Взломы CeFi и блокчейн-мостов

17.09.2022

ТОП ошеломляющих и мощных инцидентов в блокчейн, связанных с хакерскими атаками

Hack DeFi

Недавно мы писали о пугающей статистике крупных инцидентов в блокчейн и о бурном росте криптовалютных краж. Мы обращали ваше внимание на взломы DeFi – распределённых финансовых инструментов. 

Сегодня мы хотим обратить внимание на хакерские атаки на централизованные криптобиржи, фонды и другие финансовые организации, работающие с блокчейном, а также на свежую тенденцию последних месяцев – взломы блокчейн-мостов.

Эта статья будет интересна или полезна вам, если вы работаете с одной из таких бирж или организаций, или если используете такие мосты. Обратите особенное внимание на наш обзор и рекомендации, если планируете разрабатывать, внедрять или приобретать подобные технологии.

В эту статью мы собрали самые “громкие” инциденты в блокчейн, связанные с хакерскими атаками за последние 11 лет.

Несанкционированный доступ к цифровым активам, детективные истории, колоссальные суммы ущерба, прогнозы, и, наконец, надежные решения для обеспечения безопасности от хакерских взломов – обо всём этом читайте ниже. 

Крупнейшие хакерские кражи криптовалют

Ниже описаны яркие примеры крупных инцидентов в криптовалютной индустрии, связанных с хакерскими атаками на криптовалютные биржи и другие централизованные организации, работающие в индустрии блокчейн.

Mt.Gox

Mt.Gox – это биржа криптовалют, базировавшаяся в Токио. Mt.Gox начала функционировать в 2010 году, однако уже в 2014 году объявила о банкротстве. Успешные хакерские атаки на биржу продолжались на протяжении всех лет её существования, пока не уничтожили её окончательно.

На пике своего развития Mt.Gox считалась крупнейшей в мире биржей биткоинов, став популярной мишенью хакеров. В 2011 году хакеры использовали украденные учетные данные клиентов для передачи биткоинов. В том же году из-за недостатков сетевых протоколов несколько тысяч биткоинов были “потеряны”. Клиенты выражали недовольство работой биржи, отмечая проблемы с выводом средств.

Технические ошибки и неопределенности в коде не позволили компании получать четкое представление о транзакциях. Однако, в начале февраля 2014 года компания всё-таки обнаружила подозрительную активность в своих цифровых кошельках. После этого биржа приостановила вывод средств, потерпев колоссальные убытки. Отчеты о количестве потерянных биткоинов варьировались от 650 тысяч до 850 тысяч монет, что в общей сложности составляло около 615 миллионов USD. Некоторая часть потерянных монет BTC принадлежала компании, а остальные — пользователям. 

Coincheck

Пример Mt.Gox мало чему научил другие биржи, даже в пределах одной только Японии. Особенно “урожайным” для хакеров стал 2018 год.

Coincheck – одна из крупнейших бирж цифровых валют Японии. В январе 2018 года Coincheck заявила, что потеряла виртуальные активы на сумму около 535 миллионов USD в результате хакерской атаки на свою сеть. Причиной взлома было названо хранение монет в уязвимом “горячем кошельке”. Такие кошельки подключены к Интернету и всегда являются более уязвимыми по сравнению с “холодными кошельками”. 

Руководство компании Coincheck прокомментировало катастрофическое упущение безопасности, ссылаясь на технические трудности и нехватку персонала.

Этот взлом заметно пошатнул доверие многих пользователей и компаний к протоколам безопасности крипто проектов и блокчейнов, заставив другие биржи уделять должное внимание своим протоколам безопасности для защиты активов от подобных инцидентов.

KuCoin

KuCoin – криптовалютная биржа в Азии со штаб-квартирой в Сингапуре. KuCoin в сентябре 2020 года заявила, что злоумышленники взломали ее системы и полностью опустошили ее “горячие кошельки”. Компания понесла убытки в размере 281 миллион USD.

