ТОП крупнейших инцидентов NFT всех времен

28.10.2022

С момента появления и до сегодня: крупнейшие ограбления NFT

В последние годы невзаимозаменяемые токены (NFT) стали чрезвычайно популярными.  Все чаще Интернет-пространство заполняют новости о покупках NFT за колоссальные суммы.

Популярность токенов резко возросла в 2021 году, после декабрьской продажи NFT-арт-проекта The Merge за огромные деньги, 91,8 млн USD. Еще одним громким событием была продажа NFT-коллажа Everydays: the First 5000 Days, который был куплен коллекционером за 69,3 млн USD. В результате этого события токен стал самым дорогим среди отдельных NFT-картинок.

Приведенные выше примеры подтверждают поразительные суммы, связанные с продажами NFT. Однако безопасны ли NFT и деньги в NFT? И сколько средств было потеряно из-за взломов NFT и их платформ?

Рассмотрим 10 самых крупных инцидентов, связанных с NFT за все время их существования. А также подведем итоги краж NFT за последний год.

Впечатляющие объемы краж NFT

С тех пор как был впервые представлен стандарт невзаимозаменяемых токенов, до октября 2022 года было зарегистрировано 186 инцидентов на общую сумму потерь 722,3 млн USD.

Данные собраны с помощью сервиса компании Comparitech.

Первая кража NFT была зафиксирована весной 2020 года.

Ниже опубликованы крупнейшие ограбления NFT на сегодня. Суммы ущерба указаны в USD по текущим курсам на моменты атак.

1. Lympo — ущерб 18,7 млн USD. Платформа спортивного майнинга NFT, дочерняя компания Animoca Brands, потеряли 165,2 млн токенов LMT в результате взлома горячих кошельков в январе 2022 года.

2. Farmers World — ущерб 15,7 млн USD. Криптовалютная сетевая игра WAX, Farmers World, пострадала от взлома в ноябре 2021 года, в результате чего убытки составили более 100 млн юаней (15,7 млн USD). Однако некоторые эксперты предполагают, что эта цифра могла достигать 300 млн юаней.

3. Bored Ape Yacht Club — ущерб 13,7 млн USD. В апреле 2022 года мошенники похитили токены у разработчиков коллекции Bored Ape Yacht Club. Кража была совершена путем взлома Instagram-аккаунта. Токены Mutant Apes, Azuki, Otherside и CloneX от тех же разработчиков также пострадали от мошенников, но уже в других инцидентах.

4. DragonSB Finance — ущерб 10 млн USD. В апреле 2022 года хакерами был взломан смарт-контракт компании, которая разрабатывала этот игровой проект.

5. OpenSea — ущерб 3,4 млн USD. В феврале 2022 года в ходе фишинговой атаки хакерам удалось похитить NFT на сумму свыше 1200 ETH. Злоумышленники обманули пользователей маркетплейса OpenSea.

6. TopGoal — ущерб 2,2 млн USD. В феврале 2022 года TopGoal подвергся атаке, и более 4,8 млн TMT были переведены с горячего кошелька платформы на адрес хакера.

7. The Shifters — ущерб 2 млн USD. При запуске коллекции The Shifters воры похитили у пользователей деньги путем поддельных веб-сайтов и сообщений Discord. Инцидент произошел в марте 2022 года.

8. Alethea AI — ущерб 1,8 млн USD. В марте 2022 года в результате компрометации Discord было украдено 840 ETH. 

9. Moonbirds — ущерб 1,5 млн USD. Хакеры создали вредоносную ссылку, которая путем обмана пользователей принесла им 29 NFT Moonbirds с примерной стоимостью 750 ETH. Инцидент произошел в мае 2022 года.

10. Omni — ущерб 1,4 млн USD. Финансовая платформа NFT Omni в июле 2022 года подверглась хакерской атаке. Ущерб платформы оценили в 1300 ETH. Omni предоставляла возможность заимствовать средства под залог NFT. Кража состоялась путем атаки повторного входа.

Еще одним дорогостоящим похищенным NFT-активом, согласно данным компании Elliptic, стал токен из известной коллекции Cryptopunks. Стоимость ущерба на момент кражи в ноябре 2021 года составила 490 тыс. USD.

Мошенничество с NFT за последний год

С июля 2021 года по июль 2022 года мошенникам удалось похитить NFT на сумму более 100 млн USD. Такие данные приводит исследование блокчейн-аналитиков компании Elliptic.

Ниже представлена диаграмма с количеством украденных токенов и их стоимостью по месяцам

Подсчитывая нанесенный ущерб, аналитики компании Elliptic учитывали только те случаи, о которых было заявлено публично. Поскольку случаи кражи недорогих NFT не всегда массово известны или обнародованы, логично предположить, что общее фактическое число убытков гораздо выше указанного на диаграмме.

В результате исследования специалисты пришли к выводу, что в среднем каждая атака обогащала мошенников на 300 тыс. USD.

