2023-ieji buvo sunkūs kriptovaliutų saugumui, tačiau kurios platformos nukentėjo labiausiai?
Nuo tada, kai atsirado kriptovaliutų pramonė, kibernetiniai nusikaltėliai ieško būdų, kaip suvilioti investuotojus ir įmones iš savo decentralizuoto turto. Visus 2023 m. kriptovaliutų įsilaužimai ir sukčiai tęsėsi, kai buvo pagrobta šimtai milijonų kriptovaliutų. Yra keletas reikšmingų vagysčių, kurios pateko į naujienų antraštes, palikdamos didžiulį įdubimą tiek žmonių, tiek platformų piniginėse.
Taigi, aptarkime didžiausius 2023 m. kriptovaliutų įsilaužimus.
1. Euler Finance Hack
2023 m. kovo mėn. „Euler Finance“ įsilaužimas sukrėtė kriptovaliutų pramonę, kai įsilaužėliai iš skolinimo platformos pavogė beveik 200 mln. USD kriptovaliutų.
„Euler Finance“ sužinojo apie įsilaužimą, kai „PeckShield“ paminėjo platformą X (anksčiau „Twitter“) įraše. Įraše PeckShield tiesiog pasakė Euler, kad galbūt norėtų pažvelgti į daugybę greitų ir įtartinų sandorių. Paaiškėjo, kad šie sandoriai buvo didžiulio įsilaužimo, per kurį buvo pavogta 197 milijonų dolerių kriptovaliuta, rezultatas.
Tačiau dėl keisto įvykių posūkio už šį įsilaužimą atsakingas asmuo (-iai) grąžino pavogtas lėšas praėjus vos kelioms savaitėms po jo. Dar įdomiau, kad atsakinga šalis vienoje iš grąžinimo operacijų pridėjo atsiprašymo raštą, kaip matote Etherscan.
2. Mixin Breach
2023 m. rugsėjį kriptovaliutų platformą Mixin ištiko panašus likimas kaip ir Euler Finance, kai įsilaužėliai pavogė 200 mln. Ši ataka buvo įvykdyta per „Mixin“ debesies paslaugų teikėjo duomenų pažeidimą. Mixin paskelbė apie įsilaužimą X įraše, vienas vartotojas komentavo, kad tariamai prarado 100 000 USD.
Rašymo metu Mixin vis dar nesugebėjo susekti užpuoliko ar atgauti pavogtų lėšų. Tačiau platforma įsipareigojo kiekvienam vartotojui kompensuoti pusę prarastų akcijų.
3. CoinsPaid sukčiavimo sukčiavimas
Sukčiavimas yra labai populiari socialinės inžinerijos taktika naudojo kibernetiniai nusikaltėliai, ir padarė daug žalos kriptovaliutų pramonėje. 2023 m. rugpjūčio mėn. kriptovaliutų mokėjimų procesorius CoinsPaid patyrė 37 mln.
Išnaudojimo metu darbuotojas nesąmoningai įdiegė kenkėjišką programą, darydamas prielaidą, kad atliko testą, kuris yra netikro darbdavio pokalbio proceso dalis. Tada ši kenkėjiška programa buvo naudojama nulaužti „CoinsPaid“ vidinę infrastruktūrą, suteikdama užpuolikams prieigą prie milijonų kriptovaliutų lėšų. Nors Lazarus įsilaužimo grupė buvo įtariama įsilaužimu, nieko nepatvirtinta, o rašymo metu CoinsPaid nepavyko atgauti pavogtų lėšų.
4. „Atomic Wallet Hack“.
Populiarus programinės įrangos kriptovaliutų piniginės tiekėjas Atomic Wallet 2023 m. birželį patyrė 100 mln. Kai kuriems vartotojams buvo pavogta dalis lėšų, kai kurių piniginės buvo visiškai ištuštintos. Rašymo metu „Atomic Wallet“ vis dar nepaaiškino, kaip įvyko įsilaužimas.
