Yr haciau crypto mwyaf yn 2022

Yn 2022, profodd prosiectau yn seiliedig ar arian cyfred digidol gyfres o haciau a gorchestion dinistriol yn yr hyn a ystyrir fel y flwyddyn waethaf erioed o ran sicrhau asedau digidol.  

Ar y cyfan, cyflymodd amlder haciau crypto yn gyflym eleni, gan gyrraedd y lefel uchaf erioed o $3 biliwn yng nghyfanswm yr arian a gollwyd - cynnydd mawr o $2 biliwn a gollwyd i haciau yn 2021 - yn ôl a Chainalysis adroddiad.

Dangosodd y flwyddyn i ni sut mae blackhat neu hacwyr maleisus yn defnyddio tactegau cynyddol ddatblygedig i fanteisio ar wendidau mewn apiau datganoledig a allai fod â chwilod, fel pob darn arall o feddalwedd.

Ymhlith heists crypto mawr 2022, mae digwyddiadau diogelwch yn ymwneud â pontydd traws-gadwyn ac roedd protocolau cyllid datganoledig yn sefyll allan am ddioddef iawndal hyd at gannoedd o filiynau o ddoleri mewn campau unigol. Yn ystod campau o'r fath, roedd hacwyr yn cyrchu a dwyn asedau crypto heb awdurdodiad trwy fanteisio ar wendidau mewn contractau smart.

Mae'r erthygl hon yn archwilio'r haciau crypto mwyaf yn 2022 ac aeth o'i le yn arwain at bob ymosodiad.

Rhwydwaith Ronin - $625 miliwn

Ar Fawrth 29, roedd Ronin, sidechain sy'n cynnal gêm Axie Infinity Sky Mavis manteisio ar gyfer $625 miliwn mewn amrywiol asedau crypto, sy'n golygu mai hwn yw'r heist crypto mwyaf hyd yn hyn. Datblygodd Sky Mavis Ronin i gynnal ei gêm blockchain boblogaidd Axie Infinity. Ond aeth pethau eu tro am y gwaethaf pan fethodd y tîm â sicrhau rhwydwaith Ronin rhag cyflawnwyr, yn ddiweddarach a nodwyd i fod yn grŵp hacio Lasarus Gogledd Corea. 

Trwy a ymosodiad gwe-rwydo ar sail e-bost ar gyn-weithiwr, cafodd y grŵp hacio fynediad i seilwaith TG Sky Mavis. Yno, mae'r hacwyr wedi lleoli ac yn dwyn allweddi preifat i nodau dilyswr blockchain Ronin, y mae'r cwmni'n eu storio ar ei weinyddion mewnol. Pan gafodd yr hacwyr fynediad at allweddi dilyswyr, fe wnaethant gymryd rheolaeth dros rwydwaith cyfan Ronin a throsglwyddo mwy na 173,600 ether (ETH) a 25.5 miliwn USDC stablecoin, sef cyfanswm o dros $ 625 miliwn. 

Yn ffodus i ddefnyddwyr y cymerwyd eu harian yn ystod y digwyddiad hwn, cafodd y rhan fwyaf eu had-dalu'n llawn, honnodd y cwmni. Wythnos ar ôl yr hac, SkyMavis codi $150 miliwn mewn rownd ariannu dan arweiniad Binance a chyfunwyd hyn gyda'i asedau ei hun i talu'n ôl i bawb yr effeithiwyd arnynt gan y camfanteisio.

FTX - $370-$400 miliwn 

Yn wahanol i heists diogelwch mawr eraill yn ystod y flwyddyn - fel y rhai sy'n effeithio ar apiau blockchain datganoledig sy'n gweithredu ar gontractau smart - gostyngodd y gyfnewidfa ganolog FTX sydd bellach wedi cwympo am un o haciau mwyaf 2022. Yn digwydd ym mis Tachwedd, daeth yr hac FTX i'r amlwg ar ôl gweinyddwyr swyddogol Telegram y gyfnewidfa Adroddwyd “mynediad heb awdurdod.” 

Dangosodd data Onchain fod y cyfnewid yn collodd waledi arian unrhyw le rhwng $370 miliwn i $ 400 miliwn yn fuan ar ôl ei cyn Brif Swyddog Gweithredol Sam Bankman-Fried ffeilio am amddiffyniad methdaliad Pennod 11. 

