對於加密貨幣行業來說,這是動蕩的一年——市場價格大幅下跌,加密巨頭倒閉,數十億美元因加密漏洞和黑客攻擊而被盜。
十月還不到一半, 鏈分析聲明 2022 年將成為“有史以來黑客活動最多的一年”。
截至12 月29 日,2022 年10 大漏洞已從加密協議中竊取了21 億美元。以下是這些漏洞利用和黑客攻擊,從小到大排名。
10:Beanstalk Farms 漏洞——7600 萬美元
穩定幣協議Beanstalk Farms 遭受了7600 萬美元的剝削 4 月18 日,攻擊者使用閃貸購買治理代幣。這用於通過兩個插入惡意智能合約的提案。
該漏洞最初是 據認為耗資約1.82 億美元 隨著Beanstalk 的所有抵押品被耗盡,但最終,攻擊者只成功逃脫了不到一半的抵押品。
9:Qubit Finance 橋接漏洞——8000 萬美元
BNB 智能鏈上的去中心化金融(DeFi) 協議Qubit Finance 擁有 價值超過8000 萬美元 幣安幣 (幣安幣) 於1 月28 日在橋接漏洞中被盜。
攻擊者欺騙協議的智能合約,使其相信他們已經存入抵押品,允許他們鑄造代表橋接以太幣的資產(以太幣).
他們多次重複這一過程,並以無後盾的橋接ETH 為抵押借入了多種加密貨幣,耗盡了協議的資金。
8:Rari Fuse 漏洞——7930 萬美元
另一個名為Rari Capital 的DeFi 協議在4 月30 日被利用,金額為 大約7930 萬美元.
攻擊者利用了一個 重入漏洞 在協議的Rar Fuse 流動性池智能合約中,使它們調用惡意合約的函數來耗盡所有加密貨幣池。
9 月,包括Rari Capital 和其他DeFi 協議在內的Tribe DAO 投票支持 補償受影響的用戶 從黑客。
7:Harmony bridge hack——1 億美元
在另一個橋接黑客中,連接以太坊、比特幣的Horizon Bridge(比特幣), BNB Chain to Harmony 的layer-1 區塊鍊是 流失了大約1 億美元 在多種加密貨幣中。
區塊鏈取證公司Elliptic 固定黑客 朝鮮網絡犯罪集團Lazarus Group,因為這些資金的洗錢方式與其他已知的Lazarus 攻擊類似。
據了解,Lazarus 以Harmony 員工登錄憑據為目標,破壞了該平台的安全系統並在部署自動洗錢程序以轉移其不義之財之前獲得對該協議的控制權。
6:BNB 鏈橋漏洞利用——1 億美元
由於網絡上的“異常活動”,BNB 鏈於10 月6 日暫停,後來被披露為 一個漏洞 從其跨鏈橋BSC 令牌中心耗盡了大約1 億美元。
最初,人們認為攻擊者能夠獲得大約6 億美元,因為一個漏洞允許創建大約200 萬個BNB,該鏈的本地令牌。
不幸的是,對於攻擊者來說,他們在區塊鏈上凍結了價值大約超過4 億美元的數字資產,而且可能還有更多資產被困在BNB 區塊鏈端的跨鏈橋中。
5:Wintermute 黑客攻擊——1.6 億美元
英國的加密貨幣做市商Wintermute 遭受了 受損的熱錢包 從錢包中轉出的70 個代幣中約有1.6 億美元。
區塊鍊網絡安全公司CertiK 的分析稱 易受攻擊的私鑰 受到的攻擊很可能是由Profanity 生成的——這是一個允許用戶生成虛榮加密地址的應用程序,它具有一個已知的漏洞。
根據CertiK 的說法,這允許攻擊者使用帶有私鑰的函數,允許黑客將平台的交換合約更改為黑客自己的。
陰謀論 聲稱黑客攻擊是一項“內部工作”,因為它是如何進行的 被揭穿 區塊鏈安全公司BlockSec 表示,這些指控“不夠令人信服”。
4: Nomad token bridge exploit——190M
8 月2 日,允許用戶跨多個區塊鏈交換加密貨幣的Nomad 令牌橋被多個攻擊者耗盡 總計1.9 億美元.
未能正確驗證交易輸入的智能合約漏洞是該漏洞利用的原因。
多個用戶,看似既惡意又善意,能夠複製原始攻擊者的舉動,將資金匯集到自己手中。大約 88% 的地址 參與利用的人在一份報告中被確定為“模仿者”。
僅有的 價值約3260 萬美元的資金 能夠被白帽黑客攔截並返回協議。
3:蟲洞橋漏洞——3.21 億美元
蟲洞令牌橋 遭受剝削 2 月2 日,這導致價值3.21 億美元的120,000 個Wrapped Ether (wETH) 代幣丟失。
蟲洞允許用戶在多個區塊鏈之間發送和接收加密貨幣。攻擊者在協議的智能合約中發現了一個漏洞,並能夠在Solana 上鑄造120,000 wETH(溶膠) 沒有抵押品支持,然後可以將其換成ETH。
當時它被標記為2022 年最大的漏洞利用,並且是當年第三大協議損失。
2:FTX 錢包黑客攻擊——4.77 億美元
在11 月11 日至12 日FTX 破產程序啟動期間, 一系列未經授權的交易 發生在交易所,Elliptic 暗示價值約4.77 億美元的加密貨幣被盜。
山姆·班克曼-弗萊德 在11 月16 日的採訪中說 他認為“要么是前僱員,要么是某人在前僱員的計算機上安裝了惡意軟件”,並在將作案者排除在公司係統之外之前將其縮小到8 人。
據報導,12月27日美國司法部 展開調查 了解大約3.72 億美元丟失的加密貨幣的下落。
1:Ronin bridge hack——6.12 億美元
2022 年最大的漏洞利用發生在3 月23 日,當時 浪人橋被利用 約6.12 億美元——173,600 ETH 和2550 萬美元的代幣(美國中央銀行).
Ronin 是為Axie Infinity 構建的以太坊側鏈,Axie Infinity 是一款非同質代幣(NFT) 遊戲。 Axie Infinity 的開發者Sky Mavis 說 黑客獲得了訪問權限 到私鑰、受損的驗證節點和批准的交易,這些交易從橋上耗盡了資金。
美國財政部於4 月14 日更新了其特別指定國民和被封鎖人員(SDN) 名單,以 反映可能性 Lazarus Group 是該橋漏洞利用的幕後黑手。
Ronin bridge hack 是有史以來最大的加密貨幣漏洞。