Iš pradžių dėl išnaudojimo buvo kaltinama programišių grupė „Lazarus“, tačiau viskas ėmė keistis, kai Ukrainos programišių grupė buvo pabrėžta kaip galimas nusikaltėlis.
2023 m. rugpjūtį „Atomic Wallet“ sulaukė kritikos, kai bendrovė susidūrė su daugelio nukentėjusių investuotojų kolektyviniu ieškiniu dėl pavogtų lėšų. Laikas parodys, ar „Atomic Wallet“ susidurs su teisinėmis pasekmėmis dėl įsilaužimo ir ar paveikti vartotojai gaus kompensaciją.
5. Curve Finance Hack
2023 metų liepos pabaigoje „Curve Finance“ patyrė kibernetinę ataką, kurios metu buvo pavogta daugiau nei 60 mln. USD kriptovaliutos. Šiuo atveju „Curve Finance“. likvidumo fondus buvo nukreipti, kai vartotojai įnešė savo stabilias monetas. „Curve Finance“ valdomuose stabilių monetų telkiniuose buvo kodo pažeidžiamumo, kurį įsilaužėliai išnaudojo siekdami pasiekti pavogtas lėšas.
2023 m. rugpjūtį įsilaužėlis grąžino dalį pavogtų lėšų, kai „Curve Finance“ pasiūlė atlygį tiems, kurie galėjo nustatyti kaltininką. „White-hat“ įsilaužėliai taip pat suvaidino tam tikrą vaidmenį grąžinant dalį lėšų – iš viso buvo atgauti 73 procentai pavogtų fondų.
Be to, „Curve“ įsipareigojo atlyginti žalą vartotojams, nukentėjusiems nuo įsilaužimo, ir pažadėjo kompensuoti visas pavogtas lėšas.
6. „TrustWallet“ sukčiavimas
Kitas populiarus programinės įrangos piniginės tiekėjas „TrustWallet“ pateko į kriptovaliutų naujienų antraštes 2023 m. rugsėjį, kai kenkėjiški veikėjai pradėjo taikytis į vartotojus per sukčiavimo el. laiškai.
Šios kenkėjiškos kampanijos metu vartotojams buvo išsiųsta tūkstančiai el. laiškų, kibernetiniai nusikaltėliai apsimetė „Trust Wallet“ darbuotojais. El. laiške gavėjai buvo informuoti, kad jų „Trust Wallet“ paskyra netrukus bus sustabdyta, jei piniginė nebus patvirtinta. Buvo pateikta nuoroda į patvirtinimo puslapį, tačiau tai veda į kenkėjišką tinklalapį, skirtą duomenims pavogti. Vartotojų buvo paprašyta pateikti savo atkūrimo frazę – pagrindinę informaciją, kurią galima naudoti norint pasiekti kriptovaliutų pinigines.
Tiksliniam vartotojui įvedus pradinę frazę, įsilaužėlis turi prieigą prie savo „TrustWallet“ paskyros lėšų, dėl kurių buvo pavogta daugiau nei 40 mln. USD kriptovaliutos.
7. MultiChain Hack/Rug Pull
2023 m. liepos mėn. kriptovaliutų naujienų platformos pradėjo pranešti apie įsilaužimą arba galimą kilimėlio ištraukimą, įvykusį MultiChain. kryžminės grandinės protokolas, naudojamas blokų grandinėms sujungti. Įtarimai pradėjo sklisti, kai iš „MultiChain“ per daugybę sandorių buvo paimta iš viso 125 mln.
Manoma, kad įsilaužimą lėmė viešai neatskleista informacija, o platformos generalinį direktorių Zhaojuną suėmė Kinijos valdžia neilgai trukus po pasitraukimų. Suėmimo metu taip pat buvo paimti generalinio direktoriaus įrenginiai, įskaitant telefonus, kompiuterius ir aparatinę piniginę. Be to, Zhaojun areštas, jo sesuo taip pat buvo sulaikyta policijai dėl įtariamo dalyvavimo išnaudojimuose.
