검거: 2022년 '메가' 암호화 해킹

에 따르면 TRM 연구소 분석에 따르면 2022년은 약 3.7억 달러 상당의 암호화폐가 도난당한 암호화폐 해킹의 기록적인 해였습니다. DeFi DeFi 피해자와 관련된 공격은 약 80% 또는 3억 달러로 널리 퍼졌습니다.

초기 기술의 가능성에 대해 낙관적인 2023년으로 접어들면서 우리는 뒤늦게 직면한 도전과 좌절로부터 배우기 위해 되돌아봐야 합니다.

Ronin Bridge 인프라 암호화 해킹

액시 무한대 로닌 브리지 암호화 해킹 612월에는 XNUMX억 XNUMX만 달러로 XNUMX위를 차지했습니다. 로닌 브리지는 이더리움 Axie Infinity play-to-ear 게임용 사이드 체인.

라자루스(Lazarus)라고 불리는 북한 사이버 범죄 그룹으로 확인된 암호화 해커들은 로닌 브리지 거래 유효성 검사기의 개인 키 173,600개에 접근할 수 있었습니다. 키를 사용하여 하나는 25.5 ETH, 다른 하나는 XNUMX만 USDC의 대규모 트랜잭션을 승인했습니다.

해커들은 암호화폐를 토네이도캐시, 오픈소스 암호화폐 텀블러 및 기타 여러 거래소로 옮겼습니다. 

지역사회의 공동 노력, 바이낸스, Chainalysis 및 법 집행관은 일부 자금을 추적하는 데 도움을 주었습니다.

BSC Beacon 크로스 브리지 코드 익스플로잇

570월 해커는 BSC Beacon 크로스 브리지 코드의 취약점을 악용하여 XNUMX억 XNUMX천만 달러 상당의 암호화폐를 훔쳤습니다. 브리지는 BNB 체인의 중요한 구성 요소입니다.

토큰 허브라고 하는 BSC 비콘 체인은 BNB 비콘 체인(BEP2)과 BNB 체인(BEP20/BSC) 사이의 교차 체인 브리지입니다.

공격은 암호화 증명 위조 트랜잭션과 같은 데이터가 유효한 것으로 확인되고 포함된 Merkle 증명이라고 함 blockchain. cyrpto 해커는 BSC Beacon 크로스 브리지에서 다른 체인으로 자금을 전송하기 위해 거짓 Merkle 증명을 사용했습니다. 

Tether는 공격자의 주소를 차단했고 BNB 체인에서 이동한 7만 달러 이상은 사실상 동결되었습니다.

웜홀 브리지 코드 익스플로잇

암호화 해커는 326월에 XNUMX억 XNUMX만 달러 상당의 암호화폐 웜홀 코드를 악용했습니다. 웜홀은 솔라나와 이더리움 사이의 토큰 브리지입니다.

암호화 해커는 서명 확인을 우회하기 위해 더 이상 사용되지 않거나 완전히 안전하지 않은 기능을 사용했습니다.

더 이상 사용되지 않는 코드는 '앞으로 이 코드를 삭제하겠습니다.'라고 적힌 스티커 메모에 비유할 수 있습니다. 일부 소비자가 여전히 코드를 사용하고 있기 때문에 지금은 코드를 삭제할 수 없습니다.

일련의 서명 확인 위임이 암호화 해킹을 가능하게 했습니다. 더 이상 사용되지 않는 기능은 주소를 확인하지 않아 위조된 서명의 유효성을 검사할 수 있습니다.

사이버 분석가들에 따르면 개발자들이 '시큐어 코딩'을 연습했다면 공격을 피할 수 있었을 것이다.

Nomad 브리지 코드 익스플로잇

해커들은 190월에 XNUMX억 XNUMX천만 달러 상당의 암호화폐인 Nomad 암호화 브리지를 악용했습니다. 해커는 사실상 프로토콜의 모든 자금을 고갈시켰습니다. 익스플로잇이 증가하면서 교차 체인 토큰 브릿지의 보안에 의문이 생겼습니다.

브리지는 한 체인의 스마트 계약에서 토큰을 잠근 다음 다른 체인에서 '래핑된' 형식으로 재발행하는 방식으로 작동합니다. Nomad의 경우 공격은 래핑된 토큰을 쓸모없게 만드는 계약을 방해했습니다.

사실상 Nomad는 해커에게 자금의 10%를 유지하고 법적 조치와 보너스 화이트햇을 받지 않도록 현상금을 걸었습니다. NFT. 공격자는 결국 36만 달러만 반환했습니다.

검거: 2022년 '메가' 암호화 해킹 1

빈스토크 프로토콜 공격

182월의 운명적인 주말에 한 해커가 플래시론을 사용하여 ETH, BEAN 스테이블코인 및 Beanstalk 스테이블코인 프로토콜의 기타 자산에서 XNUMX억 XNUMX만 달러를 훔쳤습니다.

플래시론은 사용자가 자산을 빌리고 빠른 거래를 한 다음 여러 프로토콜에 걸쳐 복잡한 단일 트랜잭션으로 상환할 수 있는 기능입니다.

공격자는 긴급 커밋 기능을 통해 Beanstalk DAO에 24개의 악의적인 제안을 제시했으며, 이는 ⅔ 투표가 필요하고 XNUMX시간 후에 구현되었습니다. 

공격자 장난스럽게 플래시 대출 기능을 사용하여 79%의 통제권을 획득하고 그의 제안을 통과시켰습니다.

공격자는 프로토콜에 있는 자금을 보내 자신의 플래시 대출금을 갚고 나머지는 우크라이나 펀드 주소로 보냈습니다. 결국 그는 76만 달러의 이익을 챙겼다.

더 많은 메가 암호화 해킹

다른 메가 크립토 해킹에는 160월 Wintermute의 113억 112천만 달러 인프라 공격, 100월 Maiar/Elrond의 XNUMX억 XNUMX만 달러 인프라 공격, XNUMX월 Mango Markets의 XNUMX억 XNUMX만 달러 인프라 공격, XNUMX월 Harmony bridge의 XNUMX억 달러 인프라 공격이 포함됩니다.

출처: https://www.cryptopolitan.com/roundup-2022-mega-crypto-hacks/