokenů PLA.

V té době měly tokeny hodnotu 26 milionů dolarů.

PlayDapp jednal rychle, když kontaktoval burzy, aby zmrazil tokeny, což zabránilo útočníkovi vybrat peníze.

Nenechavý hacker mintoval 1,6 miliardy tokenů PLA v hodnotě 264 milionů dolarů o několik dní později, ale nebyli schopni je prodat.

PlayDapp od té doby migroval na nový kontrakt tokenu.

WazirX: 235 milionů dolarů

Na první pohled byla WazirX bezpečná platforma.

Největší kryptoměnová burza v Indii používala vícerozměrnou peněženku se čtyřmi ze šesti podepisovatelů, whitelist adresy nakonfigurovaný na offsite rozhraní a podepisovací klíče uložené v hardwarové peněžence.

I tak platforma ztratila skoro polovinu svých aktiv jedním útokem.

Hackeři pronikli do jedné z vícerozměrných peněženek platformy v červenci a ukradli 235 milionů dolarů v různých kryptoměnách včetně Etheru a memecoinu Shiba Inu.

Hackeři použili složité útočné vektory, aby oklamali administrátory peněženky WazirX a donutili je vzdát se kontrolního přístupu k platformě.

Tento kontrolní přístup použili k obcházení dalších bezpečnostních opatření a k odčerpání prostředků z peněženky platformy.

Policie v Indii zatkla podezřelého, který byl údajně spojen s hackem v listopadu.

Radiant Capital: 62,5 milionu dolarů

Kyberzločinci letos dvakrát zaútočili na protokol pro půjčování DeFi Radiant Capital, v lednu a v říjnu.

V lednu útočník manipuloval s chytrým kontraktem protokolu, aby ukradl 4,5 milionu dolarů z verzí Radiant Capital nasazených na Arbitrum a BNB Chain.

Pak v říjnu platforma ztratila 58 milionů dolarů při útoku, kde hackeři kompromitovali soukromé klíče vývojáře protokolu, aby ukradli prostředky.

Ten druhý útok byl spojen se severokorejskými kyberzločinci.

Útočník se vydával za bývalého člena týmu a poslal malwarem infikovaný digitální soubor vývojáři projektu.

Malware dal hackerům přístup k počítačům Radiant Capital, kde byly uloženy soukromé klíče.

Munchables 62,5 milionu dolarů

Externí aktéři nejsou jedinou hrozbou pro kryptoměnové projekty; někdy jsou špatní chlapci uvnitř.

To byl případ v březnu pro Munchables, projekt nezaměnitelných tokenů na blockchainu Blast.

Tým Munchables měl mezi sebou špatného herce.

Hacker, který je podezřelý z toho, že je ze Severní Koreje, využil svůj přístup k zavedení zranitelnosti v chytrém kontraktu projektu.

To umožnilo útočníkovi ukrást 62,5 milionu dolarů v Etheru z projektu Munchables v březnu.

Útočník však vrátil soukromé klíče potřebné k obnově 60,5 milionu dolarů týmu.

Díváme se vpřed

Nárůst útoků na únik soukromých klíčů letos přispěl k tomu, že investoři utrpěli větší ztráty v roce 2024 než v předchozím roce.

S 2,3 miliardy dolarů překonaly krádeže kryptoměn v roce 2024 celkový počet z minulého roku o 40 % — ale je to méně než rekordních 3,8 miliardy dolarů v roce 2022.

Bojující proti kryptoměnovému zločinu říkají, že se blíží nové a nebezpečnější útočné vektory.

Cyvers ve své zprávě uvedl, že pokroky v kvantovém počítačovém výzkumu a umělé inteligenci by mohly způsobit složitější útoky příští rok.

Další bezpečnostní experti se také zaměřují na tuto možnost.

„Příští rok mohou investoři do kryptoměn vidět více rizik od útoků poháněných AI, které pravděpodobně učiní phishingové podvody přesvědčivějšími a pomohou útočníkům rychleji najít zranitelnosti v chytrých kontraktech,“ řekl Ciattaglia.

Výkonný pracovník Hacken uvedl, že tyto sofistikované hrozby budou vyžadovat, aby kryptoměnoví vývojáři vylepšili své provozní bezpečnostní protokoly.

Osato Avan-Nomayo je náš korespondent pro DeFi se sídlem v Nigérii. Pokrývá DeFi a technologie. Pokud máte tipy nebo informace o příbězích, kontaktujte ho prosím na osato@dlnews.com.