По словам экспертов, мошенничества в индустрии NFT не сокращаются, несмотря на вход рынка в “медвежью” фазу. Самым “результативным” для преступников месяцем 2022 года, с точки зрения стоимости похищенных активов, выдался май – общая сумма составила около 24 млн USD, а в июле было похищено рекордное количество токенов – 4647.

Согласно отчету, 23% похищенных NFT мошенникам удалось заполучить путем компрометации соцсетей (в основном Discord) и фишинговых ссылок в них. Также практикуются и другие методы обмана, включая поддельные вредоносные сайты и эксплойты, приходящие на электронную почту. Хакеры также взламывают кошельки пользователей, как в недавнем случае с Solana, когда злоумышленникам удалось с помощью более 8000 взломанных кошельков Phantom, Trust Wallet и Slope похитить миллионы долларов.

Как противодействовать этой пугающей тенденции краж? Нужно знать слабые места NFT и устранять их. Поэтому мы не только исследуем данные инциденты, но и предотвращаем их. Мы регулярно выполняем аудиты безопасности смарт-контрактов, программного обеспечения и систем NFT-компаний. Также мы обучаем как распознавать мошенничество и противодействовать ему. Рассмотрите наши сервисы безопасности блокчейн для того, чтобы снизить риски описанных инцидентов.

17.09.2022

ТОП ошеломляющих и мощных инцидентов в блокчейн, связанных с хакерскими атаками

Hack DeFi

Недавно мы писали о пугающей статистике крупных инцидентов в блокчейн и о бурном росте криптовалютных краж. Мы обращали ваше внимание на взломы DeFi – распределённых финансовых инструментов. 

Сегодня мы хотим обратить внимание на хакерские атаки на централизованные криптобиржи, фонды и другие финансовые организации, работающие с блокчейном, а также на свежую тенденцию последних месяцев – взломы блокчейн-мостов.

Эта статья будет интересна или полезна вам, если вы работаете с одной из таких бирж или организаций, или если используете такие мосты. Обратите особенное внимание на наш обзор и рекомендации, если планируете разрабатывать, внедрять или приобретать подобные технологии.

В эту статью мы собрали самые “громкие” инциденты в блокчейн, связанные с хакерскими атаками за последние 11 лет.

Несанкционированный доступ к цифровым активам, детективные истории, колоссальные суммы ущерба, прогнозы, и, наконец, надежные решения для обеспечения безопасности от хакерских взломов – обо всём этом читайте ниже. 

Крупнейшие хакерские кражи криптовалют

Ниже описаны яркие примеры крупных инцидентов в криптовалютной индустрии, связанных с хакерскими атаками на криптовалютные биржи и другие централизованные организации, работающие в индустрии блокчейн.

Mt.Gox

Mt.Gox – это биржа криптовалют, базировавшаяся в Токио. Mt.Gox начала функционировать в 2010 году, однако уже в 2014 году объявила о банкротстве. Успешные хакерские атаки на биржу продолжались на протяжении всех лет её существования, пока не уничтожили её окончательно.

На пике своего развития Mt.Gox считалась крупнейшей в мире биржей биткоинов, став популярной мишенью хакеров. В 2011 году хакеры использовали украденные учетные данные клиентов для передачи биткоинов. В том же году из-за недостатков сетевых протоколов несколько тысяч биткоинов были “потеряны”. Клиенты выражали недовольство работой биржи, отмечая проблемы с выводом средств.

Технические ошибки и неопределенности в коде не позволили компании получать четкое представление о транзакциях. Однако, в начале февраля 2014 года компания всё-таки обнаружила подозрительную активность в своих цифровых кошельках. После этого биржа приостановила вывод средств, потерпев колоссальные убытки. Отчеты о количестве потерянных биткоинов варьировались от 650 тысяч до 850 тысяч монет, что в общей сложности составляло около 615 миллионов USD. Некоторая часть потерянных монет BTC принадлежала компании, а остальные — пользователям. 

Coincheck

Пример Mt.Gox мало чему научил другие биржи, даже в пределах одной только Японии. Особенно “урожайным” для хакеров стал 2018 год.

Coincheck – одна из крупнейших бирж цифровых валют Японии. В январе 2018 года Coincheck заявила, что потеряла виртуальные активы на сумму около 535 миллионов USD в результате хакерской атаки на свою сеть. Причиной взлома было названо хранение монет в уязвимом “горячем кошельке”. Такие кошельки подключены к Интернету и всегда являются более уязвимыми по сравнению с “холодными кошельками”. 

Руководство компании Coincheck прокомментировало катастрофическое упущение безопасности, ссылаясь на технические трудности и нехватку персонала.

Этот взлом заметно пошатнул доверие многих пользователей и компаний к протоколам безопасности крипто проектов и блокчейнов, заставив другие биржи уделять должное внимание своим протоколам безопасности для защиты активов от подобных инцидентов.