Ychydig mallfeydd edia cyfuwch y ffraethineb hach trosglwyddiad amheus arall o $400 miliwn a wnaed o FTX ar orchymyn Comisiwn Gwarantau'r Bahamas i gadw'r asedau'n ddiogel, a achosodd ddryswch. Fodd bynnag, roedd y ddau yn ddigwyddiadau ar wahân.

Y prif FTX newydd John J. Ray III tystio roedd yr hac a throsglwyddiad ased mawr arall a orchmynnwyd gan reoleiddwyr Bahamian ar wahân. Mae hyn yn cael ei wirio gan y cwmni dadansoddol Chainalysis, sy'n gweithio gyda FTX i olrhain yr asedau.

“Mae’r $400 miliwn a gafodd ei ddwyn a’i hacio o FTX yn gwbl ar wahân i’r $400 miliwn a ddelir gan Gomisiwn Gwarantau’r Bahamas. Mae'n gwbl ddealladwy bod pobl wedi drysu gan hyn, serch hynny," meddai llefarydd ar ran Chainalysis wrth The Block.

Ray hefyd Datgelodd mewn tystiolaeth barod dogfen bod FTX yn storio allweddi preifat i'w waledi mewn modd heb ei amgryptio, ac wedi mabwysiadu rheolaethau diogelwch gwael iawn - ffactorau a allai fod wedi caniatáu i'r darnia fod wedi digwydd yn hawdd.

Wormhole - $325 miliwn 

Ym mis Chwefror, cafodd Wormhole, protocol pont traws-gadwyn, ei hacio yn ystod ecsbloetio pontydd mwyaf eleni. Mae Wormhole yn caniatáu i ddefnyddwyr gloi eu ETH a derbyn ased wedi'i begio o'r enw Wormhole ETH (wETH) ar rwydwaith Solana. 

Ar Chwefror 2, syrthiodd Wormhole i haciwr a ffugiodd rai llofnodion diogelwch ar y bont a bathu gwerth 120,000 o WETH. $ 325 miliwn allan o aer tenau. Cyfnewidiodd yr haciwr y wETH a fathwyd yn anghyfreithlon am ETH gwirioneddol ar rwydwaith Ethereum, a thrwy hynny ddraenio'r holl asedau a ddelir ar Wormhole. 

Fe wnaeth y digwyddiad atal gweithrediadau'r bont ac am beth amser roedd hi'n ymddangos bod diwedd Wormhole yn agos. Byddai wedi bod yn hynod heriol adennill y colledion ond er mawr syndod i bawb, ychydig ddyddiau ar ôl yr hac, dywedodd Wormhole disodli pob un o'r ETH dwyn ac agorodd y bont.

Cadarnhaodd Jump Crypto, cwmni masnachu a chyfalaf menter a ddeorodd Wormhole, ei fod yn ailgyflenwi'r 120,000 ETH a ddwynwyd o'i gronfeydd ei hun i helpu i gynnal y bont.

Nomad - $190 miliwn 

Ar Awst 7, dioddefodd Nomad - pont sy'n cysylltu cadwyni blociau Ethereum, Avalanche, Moonbeam ac Evmos - yr hac pont traws-gadwyn ail fwyaf y flwyddyn gyda $ 190 miliwn gwerth yr asedau a gollwyd. Deilliodd yr hac o ddiweddariad diffygiol y dynododd datblygwyr Nomad ynddo ar gam 0x00 (y cyfeiriad sero) fel y gwraidd y gellir ymddiried ynddo. 

Roedd y swyddogaeth hon yn golygu y gallai unrhyw un dynnu arian o'r bont heb fynd trwy wiriad contract yr ymddiriedolaeth a gallai osgoi ei diogelwch yn hawdd. Fel y diweddariad daeth y mater yn gyhoeddus, drosodd 300 o gyfeiriadau rhuthrodd i mewn i fachu arian gan Nomad mewn camfanteisio rhad ac am ddim i bawb. Yn ffodus, roedd rhai o'r cyfeiriadau yn perthyn i hacwyr moesegol a oedd yn ddiweddarach dychwelyd $22 miliwn yn ôl i Nomad. 

Ffermydd coeden ffa - $182 miliwn

Roedd Beanstalk Farms, protocol stablecoin ymosod ym mis Ebrill 2022 yn hac llywodraethu mwyaf y flwyddyn.

