Въпреки че пазарите на криптовалута бяха хванати в капана на тежка меча рецесия, измамите и хаковете в Web3 горяха през цялата 2022 г. Редица централизирани криптовалути от най-високо ниво също се сринаха поради лошо управление на риска и вътрешни манипулации.
Докато крипто сегментът наближава Нова година, U.Today обобщава най-опасните крипто измами, техните корени, дизайн и загубите, които са причинили. Подготвили сме и кратък преглед на най-честите крипто измами в социалните медии, насочени към милиони потребители ежедневно.
Крипто измами и хакове от 2022 г.: Кратки факти
Според множество доклади за киберсекцията през първите 11 месеца на 2022 г. хакери и измамници са успели да откраднат безпрецедентна сума от $4.2 милиарда в криптовалута, което е с 37% повече от 2021 г., когато ключовите криптовалути бяха 2x-3x по-скъпи.
- Най-големите атаки бяха извършени срещу междуверижни протоколи — мостовият механизъм Ronin на Axie Infinity и многопротоколната екосистема Wormhole.
- Колапсът на екосистемата Terra (LUNA), нейния основен DeFi Anchor Protocol (ANC) и обвързаната с USD стабилна монета TerraUSD (UST) допринесоха за Q2-Q4 на 2022 г., фаза на меча рецесия.
- Драмата около вече несъществуващата крипто борса FTX и свързаната търговска фирма Alameda Research беше най-големият срив на централизирана услуга през 2022 г.
- Въпреки че най-големите хакове се обсъждат широко в медиите, по-голямата част от крипто измамите са организирани чрез стари методи: фалшиви airdrops, злонамерени „програми за възстановяване“, схеми за арбитраж на измами и други подобни.
- Редица големи хакове изглеждаха операции с бели шапки: нападателите върнаха откраднатите пари в замяна на впечатляващи награди за грешки.
- Почти 12% от всички токени BEP-20 и 8% от токените ERC-20 са измамни; Ежедневно се стартират 350 нови измами.
В този преглед ще говорим за целенасочено стартирани измами и проекти, които първоначално са били легитимни, като „измами“, докато „хакове“ са атаки на трети страни върху легитимни проекти, изпълнени без събития „вътрешна работа“.
Най-добрите крипто измами и сривове за 2022 г
През 2022 г. Bitcoin (BTC), Ethereum (ETH) и всички основни криптовалути загубиха над 70-80% от своя ATH, докато в повечето засегнати сегменти — токени на metaverse, токени GameFi, екосистемата Solana (SOL) — средната загуба надхвърля 90 %. Някои крипто големи не успяха да оцелеят след такъв болезнен спад.
Terra (LUNA)/Terra USD (UST)
EVM-съвместимата платформа за интелигентни договори Terra (LUNA) беше сред най-прекалените убийци на Ethereum (ETH) за 2021 г. Въпреки това, лъвският дял от нейния TVL беше съсредоточен върху Anchor Protocol (ANC), проста машина за отглеждане на добив, която предлагаше 19% APY за депозити в Terra USD (UST), вече несъществуваща стабилна монета на Terra, обвързана с USD. Общо повече от 20 милиарда долара в еквивалент са били заключени в Anchor (ANC) през Q1 на 2022 г.
В началото на май 2022 г. обаче някой започна агресивно да изпраща UST към пулове на Curve Finance (CRV) DeFi и да обменя токените на USD Coin (USDC). UST загуби своята връзка. Terraform Labs и нейният изпълнителен директор Do Kwon започнаха да инжектират ликвидност в механизма UST/LUNA. Въпреки това, поради огромното натрупване на капитал, както LUNA, така и UST паднаха до почти нулеви стойности. Блокчейнът Terra (LUNA) беше спрян завинаги.
Както беше описано от U.Today по-рано, изследователите разкриха, че Terraform Labs са инициирали колапса: масивни UST трансфери са били разрешени от Do Kwon. Твърди се, че основателят на Terra е избягал в Сърбия и се опитва да осребри своите биткойни (BTC) там.
