Блокчейн-исследователи фирмы SlowMist проанализировали взломы, которые произошли в криптовалютной индустрии в 2022 году. Рассказываем, какие проекты пострадали больше всего
10 место. Взлом кредитного протокола QBridge
Десятую строчку рейтинга главных инцидентов на рынке криптовалют в минувшем году открыл кредитного протокола QBridge. Проект на базе сети BNB Chain (бывш. Smart Chain) потерял $80 млн из-за взлома своего дочернего проекта Qubit. По мнению аналитиков, злоумышленник смог найти недочет в логике смарт-контракта, похитив токены из кредитного пула.
9 место. Взлом кросс-чейн моста Harmony Bridge
На девятом месте расположился проект Harmony Bridge, который потерял более $100 млн в различных альткоинах. По подсчетам исследователей, проект лишился одиннадцати токенов на базе алгоритма ERC20, свыше 13 000 ETH, около 5000 BNB и $640 000 в стейблкоине BUSD. При этом по мнению SlowMist взлом удалось провернуть не благодаря изъяну в смарт-контракте, а с помощью кражи приватного ключа администратора проекта.
8 место. Атака на маркетмейкера Mango Markets
Проект Mango Markets на базе сети тоже лишился около $100 млн, однако детали до сих пор подсчитываются. Злоумышленники смогли найти изъян в системе котировочных оракулов путем рыночной манипуляции с нативным токеном проекта MNGO, чем успешно и воспользовались. Впрочем, как именно злоумышленники смогли идентифицировать недочет, до сих пор неясно.
7 место. Взлом и спасение блокчейна Elrond
Инцидент вокруг блокчейна Elrond выделяется на фоне других проектов в сегменте криптовалют, поскольку разработчики смогли установить причину взлома, быстро починить уязвимость и компенсировать убытки. Впрочем, сначала злоумышленники все же смогли «похитить» около 1,6 млн токенов EGLD, что на тот момент оценивалось в ~$125 млн.
6 место. Взлом кросс-чейн моста Nomad
В августе 2022 года проект Nomad Bridge потерял свыше $190 млн из-за . Злоумышленник смог заметить нарушения в последовательности верификации данных у смарт-контракта, подменив значения для несанкционированного доступа к резервам проекта. К моменту составления списка разработчикам проекта удалось вернуть лишь $36 млн из украденной суммы.
5 место. Вызов неверной функции Wintermute
Разработчики проекта Wintermute узнали, что , который они использовали при создании проекта, имел уязвимость. Чтобы обезопасить проект, команда разработчиков решила перевести средства со старого кошелька на новый. В процессе ручного перевода криптовалют через скрипт разработчики случайно запустили стороннюю функцию, которая привела к утрате $160 млн в токенах.
4 место. Атака на Beanstalk Farms через флеш-займы
Флеш-займы были популярной схемой атак на проекты из области децентрализованных финансов. Проект Beanstalk Farms оказался не исключением и выделился на фоне других тем, что лишился в результате взлома свыше $180 млн. Злоумышленник заметил, что время, выделяемое смарт-контрактом на создание голосования и проверку результатов, оказалось достаточно большим для обхода всего процесса. Из украденной суммы около $250 000 злоумышленники выделили на помощь Украине.
3 место. Ошибка в коде Wormhole
Тройку самых громких инцидентов открыла сеть Wormhole, через которую хакеры смогли «из воздуха» напечатать токенов на $326 млн. Расследование показало, что в функции, которая отвечала за права доступа у смарт-контракта в сети , была ошибка. Всего одна ошибка позволила хакеру провернуть крупнейшую на сегодняшний день атаку в рамках экосистемы Solana.
2 место. Взлом кросс-чейн моста BSC Token Hub
Кросс-чейн мост на базе BNB Chain под названием BSC Token Hub лишился около $570 млн в токенах BNB. Выяснилось, что хакеры смогли подделывать данные в блоках сети BNB Chain, заполучив несанкционированный доступ к токенам сети. Злоумышленников до сих пор так и не нашли.
1 место. Атака северокорейских хакеров на Ronin Network
Сайдчейн Ronin Network прогремел на весь мир после того, как хакеры смогли похитить свыше $600 млн. По данным властей США, за атакой на проект стоит группировка северокорейских хакеров Lazarus Group. При этом для проведения атаки киберпреступникам оказалось достаточно всего лишь прислать сотруднику проекта файл с приглашением на работу, в который интегрировали вредоносный код.
