În ciuda faptului că piețele de criptomonede au fost prinse într-o recesiune severă de urs, înșelătoriile și hackurile în Web3 au fost în flăcări pentru întregul an 2022. O serie de grele criptomonede centralizate de nivel superior s-au prăbușit, de asemenea, din cauza gestionării slabe a riscurilor și a manipulărilor interne.
Pe măsură ce segmentul cripto se apropie de Anul Nou, U.Today recapitulează cele mai periculoase escrocherii cripto, rădăcinile, design-urile și pierderile pe care le-au provocat. Am pregătit, de asemenea, o scurtă trecere în revistă a celor mai frecvente escrocherii criptografice din rețelele sociale care vizează zilnic milioane de utilizatori.
Escrocherii și hack-uri criptografice din 2022: fapte rapide
Potrivit numeroaselor rapoarte cybersec, în primele 11 luni ale anului 2022, hackerii și escrocii au reușit să fure o sumă fără precedent de 4.2 miliarde de dolari în criptomonede, ceea ce este cu 37% mai mult decât în 2021, când criptomonedele cheie erau de 2x-3x mai scumpe.
- Cele mai mari atacuri au fost executate împotriva protocoalelor încrucișate – mecanismul de punte al lui Axie Infinity Ronin și ecosistemul multi-protocol Wormhole.
- Prăbușirile ecosistemului Terra (LUNA), majorul său protocol DeFi Anchor (ANC) și stablecoin-ul TerraUSD (UST) fixat în USD au contribuit la faza T2-T4, 2022, a recesiunii de urs.
- Drama din jurul bursei de criptomonede FTX și a firmei de tranzacționare asociate Alameda Research a fost cel mai mare colaps al serviciului centralizat din 2022.
- În ciuda faptului că cele mai mari hack-uri sunt discutate pe larg în mass-media, marea majoritate a înșelătoriilor cripto sunt organizate prin metode vechi: airdrops false, „programe de recuperare” rău intenționate, scheme de arbitraj înșelătorie și altele asemenea.
- O serie de hack-uri majore păreau a fi operațiuni cu pălărie albă: atacatorii au returnat banii furați în schimbul unor recompense impresionante pentru erori.
- Aproape 12% din toate jetoanele BEP-20 și 8% dintre jetoanele ERC-20 sunt frauduloase; 350 de noi escrocherii sunt lansate zilnic.
În această revizuire, ne vom referi la fraudele și proiectele lansate intenționat care au fost inițial legitime drept „înșelătorii”, în timp ce „hack-urile” sunt atacuri ale terților asupra proiectelor legitime executate fără evenimente de „lucru din interior”.
Cele mai importante escrocherii criptografice și prăbușiri din 2022
În 2022, Bitcoin (BTC), Ethereum (ETH) și toate criptomonedele majore au pierdut peste 70-80% din ATH, în timp ce în cele mai multe segmente afectate - jetoane metaverse, jetoane GameFi, ecosistemul Solana (SOL) - pierderea mediană depășește 90 %. Unii crypto majors nu au reușit să supraviețuiască unei scăderi atât de dureroase.
Terra (LUNA)/Terra USD (UST)
Platforma de contract inteligentă compatibilă cu EVM Terra (LUNA) a fost printre cele mai supraevaluate ucigași Ethereum (ETH) din 2021. Cu toate acestea, cea mai mare parte a TVL-ului său s-a concentrat pe Anchor Protocol (ANC), o simplă mașină de agricultură cu randament care a oferit un 19% APY pentru depozitele în Terra USD (UST), monedele stabile stabilite de Terra, acum dispărute, legate de USD. În total, peste 20 de miliarde de dolari în echivalent au fost blocați în Anchor (ANC) în primul trimestru al anului 1.
Cu toate acestea, la începutul lui mai 2022, cineva a început să trimită agresiv UST la pool-urile de pe Curve Finance (CRV) DeFi și să schimbe jetoanele pe USD Coin (USDC). UST și-a pierdut cheia. Terraform Labs și CEO-ul său Do Kwon au început să injecteze lichidități în mecanismul UST/LUNA. Cu toate acestea, din cauza unei rulări masive de capital, atât LUNA, cât și UST au scăzut la valori aproape zero. Blockchain-ul Terra (LUNA) a fost oprit definitiv.
