Es war ein turbulentes Jahr für die Kryptowährungsbranche – die Marktpreise sind stark gesunken, Krypto-Giganten sind zusammengebrochen und durch Krypto-Exploits und Hacks wurden Milliarden gestohlen.

Es war noch nicht einmal Mitte Oktober, als Chainalysis 2022 zum „größten Jahr für Hacking-Aktivitäten aller Zeiten“ erklärte.

Bis zum 29. Dezember wurden bei den zehn größten Exploits des Jahres 2022 2,1 Milliarden US-Dollar aus Kryptoprotokollen gestohlen. Nachfolgend finden Sie die Exploits und Hacks, sortiert vom kleinsten zum größten.

10: Beanstalk Farms-Exploit – 76 Millionen US-Dollar

Das Stablecoin-Protokoll Beanstalk Farms wurde am 18. April Opfer eines Angriffs im Wert von 76 Millionen US-Dollar, bei dem ein Angreifer einen Blitzkredit nutzte, um Governance-Token zu kaufen. Dies wurde genutzt, um zwei Vorschläge durchzusetzen, die bösartige Smart Contracts einfügten.

Ursprünglich wurde angenommen, dass der Exploit etwa 182 Millionen US-Dollar kostete, da Beanstalk sämtliches Kapital verloren hatte. Letztlich kam der Angreifer jedoch mit weniger als der Hälfte dieses Betrags davon.

9: Qubit Finance Bridge Exploit – 80 Mio. $

Qubit Finance, ein dezentralisiertes Finanzprotokoll (DeFi) auf BNB Smart Chain, wurde am 28. Januar bei einem Bridge-Exploit in BNB (BNB) im Wert von über 80 Millionen US-Dollar gestohlen.

Der Angreifer täuschte den Smart Contract des Protokolls und ließ ihn glauben, er hätte Sicherheiten hinterlegt, die es ihm ermöglichten, einen Vermögenswert zu prägen, der überbrückten Ether (ETH) darstellte.

Sie wiederholten dies mehrere Male und liehen sich mehrere Kryptowährungen gegen das ungedeckte überbrückte ETH, wodurch die Mittel des Protokolls erschöpft wurden.

8: Rari Fuse Exploit – 79,3 Millionen US-Dollar

Ein anderes DeFi-Protokoll namens Rari Capital wurde am 30. April für die Summe von rund 79,3 Millionen Dollar ausgenutzt.

Der Angreifer nutzte eine Reentrancy-Schwachstelle in den Smart Contracts des Rar Fuse-Liquiditätspools des Protokolls aus und ließ sie eine Funktion für einen bösartigen Vertrag aufrufen, um die Pools aller Kryptowährungen zu leeren.

Im September stimmte Tribe DAO, zu dem Rari Capital und andere DeFi-Protokolle gehören, dafür, die durch den Hack betroffenen Benutzer zu entschädigen.

7: Harmony Bridge-Hack – 100 Millionen US-Dollar

Bei einem weiteren Bridge-Hack wurden der Horizon Bridge, die Ethereum, Bitcoin (BTC) und BNB Chain mit der Layer-1-Blockchain von Harmony verbindet, rund 100 Millionen US-Dollar in mehreren Kryptowährungen gestohlen.

Das Blockchain-Forensikunternehmen Elliptic hat den Hack dem nordkoreanischen Cyberkriminellensyndikat Lazarus Group zugeschrieben, da die Gelder auf ähnliche Weise wie bei anderen bekannten Lazarus-Angriffen gewaschen wurden.

Lazarus soll es auf die Anmeldeinformationen von Harmony-Mitarbeitern abgesehen haben, das Sicherheitssystem der Plattform durchbrochen und die Kontrolle über das Protokoll erlangt haben. Anschließend hat er automatisierte Geldwäscheprogramme eingesetzt, um seine unrechtmäßig erworbenen Gewinne abzuschieben.

6: BNB Chain Bridge-Exploit – 100 Millionen US-Dollar

Die BNB-Kette wurde am 6. Oktober aufgrund „unregelmäßiger Aktivität“ im Netzwerk angehalten. Später stellte sich heraus, dass es sich dabei um einen Exploit handelte, durch den rund 100 Millionen US-Dollar von ihrer Cross-Chain-Brücke, dem BSC Token Hub, abflossen.

Ursprünglich ging man davon aus, dass der Angreifer aufgrund einer Schwachstelle, die die Erstellung von etwa zwei Millionen BNB, dem nativen Token der Kette, ermöglichte, rund 600 Millionen US-Dollar erbeuten konnte.

Unglücklicherweise für den Angreifer waren digitale Vermögenswerte im Wert von rund 400 Millionen US-Dollar auf der Blockchain eingefroren, und möglicherweise steckte noch mehr in Cross-Chain-Brücken auf der BNB-Blockchain-Seite fest.