В ходе расследования инцидента выяснилось, что одному или нескольким хакерам удалось получить закрытые ключи от “горячих кошельков” биржи. Злоумышленники получили контроль над огромным количеством BTC, ETH, XRP и ERC20 TOKENS. По словам генерального директора компании Джонни Лю, KuCoin перевела оставшиеся средства на новые “горячие кошельки”, отказалась от старых и заморозила депозиты и снятие средств клиентами. 

Bitmart

Bitmart – платформа для торговли криптовалютой. В декабре 2021 года на бирже произошло крупномасштабное нарушение безопасности. Хакерам удалось вывести токены на сумму около 150 миллионов USD. 

Биржа заявила, что нарушение безопасности было в основном вызвано украденным закрытым ключом, который затронул “горячие кошельки”. Хакеры систематически использовали агрегатор децентрализованной биржи (DEX) 1inch для обмена украденных активов на эфир (ETH) и использовали вторичный адрес для внесения ETH в микшер конфиденциальности Tornado Cash, что затрудняло отслеживание взломанных средств. 

IRA Financial

IRA Financial – американский пенсионный фонд, инвестирующий в криптовалютную индустрию. В феврале 2022 года хакеры украли 36 миллионов USD (21 миллион USD в BTC и 15 миллионов USD в ETH) с пенсионных счетов фонда. 

IRA Financial был связан с криптовалютной биржей Gemini, созданной близнецами-спортсменами Винклвосс, которые также известны тем, что подали иск на Марка Цукерберга за кражу идеи создания социальной сети Facebook. 

Как выяснилось в ходе расследования инцидента, в день инцидента злоумышленники сделали ложный вызов в полицию, которая прибыла в офис IRA и отвлекла сотрудников компании от мониторинга безопасности транзакций. 

Также в процессах и системах биржи Gemini были серьезные пробелы в безопасности. Протоколы компании оказались ошибочными и содержали масштабную уязвимость, позволяющую взломать одну учетную запись клиента, чтобы дать хакеру доступ ко всем учетным записям клиентов IRA.

Crypto.com

Crypto.com – компания по обмену криптовалют, базирующаяся в Сингапуре. В конце 2021 года компания Crypto.com обратилась к нам, но так и не воспользовалась нашими услугами кибербезопасности, и уже в январе 2022 года понесла масштабные убытки. Хакеры взломали около 500 аккаунтов пользователей компании и несанкционированно завладели средствами в сумме 4 836,26 ETH, 443,93 BTC и около 66 200 USD в других валютах. Согласно обменному курсу на момент инцидента убыток составил 15,3 миллиона USD в ETH и 18,7 миллиона USD в BTC, что в сумме составляет 34 миллиона USD убытков. 

Crypto.com стало известно о кибератаке после того, как системы мониторинга рисков компании обнаружили небольшое количество пользователей, выполняющих несанкционированный вывод криптовалюты со своих счетов.

Мы намеренно не фокусируемся на реагировании этих компаний на их взломы, потому что мы призываем скорее предотвращать инциденты, чем устранять их последствия. Всегда выгоднее строить систему безопасности, начиная с более ранних этапов – с разработки безопасной архитектуры и средств управления безопасностью на всех этапах бизнес-процессов: от верификации пользователей до мониторинга аномалий их работы и от обеспечения безопасности цепочки поставок до автоматического мониторинга технических уязвимостей на этапе тестирования программного обеспечения.

Крупнейшие взломы межсетевых мостовых протоколов

Блокчейн-мост – это протокол, который обеспечивает совместимость и взаимодействие двух блокчейнов. С помощью блокчейн-моста возможен удобный перевод активов из одной экосистемы блокчейна в другую, не продавая при этом криптовалюту. 

У блокчейн-мостов есть множество преимуществ, однако существуют и недостатки. Примеры, приведённые ниже на диаграмме, демонстрируют частые случаи взломов межсетевых мостов в 2022 году из-за отсутствия надлежащей системы безопасности протоколов.