După cum a fost descris anterior de U.Today, cercetătorii au dezvăluit că Terraform Labs a fost cea care a inițiat colapsul: transferurile masive UST au fost autorizate de Do Kwon. Fondatorul Terra ar fi fugit în Serbia și încearcă să-și încaseze Bitcoins (BTC) acolo.
Trei săgeți capitale
Lansat de Su Zhu și Kyle Davies, absolvenți ai Universității Columbia și veterani ai Credit Suisse, Three Arrows Capital (3AC) a fost printre cele mai influente fonduri speculative cripto. A strâns peste 20 de miliarde de dolari în AUM datorită faptului că a fost un investitor timpuriu în Ethereum (ETH), Avalanche (AVAX), Solana (SOL) și altele.
Cu toate acestea, LUNA prăbușită a fost unul dintre elementele cheie ale portofoliului 3AC. Echipa a investit peste 600 de milioane de dolari în Terra (LUNA): această miză masivă a fost ștearsă în două săptămâni după prăbușirea LUNA/UST.
Pe 16 iunie 2022, FT a anunțat că 3AC nu și-a îndeplinit apelurile în marjă din cauza pierderilor din Protocolul Anchor al Terra. Firma a fost, de asemenea, sub apă în pozițiile sale în Staked Ether (stETH) în Lido Finance (LDO) DeFi și în Grayscale Bitcoin Trust (GBTC). În iunie, nu a reușit să-și ramburseze împrumutul către gigantul criptografic Voyager. La sfârșitul lunii iulie, firma a fost lichidată de o instanță din BVI, în timp ce conducerea 3AC a depus faliment. În total, 20 de investitori în 3AC au pierdut peste 3.5 miliarde de dolari.
Călător
Creditorul înregistrat în SUA, Voyager, a căzut, de asemenea, victima unui management deficitar al riscului: a oferit un împrumut negarantat de 650 de milioane de dolari către Three Arrows Capital, în timp ce AUM net a fost de aproape 5.9 miliarde de dolari. Platforma s-a lăudat cu 3.5 milioane de clienți, dintre care 97% au investit mai puțin de 10,000 USD.
În general, Voyager s-a prăbușit din cauza faptului că echipa sa a ales o strategie de afaceri riscantă: a oferit împrumuturi mai multor servicii de tranzacționare și comercianți individuali de criptomonede. Pe măsură ce creditorii au început să-și retragă banii în masă, la începutul lunii iulie, Voyager a înghețat fondurile clienților. Câteva zile mai târziu, a depus o cerere de protecție în caz de faliment la New York.
Deoarece platforma s-a concentrat pe clienții cu amănuntul de dimensiuni mici, prăbușirea sa a fost cea mai dureroasă pentru pasionații de criptomonede.
Celsius
Celsius a fost, de fapt, prima firmă care a semnalat problemele sale: în aprilie 2022, platforma a anunțat că va păstra toate activele investitorilor neacreditați în custodie: această parte a clienților nu a putut, prin urmare, să injecteze noi lichidități și să obțină recompense.
În mai 2022, speriați de dramele UST și Terra, utilizatorii au început să mute bani din protocolul Celsius. Pe 12 iunie 2022, Celsius a înghețat fondurile a 1.7 milioane de clienți (majoritatea investitori de retail). La fel ca Voyager, a depus faliment la începutul lunii iulie.
Pe 14 iulie 2022, consilierul juridic al lui Celsius, Kirkland & Ellis, a spus că liderii platformei au fost informați despre o gaură de 1.3 miliarde de dolari în bilanțul său.
FTX
Prăbușirea bursei de criptomonede a lui Sam Bankman-Fried FTX și a companiei sale asociate de investiții în criptomonede Alameda Research a fost cea mai surprinzătoare dramă din Web3: SBF și echipa sa au încercat să obțină un control enorm asupra industriei prin semnarea a zeci de parteneriate, apărând pe coperțile Forbes și curând.
Cu toate acestea, bilanțul Alameda Research depindea în mare măsură de FTX Token (FTT), criptomoneda nativă a FTX. De aceea, întregul sistem s-a prăbușit când CEO-ul Binance, Changpeng „CZ” Zhao, a început să vândă agresiv FTT (peste 500 de milioane de dolari în echivalent au fost eliberați de CZ).