Manteisiodd haciwr anhysbys ar fwlch diogelwch yn sefydliad ymreolaethol datganoledig Beanstalk (DAO), sy'n goruchwylio'r broses o wneud penderfyniadau ar gyfer y prosiect stablecoin. Ar y Goeden Ffa, gallai unrhyw un gyflwyno cynnig a'i basio mewn diwrnod pe bai'n derbyn y mwyafrif o bleidleisiau gan ddeiliaid llywodraethiant brodorol Beanstalk o'r enw bean. 

Cyflwynodd actor maleisus gynnig yn gofyn i'r gymuned anfon asedau crypto o drysorlys Beanstalk i gyfeiriad crypto'r haciwr. Pan basiodd y bleidlais, gwnaed y trosglwyddiad yn awtomatig.

Cymerodd yr ymosodwr a benthyciad fflach, benthyciad y gellir ei gymryd heb unrhyw gyfochrog, os caiff ei ddychwelyd o fewn yr un trafodiad. Gyda hyn, y haciwr prynwyd miliynau o ddoleri mewn tocynnau ffa i sicrhau bod ganddynt ddigon o docynnau i gymeradwyo'r bleidlais. 

Gyda'r tric hwn, llwyddodd yr haciwr i sianelu tua $80 miliwn mewn tocynnau ffa o drysorfa'r prosiect nad oedd yn hysbys i ddatblygwyr craidd y Goeden Ffa. Ar ôl hyn, y haciwr Wedi gwerthu'r tocynnau ffa hynny ar y platfform, roedd y golled derfynol yn sylweddol uwch i'r Goeden Ffa. Cwmni diogelwch PeckShield amcangyfrif costiodd y digwyddiad Goeden Ffa $182 miliwn mewn colledion protocol.

Marchnadoedd Mango - $114 miliwn

Er nad yw'n hac yn dechnegol, dioddefodd platfform benthyca Solana gam mawr o drin y farchnad ym mis Hydref.

Arweiniodd yr ymosodwr - yr honnir yn ddiweddarach ei fod yn fasnachwr DeFi Avraham Eisenberg - dîm i ymosod ar Mango Markets i twndis $ 114 miliwn mewn adneuon cwsmeriaid o'r platfform. Cyfaddefodd ei ran yn ddiweddarach.

Roedd yr ymosodiad yn ddeublyg. Yn gyntaf, honnir bod Eisenberg wedi prynu degau o filiynau o docynnau Mango anhylif - a adneuodd yn y protocol fel cyfochrog benthyca.

Yn ail, gyda thua $5 miliwn yn yr USDC stablecoin, honnir iddo yrru pris tocynnau Mango i fyny sawl gwaith - a thrwy hynny dyfu gwerth doler ei adneuon cyfochrog benthyca ar Mango yn artiffisial. Llwyddodd i wneud hyn oherwydd bod gan docynnau Mango hylifedd tenau iawn ar draws llawer o gyfnewidfeydd.

Fe wnaeth cynnydd yng ngwerth marchnad tocynnau Mango ysgogi oraclau data i feddwl bod yr asedau a adneuwyd gan Eisenberg yn werth mwy na $400 miliwn.

Gyda'r gwerth cyfochrog wedi'i bwmpio, benthycodd $ 114 miliwn mewn asedau crypto gyda'r bwriad o beidio â'i dalu'n ôl - gan rwydo elw enfawr iddo'i hun. Ddiwrnod yn ddiweddarach, fe orfododd lywodraethu Mango i pasio pleidlais, yn cytuno i ddychwelyd $47 miliwn fel cytundeb trafod het wen. Erbyn hyn, nid oedd hunaniaeth yr ymosodwr yn hysbys.

Fe wnaeth sleuths cadwyn olrhain yr ymosodiad i Eisenberg. Ef cyfaddefwyd ei gyfraniad ond gwrthbrofodd wneud unrhyw beth anghyfreithlon, gan ddadlau ei fod yn “defnyddio’r protocol fel y’i dyluniwyd.” Yn amlwg ni brynodd yr awdurdodau y ddadl “code is law” a wnaed gan Eisenberg. 

Ym mis Rhagfyr, roedd Eisenberg wedi'i ddal yn y ddalfa ac wedi'i gyhuddo o droseddau'n ymwneud â thrin y farchnad gan Adran Gyfiawnder yr Unol Daleithiau. Arestiodd y DoJ ef ar gyhuddiadau o dwyll nwyddau a thrin nwyddau yn Puerto Rico.