Nuo įsilaužimo ar kilimo ištraukimo „MultiChain“ uždarė savo veiklą. Kompanija paskelbta X apie sprendimą, išvardijant įvykių grandinę, lėmusią uždarymą.
8. LastPass duomenų pažeidimas
„LastPass“ pažeidimai nėra svetimi, nes 2023 m. atneš daugiau problemų slaptažodžių tvarkyklei. Žmonės naudoja LastPass, norėdami saugoti visų rūšių neskelbtiną informaciją, įskaitant kriptovaliutų mainų kredencialus ir privačius raktus arba kriptovaliutų piniginių pradines frazes. „LastPass“ saugomos vertingos informacijos kiekis pavertė jį nuolatiniu kibernetinių nusikaltėlių taikiniu.
2023 m. spalį per praėjusiais metais įvykusį LastPass pažeidimą buvo pavogta 4,4 mln. USD kriptovaliutos. Lėšoms pavogti buvo panaudotos kelios pradinės frazės ir slaptažodžiai, kurias visas saugojo LastPass. Daugiau nei 25 naudotojai nukentėjo nuo vagystės, kai jų duomenys buvo pavogti per 2022 m. pažeidimą, o lėšos vis dar buvo laisvėje.
9. Stake Hack
Prieštaringai vertinama, tačiau populiari kriptovaliutų lošimų platforma „Stake“ 2023 m. rugsėjį buvo įsilaužta, kai iš viso buvo pavogta 41 mln. Per šį įsilaužimą buvo nukreiptos vartotojų kriptovaliutos piniginės, pavogtas įvairus turtas, pvz., Ethereum ir Dai. Visos lėšos buvo išsiųstos vienu piniginės adresu, kuris greičiausiai priklauso atsakingam (-iems) įsilaužėliui (-ams). Iš ten lėšos buvo siunčiamos į kelias kitas pinigines, paskleisdamos jų vietą ir apsunkindamos jas sekti.
Visada buvo įtariama, kad Šiaurės Korėjos įsilaužėliai turėjo ką nors bendro su šia vagyste. Šis įtarimas pasitvirtino, kai FTB atskleidė, kad Lazarus įsilaužimo grupė buvo priskirta atsakingai pusei. Lėšos dar turi būti surastos arba paimtos, kaip ir daugelio kriptovaliutų įsilaužimų atveju.
10. CoinEx Hack
2023 m. rugsėjį iš CoinEx kriptovaliutų biržos buvo pavogta šokiruojanti 70 mln.
Iš viso per išnaudojimą buvo pavogta 54 mln. USD kriptovaliutų, o mėnesio pradžioje buvo perkeltas didžiulis beveik 5000 „Ethereum“ vienetų, o tai sukėlė įtarimų. Kartu buvo pavogtas 231 Bitcoin, 2220 Bitcoin Cash, 135 600 Solana ir daugybė kito turto. Nors „CoinEx“ šaltos piniginės nebuvo paveiktos, užpuolikai vis tiek sugebėjo pavogti didžiulę sumą, kuri iki šio straipsnio rašymo nebuvo atgauta.
Nenuostabu, kad įsilaužimo grupė „Lazarus“ buvo įtariama šio įsilaužimo kaltininke, nes ji tariamai buvo atsakinga už daugybę išpuolių praeityje.
Kripto įsilaužimai niekur nedingsta
Kadangi per pastarąjį dešimtmetį buvo pavogta milijardai kriptovaliutų, mažai tikėtina, kad kriptovaliutų sukčiai ir įsilaužimai greitai išnyks. Kibernetinių nusikaltėlių taktika ne tik tampa sudėtingesnė, bet ir platformos, kuriose trūksta saugumo, ir investuotojai, neturintys patirties, taip pat yra lengvi taikiniai.