Три стрелки капитал
Създаден от Су Джу и Кайл Дейвис, възпитаници на Колумбийския университет и ветерани от Credit Suisse, Three Arrows Capital (3AC) беше сред най-влиятелните крипто хедж фондове. Той натрупа над $20 милиарда в AUM, благодарение на това, че беше ранен инвеститор в Ethereum (ETH), Avalanche (AVAX), Solana (SOL) и други.
Срутената LUNA обаче беше един от ключовите елементи на портфолиото на 3AC. Екипът инвестира над $600 милиона в Terra (LUNA): този огромен дял беше изтрит две седмици след колапса на LUNA/UST.
На 16 юни 2022 г. FT обяви, че 3AC не е успяла да изпълни исканията си за маржин поради загуби в Anchor Protocol на Terra. Фирмата също беше под вода в позициите си в Staked Ether (stETH) в Lido Finance (LDO) DeFi и в Grayscale Bitcoin Trust (GBTC). През юни не успя да изплати заема си към крипто гиганта Voyager. В края на юли фирмата беше ликвидирана от съд на BVI, докато ръководството на 3AC подаде молба за банкрут. Общо 20 инвеститора в 3AC загубиха над 3.5 милиарда долара.
Пътник в космоса
Регистрираният в САЩ кредитор Voyager също стана жертва на лошо управление на риска: той предостави необезпечен заем от $650 милиона на Three Arrows Capital, докато нетният му AUM беше почти $5.9 милиарда. Платформата се похвали с 3.5 милиона клиенти, 97% от които са инвестирали по-малко от $10,000 XNUMX.
Като цяло Voyager се срина поради факта, че неговият екип избра рискована бизнес стратегия: предлагаше заеми на множество търговски услуги и отделни търговци на криптовалута. Тъй като заемодателите започнаха масово да теглят парите си, в началото на юли Voyager замрази средствата на клиентите. Няколко дни по-късно тя подава молба за защита от фалит в Ню Йорк.
Тъй като платформата беше фокусирана върху малки клиенти на дребно, колапсът й беше най-болезнен за ентусиастите на криптовалутата.
Целзий
Всъщност Celsius беше първата фирма, която сигнализира за проблемите си: през април 2022 г. платформата обяви, че ще държи под попечителство всички активи на неакредитирани инвеститори: поради това тази част от клиентите не успяха да инжектират нова ликвидност и да получат награди.
През май 2022 г., уплашени от драмите с UST и Terra, потребителите започнаха да преместват пари от протокола Celsius. На 12 юни 2022 г. Celsius замрази средствата на 1.7 милиона клиенти (предимно инвеститори на дребно). Точно като Voyager, той подаде молба за банкрут в началото на юли.
На 14 юли 2022 г. юридическият съветник на Celsius Kirkland & Ellis сподели, че лидерите на платформата са били информирани за дупка от 1.3 милиарда долара в нейния баланс.
FTX
Колапсът на борсата за криптовалута FTX на Сам Банкман-Фрид и свързаната с нея фирма за крипто инвестиране Alameda Research беше най-изненадващата драма в Web3: SBF и неговият екип се опитаха да получат огромен контрол над индустрията, като подписаха десетки партньорства, появиха се на кориците на Forbes и скоро.
Въпреки това балансът на Alameda Research зависеше в голяма степен от FTX Token (FTT), родната криптовалута на FTX. Ето защо цялата система се срина, когато главният изпълнителен директор на Binance Changpeng “CZ” Zhao започна агресивно да продава FTT (над 500 милиона долара в еквивалент бяха пуснати от CZ).
Както във всички подобни случаи, инвеститорите започнаха масово да теглят парите си от FTX. Платформата спря тегленията, SBF се оттегли като главен изпълнителен директор и обяви фалит. Междувременно стана известно, че той използва парите на инвеститори и клиенти в собствената си търговска фирма Alameda Research. Поради ужасно лошо управление, Alameda Research беше доста под водата. SBF беше арестуван и освободен под гаранция, докато реализираните загуби от срива на FTX достигнаха своя връх от 9 милиарда долара в еквивалент.