La fel ca în toate cazurile similare, investitorii au început să-și retragă în masă banii de la FTX. Platforma a oprit retragerile, SBF a demisionat din funcția de CEO și a depus faliment. Între timp, a devenit cunoscut faptul că folosea banii investitorilor și clienților în propria sa firmă de tranzacționare, Alameda Research. Din cauza unei gestionări proaste teribile, Alameda Research a fost bine sub apă. SBF a fost arestat și eliberat pe cauțiune, în timp ce pierderile realizate din prăbușirea FTX au atins un echivalent la 9 miliarde de dolari.
Cele mai importante hack-uri cripto în 2022
Conform unui an analiză a experților în securitate cibernetică Merkle Science, punțile între rețele sunt deosebit de vulnerabile la exploatări datorită complexității lor tehnice și caracterului extrem de experimental:
Punțile dintre lanțuri sunt adesea mai susceptibile la exploatare, deoarece necesită mai multe interacțiuni și aprobări contractuale decât celelalte protocoale. În plus, podurile sunt mai susceptibile la atacuri, deoarece sunt conduse de coduri computerizate neauditate. Mai mult, identitățile validatorilor/nodurilor, care rulează tranzacțiile sunt, de asemenea, necunoscute
În 2022, podurile au fost ținta principală a atacurilor, în timp ce alte mecanisme DeFi au fost, de asemenea, exploatate de hackeri.
Gaura de vierme
Pe 3 februarie 2022, hackerii au atacat Wormhole, o punte concepută pentru a facilita transferul fără întreruperi de valoare între blockchain-uri eterogene. Din cauza unei vulnerabilități în cod, au reușit să emită 120,000 de Wrapped Ethers (wETH) pe blockchain-ul Solana (SOL), fără a furniza garanția corespunzătoare Ethereum (ETH).
Hackul ar putea duce la insolvența oricărei platforme DeFi care ar fi gata să accepte 120,000 de wETH (tipărite din aer) ca garanție. Din fericire, scenariul cel mai rău nu s-a întâmplat.
Jump Crypto, compania-mamă a serviciului Wormhole, a preluat toate pierderile: au completat imediat 120,000 de eteri în pool-urile de lichiditate de protocol.
ronin
Pe 23 martie, hackerii nord-coreeni de la Lazarus, un grup infam susținut de stat, au atacat rețeaua Ronin. Ronin este un sidechain asemănător Ethereum, dezvoltat special pentru Axie Infinity, un GameFi emblematic. Atacatorii l-au scurs pe Ronin de 568 de milioane de dolari.
Hackerii au reușit să obțină controlul a cinci din nouă semnături de validare pentru Ronin Bridge. Apoi au autorizat două tranzacții, 173,600 Ether (ETH) și 25.5 milioane USD Coin (USDC). Din această pradă monstruoasă, peste 445 de milioane de dolari au fost spălate prin intermediul mixerului criptografic Tornado Cash.
Dezvoltatorul Axie Infinity Sky Mavis a strâns fonduri suplimentare, a comandat un alt audit de securitate de către CertiK și a crescut pragul multisig de la 5/9 la 8/9.
nomad
În august 2022, Nomad, un mecanism de punte cu mai multe lanțuri care mută valoarea între Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) și alte blockchain-uri, a fost epuizat de 190.7 milioane USD în cripto. Atacatorii au reușit să exploateze o vulnerabilitate a designului contractului inteligent: protocolul permitea utilizatorilor să retragă fonduri pe blockchain-ul țintă fără a verifica dacă acestea erau echivalente cu suma implementată inițial.
12/ tl;dr o actualizare de rutină a marcat zero hash ca o rădăcină validă, ceea ce a avut ca efect posibilitatea de a permite falsificarea mesajelor pe Nomad. Atacatorii au abuzat de acest lucru pentru a copia/lipi tranzacții și au drenat rapid podul într-un joc frenetic gratuit pentru toate
— acesta este acum un cont shitpost (@samczsun) August 2, 2022
Pur și simplu, după upgrade-ul obișnuit, utilizatorii au putut depune 1 ETH pe Ethereum (ETH) și să solicite o retragere echivalentă cu 100 Ethereum (ETH) de la Avalanche (AVAX).