5: Wintermute-Hack – 160 Millionen US-Dollar

Der in Großbritannien ansässige Krypto-Market-Maker Wintermute war von einem kompromittierten Hot Wallet betroffen, bei dem rund 70 Token im Wert von 160 Millionen US-Dollar aus dem Wallet transferiert wurden.

Einer Analyse der Blockchain-Cybersicherheitsfirma CertiK zufolge wurde ein anfälliger privater Schlüssel angegriffen, der wahrscheinlich von Profanity generiert wurde – einer App, die es Benutzern ermöglicht, Vanity-Kryptoadressen zu generieren, und für die ein bekannter Exploit vorliegt.

Laut CertiK konnte der Angreifer dadurch eine Funktion mit dem privaten Schlüssel verwenden, die es dem Hacker ermöglichte, den Swap-Vertrag der Plattform in seinen eigenen zu ändern.

Verschwörungstheorien, denen zufolge es sich bei dem Hackerangriff aufgrund der Art und Weise um einen „Insider-Job“ gehandelt haben könnte, wurden von der Blockchain-Sicherheitsfirma BlockSec widerlegt. Sie erklärte, die Anschuldigungen seien „nicht überzeugend genug“.

4: Nomad-Token-Bridge-Exploit – 190 M

Am 2. August wurde die Nomad Token Bridge, die es Benutzern ermöglicht, Kryptowährungen über mehrere Blockchains hinweg auszutauschen, von mehreren Angreifern um 190 Millionen Dollar geleert.

Die Ursache für den Exploit war eine Schwachstelle im Smart Contract, aufgrund derer die Transaktionseingaben nicht richtig validiert wurden.

Mehrere Benutzer, sowohl böswillige als auch wohlwollende, konnten die Schritte des ursprünglichen Angreifers kopieren, um Geld an sich selbst zu leiten. Rund 88 % der an dem Exploit beteiligten Adressen wurden in einem Bericht als „Nachahmer“ identifiziert.

Lediglich Gelder im Wert von etwa 32,6 Millionen US-Dollar konnten von White-Hat-Hackern abgefangen und in das Protokoll zurückgeführt werden.

3: Wurmlochbrücken-Exploit – 321 Mio. $

Am 2. Februar wurde die Wormhole-Token-Brücke Opfer eines Angriffs, der zum Verlust von 120.000 Wrapped Ether (wETH)-Token im Wert von 321 Millionen US-Dollar führte.

Wormhole ermöglicht es Benutzern, Kryptowährungen zwischen mehreren Blockchains zu senden und zu empfangen. Ein Angreifer fand eine Schwachstelle im Smart Contract des Protokolls und konnte 120.000 wETH auf Solana (SOL) ohne Sicherheiten prägen und diese dann gegen ETH eintauschen.

Damals wurde es als der größte Exploit des Jahres 2022 bezeichnet und stellt den drittgrößten Protokollverlust des Jahres insgesamt dar.

2: FTX-Wallet-Hack – 477 Millionen US-Dollar

Zu Beginn des Insolvenzverfahrens von FTX am 11. und 12. November kam es an der Börse zu einer Reihe nicht autorisierter Transaktionen. Elliptic geht davon aus, dass Kryptowährungen im Wert von rund 477 Millionen US-Dollar gestohlen wurden.

Sam Bankman-Fried sagte in einem Interview am 16. November, er glaube, es sei „entweder ein ehemaliger Mitarbeiter gewesen oder irgendjemand habe irgendwo auf dem Computer eines ehemaligen Mitarbeiters Schadsoftware installiert“ und habe den Täter auf acht Personen eingegrenzt, bevor er aus den Systemen des Unternehmens gesperrt wurde.

Berichten zufolge leitete das US-Justizministerium am 27. Dezember eine Untersuchung zum Verbleib der fehlenden Kryptowährungen im Wert von rund 372 Millionen Dollar ein.

1: Ronin Bridge-Hack – 612 Mio. $

Der größte Exploit des Jahres 2022 ereignete sich am 23. März, als über die Ronin-Brücke rund 612 Millionen US-Dollar erbeutet wurden – 173.600 ETH und 25,5 Millionen USD Coin (USDC).

Ronin ist eine Ethereum-Sidechain, die für Axie Infinity entwickelt wurde, ein Spiel, bei dem man Nonfungible Token (NFT) verdienen kann. Sky Mavis, die Entwickler von Axie Infinity, sagten, die Hacker hätten Zugriff auf private Schlüssel erhalten, Validierungsknoten kompromittiert und Transaktionen genehmigt, die Gelder von der Brücke abgezogen hätten.

Das US-Finanzministerium hat am 14. April seine Liste der Specially Designated Nationals and Blocked Persons (SDN) aktualisiert, um der Möglichkeit Rechnung zu tragen, dass die Lazarus Group hinter dem Angriff auf die Brücke steckt.

Der Ronin Bridge-Hack ist der größte Kryptowährungs-Angriff aller Zeiten.