綜述：2022 年“超級”加密黑客

根據 TRM 實驗室分析，2022 年是加密貨幣黑客創紀錄的一年，價值約 3.7 億美元的加密貨幣被盜。 DEFI 攻擊很普遍，大約 80% 或 3 億美元涉及 DeFi 受害者。

當我們對一項新興技術的前景持樂觀態度進入 2023 年時，我們必須回顧過去，從我們事後面臨的挑戰和挫折中吸取教訓。

Ronin Bridge 基礎設施加密黑客

軸心無限浪人橋加密黑客 612 月份以 XNUMX 億美元位居榜首。浪人橋是一個以太幣 Axie Infinity 在線賺錢遊戲的側鏈。

今天被確定為名為 Lazarus 的朝鮮網絡犯罪集團的加密黑客獲得了 Ronin 橋接交易驗證器的九個私鑰。他們使用密鑰批准了大筆交易，一筆交易金額為 173,600 ETH，另一筆交易金額為 25.5 萬美元。

黑客將加密貨幣轉移到 Tornado cash、一個開源加密貨幣轉杯器和其他幾個交易所。

社會各界共同努力， Binance、Chainalysis 和執法人員幫助追查了部分資金。

570 月，黑客利用 BSC Beacon 跨橋代碼中的一個漏洞竊取了價值 XNUMX 億美元的加密貨幣。橋是 BNB 鏈的重要組成部分。

BSC Beacon鏈，簡稱Token Hub，是BNB Beacon Chain（BEP2）和BNB Chain（BEP20/BSC）之間的跨鏈橋樑。

攻擊奏效偽造密碼證明稱為 Merkle 證明，確認交易等數據有效並包含在 blockchain. cyrpto 黑客使用虛假的 Merkle 證明將資金從 BSC Beacon 跨橋轉移到其他鏈。

Tether 將攻擊者的地址列入黑名單，同時從 BNB 鏈轉移的超過 7 萬美元被有效凍結。

加密貨幣黑客在 326 月份利用蟲洞代碼竊取了價值 XNUMX 億美元的加密貨幣。蟲洞是 Solana 和以太坊之間的代幣橋樑。

加密黑客使用已棄用/完全不安全的功能來繞過簽名驗證。

一個棄用的代碼可以比作一張便條，上面寫著“我以後會刪除它。” 您現在不能刪除代碼，因為一些消費者仍在使用它。

一連串的簽名驗證授權使加密黑客得以實現。已棄用的函數不檢查地址，允許驗證偽造的簽名。

據網絡分析師稱，如果開發人員採用“安全編碼”，他們本可以避免攻擊。

黑客在 190 月利用價值 XNUMX 億美元的加密貨幣 Nomad 加密貨幣橋。黑客幾乎耗盡了協議中的所有資金——不斷增加的漏洞利用使跨鏈代幣橋的安全性受到質疑。

橋接器的工作原理是將代幣鎖定在一條鏈的智能合約中，然後在另一條鏈上以“包裝”格式重新發行它們。在 Nomad 的案例中，攻擊破壞了合約，使其包裝的代幣變得一文不值。

實際上，Nomad 懸賞要求黑客保留 10% 的資金，並且不會面臨任何法律訴訟，外加白帽獎金 NFT. 攻擊者最終只返還了 36 萬美元。

在 182 月的一個重要周末，一名黑客使用閃電貸從 Beanstalk 穩定幣協議中竊取了價值 XNUMX 億美元的 ETH、BEAN 穩定幣和其他資產。

閃電貸是一項功能，使用戶能夠借入資產，進行快速交易，然後在跨多個協議的單一複雜交易中償還。

攻擊者通過emergency commit功能向Beanstalk DAO提交了兩個惡意提案，需要24/XNUMX投票，XNUMX小時後執行。

攻擊者惡作劇地利用閃電貸功能獲得79%的控制權，通過了他的提案。

攻擊者將協議中的資金發送到烏克蘭基金地址，以還清他的閃電貸，其餘部分。最終，他獲利76萬美元。