BNB Token Hub - $ 120 miliwn 

Ar Hydref 6, cynhaliodd endid anhysbys raddfa fawr ymosod ar ar BNB Token Hub, gwasanaeth pontydd sy'n rhedeg rhwng BNB Chain - blockchain a sefydlwyd gan gyfnewidfa crypto Binance - ac Ethereum.

Gan fanteisio ar fyg yn system prawf cryptograffig y bont, llwyddodd haciwr i reoli dros 2 filiwn o docynnau BNB a oedd wedi'u cloi ar y bont ac a oedd yn werth $550 miliwn ar y pryd.

Dim ond rhwng $120 miliwn a gwerth $130 miliwn oddi ar y Gadwyn BNB y llwyddodd yr haciwr i drosglwyddo i unrhyw le cadwyni eraill cyn i'r rhwydwaith gael ei atal. Cyn gynted ag y canfuwyd yr ymosodiad, cytunodd dilyswyr Cadwyn BNB i rewi'r rhwydwaith i gymryd dros $ 430 miliwn a gedwir yng nghyfeiriad yr haciwr. Bu'r rhwydwaith i lawr am sawl awr ond roedd yn rhedeg unwaith eto ddiwrnod yn ddiweddarach.

Horizon - $100 miliwn

Protocol arall a ddioddefodd hac enfawr oedd Horizon, pont sy'n cysylltu Ethereum â'r blockchain Harmony. Ym mis Mehefin, ymosodwr wedi dwyn $100 miliwn cloi ar Horizon ar ôl cyfaddawdu cwpl o allweddi preifat sy'n eiddo i gyfrifon gweinyddol diogelwch a oedd yn rheoli'r bont.

Roedd y broses o drosglwyddo asedau o gontract lleoli Horizon i Ethereum yn cynnwys cynllun aml-lofnod yr oedd angen ei gymeradwyo gan ddau o'r pum cyfrif gweinyddol yn unig. Roedd hyn yn golygu bod yn rhaid i actor maleisus ddwyn dwy allwedd breifat i gymeradwyo trosglwyddiadau anawdurdodedig, sef yn union beth ddigwyddodd, fel nodi gan y cwmni diogelwch Halborn. 

Ar ôl cael mynediad i ddwy o allweddi preifat gweinyddol y bont, o bosibl trwy ymosodiadau gwe-rwydo ar y gweinyddwyr. Yna roedd yr haciwr yn gallu cymeradwyo trafodiad a oedd yn tynnu $100 miliwn i'w rheolaeth.

Qubit - $80 miliwn 

Qubit, protocol benthyca a phont Cadwyn BNB, oedd targed yr hac crypto ar raddfa fawr gyntaf y flwyddyn ym mis Ionawr. Ar Qubit, gallai defnyddwyr adneuo ether (ETH) o Ethereum a chyhoeddodd y bont ased peg “xETH” ar Gadwyn BNC. gellid defnyddio xETH fel cyfochrog ar lwyfan benthyca Qubit.

Ar Ionawr 27, haciwr hecsbloetio bregusrwydd rhesymeg meddalwedd yn Qubit a wnaeth xETH ar gael i'w ddefnyddio ar BNB Chain heb fod wedi adneuo ETH ar Ethereum. Roedd natur y bregusrwydd yn golygu ei fod yn caniatáu i'r ymosodwr bathu llawer iawn o xETH heb adneuo unrhyw asedau gwirioneddol.

Ar ôl i'r haciwr allu bathu llawer o xETH, cymerodd nifer o fenthyciadau gan Qubit gyda'r tocynnau hynny fel cyfochrog. Yn y diwedd, fe ddraeniodd yr ymosodwr y cyfan o'r 206,000 BNB a stanciwyd ar Qubit Finance trwy gymryd benthyciadau mewn dolen, gwerth tua $ 80 miliwn ar y pryd.

Ymwadiad: Gan ddechrau yn 2021, cymerodd Michael McCaffrey, cyn Brif Swyddog Gweithredol a pherchennog mwyafrif The Block, gyfres o fenthyciadau gan y sylfaenydd a chyn-Brif Swyddog Gweithredol FTX ac Alameda Sam Bankman-Fried. Ymddiswyddodd McCaffrey o’r cwmni ym mis Rhagfyr 2022 ar ôl methu â datgelu’r trafodion hynny.