Согласно данным аналитической компании Chainalysis, с 1 января по 2 августа 2022 года в результате взломов межсетевых мостов было потеряно около 1,4 миллиарда USD

Самым крупным событием текущего года стал инцидент Ronin в марте. Хакеры взломали мост, поддерживающий популярную игру с невзаимозаменяемыми токенами Axie Infinity, на сумму 625 миллионов USD.

Также в феврале 2022 года был взломан крипто-мост Wormhole. Общая сумма убытков составила около 320 миллионов USD.

Кроме этого, в июне текущего года мост Harmony’s Horizon подвергся нападению. Хакерам удалось похитить 100 миллионов USD. А около месяца назад крипто преступники захватили почти 200 миллионов USD в результате взлома кроссчейн-моста Nomad.

По словам Chainalysis, сумма, украденная в ходе взломов блокчейн-мостов, составляет 69% средств, украденных в результате взломов, связанных с криптовалютой, в 2022 году.

Таким образом, мы видим, что многочисленные взломы криптобирж всё-таки научили их с годами уделять больше внимания безопасности. Эта безопасность не стала идеальной, но выросла настолько, что хакеры начали переключаться на более лёгкие цели. 

В следующем 2023 году, скорее всего, мы увидим ещё более яркие и крупные взломы DeFi и криптовалютных мостов. Мосты и DeFi являются относительно новыми технологиями. Им, как в своё время биржам, ещё предстоит пройти путь болезненных взломов, чтобы вырастить свою безопасность.

Как уберечь криптовалюту от хакерских взломов

Как мы увидели выше, технические и организационные недостатки сетей блокчейн и сопутствующих экосистем могут быть чрезвычайно дорогостоящими и приводить к самым неутешительным последствиям. 

К счастью, у нас есть готовые решения, которые помогут вам не стать жертвой этих киберпреступлений и ошибок ваших программистов. Вам нужно заранее найти и устранить уязвимости и другие недостатки защиты, чтобы кардинально снизить риски хакерских атак и взломов, и потерю крупных средств. 

  1. Рекомендации по безопасности криптокошельков и инструкции по работе с криптовалютами – пригодятся не только тем, кто знаком с криптовалютами, но и тем, кто только собирается с ними познакомиться.
  2. Аудит исходного кода программного обеспечения – необходим его разработчикам, владельцам и покупателям. Мы успешно находим не только известные проблемы безопасности, но и уязвимости “нулевого дня”, а также проблемы в бизнес-логике. При этом мы эффективно анализируем не только программное обеспечение в блокчейне, но и традиционные распределённые и централизованные приложения, веб-приложения, мобильные приложения и т. д.
  3. Тестирование на проникновение – необходимо любому владельцу онлайн-сервиса или программного обеспечения, который хочет смоделировать действия хакеров и проверить, насколько успешными они окажутся.
  4. Аудит облачных окружений – проводится для того, чтобы убедиться, что даже самое надёжное, проаудированное и протестированное программное обеспечение не окажется уязвимым из-за проблем конфигураций и политик хостинга.
  5. Аудит смарт-контрактов – сервис, аналогичный анализу кода программного обеспечения, только в данном случае программами являются смарт-контракты – ключевой элемент DeFi. Мы уделяем много внимания уязвимостям и средствам анализа безопасности смарт-контрактов.

Вы уделили ваше время на прочтение нашей статьи, мы это ценим и постараемся компенсировать его. Воспользуйтесь нашим бонусом для вас, действующим ближайшие четыре недели, – бесплатной индивидуальной консультацией по любым вопросам защиты криптовалютных решений и других систем Web3. Пожалуйста, используйте в контактной форме промокод “2022-09-BLOCKCHAIN-TOP”. Мы быстро поможем вам определить, какие именно методы и средства безопасности нужны вам сейчас больше всего.

Воспользуйтесь нашим бесплатным онлайн-сканером безопасности, чтобы получить представление об уязвимостях вашего веб-сайта.

Подпишитесь на наш канал Телеграм, чтобы не пропустить новые статьи нашего блога.

Другие посты

29/08/2022
ТОП инцидентов Web3 и их причины
09/08/2022
Топ-3 инструмента аудита смарт-контрактов