Ideea este că fiecare pasionat de tehnologie Web3 a fost capabil să reproducă acest vector de atac și să fure fonduri de la Nomad înainte ca patch-ul să fie lansat. Ca atare, mulți dezvoltatori Ethereum (ETH) au retras fonduri doar pentru a le trimite înapoi echipei Nomad: aproape 40 de milioane de dolari au fost trimiși înapoi.
vrejul de fasole
Pe 16 aprilie 2022, proiectul de monede stabile bazat pe Ethereum Beanstalk (BEAN) a fost vizat de un atac sofisticat de împrumut rapid. Și anume, răufăcătorii au reușit să obțină un împrumut rapid pe Aave Finance (AAVE) și să cumpere cantitatea de jetoane de guvernare necesare pentru a prelua controlul asupra referendumurilor în lanț de protocol.
Apoi atacatorii au obținut supermajoritatea de vot și au aprobat un transfer de bani în cont propriu. Când au fost transferați 180 de milioane de dolari, ei au rambursat imediat împrumutul rapid; profitul net a depășit 80 de milioane de dolari.
wintermute
În septembrie 2022, Wintermute, una dintre cele mai mari platforme de creare de piață, și-a epuizat portofelele pentru 160 de milioane de dolari. Atacatorii au dezvăluit că unele dintre portofelele cheie ale Wintermute au fost create cu Profanity, un generator de „adrese de vanitate” pentru rețeaua Ethereum (ETH). Astfel de programe pot crea portofele cripto cu adrese care pot fi citite de om, de exemplu, 0xJohnDoe1111... și altele asemenea.
Datorită unei vulnerabilități în designul lui Profanity, atacatorii au reușit să forțeze brute adresele vanity și să recupereze cheile private. Atacul a devenit posibil datorită resurselor de calcul semnificative utilizate de răufăcători.
Bonus: nu vă lăsați îndrăgostiți de aceste escrocherii de lungă durată
Pe lângă scenarii sofisticate care includ împrumuturi flash de 1 miliard de dolari, hackeri nord-coreeni și hardware impresionant pentru forțarea brută, campanii de înșelătorie foarte primitive apar ici și colo. Trei modele de atac sunt foarte comune în cripto începând cu 2022:
1. Airdrops false. Pentru a rula această înșelătorie, răufăcătorii fie organizează o campanie de publicitate pe YouTube, fie își plasează anunțul pe Twitter. Apoi anunță că o celebritate de pe internet (Snoop Dogg), un antreprenor de top în tehnologie (Vitalik Buterin sau Elon Musk) sau chiar un politician (Donald Trump) aruncă criptomonede. Toți cei care sunt gata să-și revendice bonusurile ar trebui fie să trimită o depunere inițială (care ar fi returnată cu un profit de 100%), fie cheile lor private. Inutil să spunem că ambele grupuri își vor pierde depozitele sau toți banii din portofel.
Cum să vă protejați: Nu vă trimiteți niciodată banii către „organizatorii de airdrop” și nu vă dezvăluiți cheile private sau frazele de bază.
2. Boti MEV realizati manual. Valoarea maximă extractabilă (MEV) este recompensa maximă pe care participanții la rețeaua Ethereum (ETH) o pot obține pentru contribuția lor în procesul de validare a blocurilor. Tehnicile sofisticate ne permit să beneficiem de optimizarea MEV. Escrocii plasează manuale video sau text despre cum să vă construiți proprii „boți MEV” pentru a obține acces la portofelele Ethereum (ETH) și pentru a scurge fonduri.
Cum să vă protejați: Evitați roboții MEV „instantanei” din manualele YouTube.
3. Escrocii vin în ajutor. Întrucât 2022 este cu siguranță un an de hack-uri, mulți utilizatori cripto verifică dacă blockchain-urile lor preferate sunt rupte. Escrocii postează anunțuri false despre piratarea unui proiect sau acela și lansează programe de „compensare” false. Toți cei interesați de despăgubiri sunt rugați să trimită frazele lor escroci.
Cum să vă protejați: Verificați doar știrile despre hack-uri pe canalele media oficiale ale blockchain-urilor.
Gânduri închise
În 2022, majoritatea colapsurilor au fost declanșate de scăderea dureroasă a prețurilor criptomonedelor, managementul deficitar al riscurilor și lăcomia proprietarilor de produse centralizate de criptomonede. De aceea, descentralizarea este o mare problemă: înțelepciunea mulțimii unui DAO ar împiedica producerea colapsurilor la scară FTX/Celsius/Voyager.
Între timp, produsele în lanț ar trebui să aibă grijă de auditurile de securitate, actualizările și gestionarea avioanelor private.
Sursa: https://u.today/top-10-crypto-scams-and-hacks-of-2022