Най-добрите крипто хакове през 2022 г
Съгласно ан анализ на експертите по киберсигурност на Merkle Science, междумрежовите мостове са особено уязвими за експлойти поради тяхната техническа сложност и силно експериментален характер:
Мостовете между веригите често са по-податливи на експлойти, тъй като изискват повече взаимодействия и одобрения на договори, отколкото другите протоколи. Освен това мостовете са по-податливи на атаки, тъй като се управляват от непроверени компютърни кодове. Освен това самоличността на валидаторите/възлите, които изпълняват транзакциите, също е неизвестна
През 2022 г. мостовете бяха основните цели на атаки, докато други механизми на DeFi също бяха използвани от хакери.
Червеева дупка
На 3 февруари 2022 г. хакери атакуваха Wormhole, мост, предназначен да улесни безпроблемен трансфер на стойност между разнородни блокчейни. Поради уязвимост в кода, те успяха да издадат 120,000 XNUMX Wrapped Ethers (wETH) на блокчейна Solana (SOL), без да поставят съответното обезпечение на Ethereum (ETH).
Хакването може да доведе до несъстоятелност на всяка платформа DeFi, която би била готова да приеме 120,000 XNUMX wETH (отпечатани от нищото) като обезпечение. За щастие най-лошият сценарий не се случи.
Jump Crypto, компанията-майка на услугата Wormhole, пое всички загуби: те незабавно попълниха 120,000 XNUMX Ethers към пуловете за ликвидност на протокола.
Ronin
На 23 март севернокорейски хакери от Lazarus, скандално известна подкрепяна от държавата киберпрестъпна група, атакуваха мрежата Ronin. Ronin е подобна на Ethereum странична верига, разработена специално за Axie Infinity, водеща GameFi. Нападателите източиха на Ронин колосалните 568 милиона долара.
Хакерите успяха да получат контрол над пет от девет подписа на валидатори за Ronin Bridge. След това те разрешиха две транзакции, 173,600 25.5 Ether (ETH) и 445 милиона USD Coin (USDC). От тази чудовищна плячка над XNUMX милиона долара бяха изпрани чрез крипто миксера Tornado Cash.
Разработчикът на Axie Infinity Sky Mavis набра допълнително финансиране, нареди още един одит на сигурността от CertiK и увеличи прага за мултисиг от 5/9 на 8/9.
Номад
През август 2022 г. Nomad, многоверижен мостов механизъм, който премества стойност между Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) и други блокчейни, беше източен за 190.7 милиона долара в крипто. Нападателите успяха да се възползват от уязвимостта на дизайна на интелигентния договор: протоколът позволи на потребителите да теглят средства в целевата блокчейн, без да проверяват дали са еквивалентни на първоначално разгърнатата сума.
12/ tl;dr рутинна надстройка маркира нулевия хеш като валиден корен, което има ефект на позволяване на съобщенията да бъдат подправени на Nomad. Нападателите злоупотребяват с това, за да копират/поставят транзакции и бързо източват моста в неистов безплатен за всички
— това вече е акаунт в shitpost (@samczsun) Август 2, 2022
Казано по-просто, след редовното надграждане потребителите можеха да депозират 1 ETH в Ethereum (ETH) и да поискат еквивалентно теглене на 100 Ethereum (ETH) от Avalanche (AVAX).
Работата е там, че всеки технически разбиращ Web3 ентусиаст е успял да възпроизведе този вектор на атака и да открадне средства от Nomad преди пускането на корекцията. Поради това много разработчици на Ethereum (ETH) изтеглиха средства само за да ги изпратят обратно на екипа на Nomad: почти 40 милиона долара бяха върнати обратно.
Beanstalk
На 16 април 2022 г. базираният на Ethereum стейбълкойн проект Beanstalk (BEAN) беше атакуван от сложна атака за флаш заем. А именно, престъпниците успяха да получат бърз заем от Aave Finance (AAVE) и да купят необходимото количество токени за управление, за да поемат контрола върху протоколните референдуми във веригата.
Тогава нападателите спечелиха супермнозинството при гласуване и одобриха паричен превод към собствената си сметка. Когато бяха преведени 180 милиона долара, те незабавно изплатиха бързия заем; нетната печалба надхвърли 80 милиона долара.
wintermute
През септември 2022 г. портфейлите на Wintermute, една от най-големите маркет-мейкърски платформи, бяха източени за 160 милиона долара. Нападателите разкриха, че някои от ключовите портфейли на Wintermute са създадени с Profanity, генератор на „суетни адреси“ за мрежата Ethereum (ETH). Такива програми могат да създават крипто портфейли с четими от човека адреси, напр. 0xJohnDoe1111… и подобни.
Поради уязвимост в дизайна на Profanity, нападателите успяха да форсират адресите с груба сила и да възстановят личните ключове. Атаката стана възможна поради значителни изчислителни ресурси, използвани от злоумишленици.
Бонус: Не се поддавайте на тези дългогодишни измами
Наред със сложни сценарии, които включват бързи заеми от 1 милиард долара, севернокорейски хакери и впечатляващ хардуер за брутално налагане, тук и там се появяват много примитивни измамни кампании. Три дизайна на атаки са много често срещани в крипто към 2022 г.:
1. Фалшиви airdrops. За да изпълнят тази измама, злоумишлениците или организират рекламна кампания в YouTube, или поставят рекламата си в Twitter. След това те обявяват, че интернет знаменитост (Снуп Дог), топ технологичен предприемач (Виталик Бутерин или Илон Мъск) или дори политик (Доналд Тръмп) пуска криптовалута. Всички, които са готови да изискат своите бонуси, трябва или да изпратят първоначален депозит (който уж ще бъде върнат със 100% печалба), или частните си ключове. Излишно е да казвам, че и двете групи ще загубят своите депозити или всички пари от портфейлите си.
Как да се предпазите: Никога не изпращайте парите си на „организатори на airdrop“ и не разкривайте личните си ключове или начални фрази.
2. Ръчно изработени MEV ботове. Максималната стойност за извличане (MEV) е максималната награда, която участниците в мрежата Ethereum (ETH) могат да получат за своя принос в процеса на валидиране на блокове. Усъвършенстваните техники ни позволяват да се възползваме от оптимизирането на MEV. Измамниците поставят видео или текстови наръчници за това как да създадете свои собствени „MEV ботове“, за да получите достъп до портфейлите на Ethereum (ETH) и да източите средства.
Как да се предпазите: Избягвайте „мигновени“ MEV ботове от ръководствата на YouTube.
3. Измамниците идват на помощ. Тъй като 2022 определено е година на хакове, много потребители на крипто проверяват дали любимите им блокчейни са повредени. Измамниците публикуват фалшиви съобщения за хакване на този или онзи проект и стартират фалшиви програми за „компенсация“. Всички заинтересовани от обезщетение са помолени да изпратят началните си фрази на измамниците.
Как да се предпазите: Проверявайте новини за хакове само в официалните медийни канали на блокчейн.
Заключителни мисли
През 2022 г. по-голямата част от сривовете бяха предизвикани от болезнения спад на цените на криптовалутите, лошото управление на риска и алчността на собствениците на централизирани продукти за криптовалута. Ето защо децентрализацията е голяма работа: мъдростта на тълпата на DAO би предотвратила сривовете в мащаба на FTX/Celsius/Voyager.
Междувременно продуктите във веригата трябва да се грижат за одитите на сигурността, актуализациите и управлението на частни самолети.
Източник: https://u.today/top-10-crypto-scams-and-hacks-of-2022