KuCoin

KuCoin – криптовалютная биржа в Азии со штаб-квартирой в Сингапуре. KuCoin в сентябре 2020 года заявила, что злоумышленники взломали ее системы и полностью опустошили ее “горячие кошельки”. Компания понесла убытки в размере 281 миллион USD.

В ходе расследования инцидента выяснилось, что одному или нескольким хакерам удалось получить закрытые ключи от “горячих кошельков” биржи. Злоумышленники получили контроль над огромным количеством BTC, ETH, XRP и ERC20 TOKENS. По словам генерального директора компании Джонни Лю, KuCoin перевела оставшиеся средства на новые “горячие кошельки”, отказалась от старых и заморозила депозиты и снятие средств клиентами. 

Bitmart

Bitmart – платформа для торговли криптовалютой. В декабре 2021 года на бирже произошло крупномасштабное нарушение безопасности. Хакерам удалось вывести токены на сумму около 150 миллионов USD. 

Биржа заявила, что нарушение безопасности было в основном вызвано украденным закрытым ключом, который затронул “горячие кошельки”. Хакеры систематически использовали агрегатор децентрализованной биржи (DEX) 1inch для обмена украденных активов на эфир (ETH) и использовали вторичный адрес для внесения ETH в микшер конфиденциальности Tornado Cash, что затрудняло отслеживание взломанных средств. 

IRA Financial

IRA Financial – американский пенсионный фонд, инвестирующий в криптовалютную индустрию. В феврале 2022 года хакеры украли 36 миллионов USD (21 миллион USD в BTC и 15 миллионов USD в ETH) с пенсионных счетов фонда. 

IRA Financial был связан с криптовалютной биржей Gemini, созданной близнецами-спортсменами Винклвосс, которые также известны тем, что подали иск на Марка Цукерберга за кражу идеи создания социальной сети Facebook. 

Как выяснилось в ходе расследования инцидента, в день инцидента злоумышленники сделали ложный вызов в полицию, которая прибыла в офис IRA и отвлекла сотрудников компании от мониторинга безопасности транзакций. 

Также в процессах и системах биржи Gemini были серьезные пробелы в безопасности. Протоколы компании оказались ошибочными и содержали масштабную уязвимость, позволяющую взломать одну учетную запись клиента, чтобы дать хакеру доступ ко всем учетным записям клиентов IRA.

Crypto.com

Crypto.com – компания по обмену криптовалют, базирующаяся в Сингапуре. В конце 2021 года компания Crypto.com обратилась к нам, но так и не воспользовалась нашими услугами кибербезопасности, и уже в январе 2022 года понесла масштабные убытки. Хакеры взломали около 500 аккаунтов пользователей компании и несанкционированно завладели средствами в сумме 4 836,26 ETH, 443,93 BTC и около 66 200 USD в других валютах. Согласно обменному курсу на момент инцидента убыток составил 15,3 миллиона USD в ETH и 18,7 миллиона USD в BTC, что в сумме составляет 34 миллиона USD убытков. 

Crypto.com стало известно о кибератаке после того, как системы мониторинга рисков компании обнаружили небольшое количество пользователей, выполняющих несанкционированный вывод криптовалюты со своих счетов.

Мы намеренно не фокусируемся на реагировании этих компаний на их взломы, потому что мы призываем скорее предотвращать инциденты, чем устранять их последствия. Всегда выгоднее строить систему безопасности, начиная с более ранних этапов – с разработки безопасной архитектуры и средств управления безопасностью на всех этапах бизнес-процессов: от верификации пользователей до мониторинга аномалий их работы и от обеспечения безопасности цепочки поставок до автоматического мониторинга технических уязвимостей на этапе тестирования программного обеспечения.

Крупнейшие взломы межсетевых мостовых протоколов

Блокчейн-мост – это протокол, который обеспечивает совместимость и взаимодействие двух блокчейнов. С помощью блокчейн-моста возможен удобный перевод активов из одной экосистемы блокчейна в другую, не продавая при этом криптовалюту. 

У блокчейн-мостов есть множество преимуществ, однако существуют и недостатки. Примеры, приведённые ниже на диаграмме, демонстрируют частые случаи взломов межсетевых мостов в 2022 году из-за отсутствия надлежащей системы безопасности протоколов.

Согласно данным аналитической компании Chainalysis, с 1 января по 2 августа 2022 года в результате взломов межсетевых мостов было потеряно около 1,4 миллиарда USD

Самым крупным событием текущего года стал инцидент Ronin в марте. Хакеры взломали мост, поддерживающий популярную игру с невзаимозаменяемыми токенами Axie Infinity, на сумму 625 миллионов USD.

Также в феврале 2022 года был взломан крипто-мост Wormhole. Общая сумма убытков составила около 320 миллионов USD.

Кроме этого, в июне текущего года мост Harmony’s Horizon подвергся нападению. Хакерам удалось похитить 100 миллионов USD. А около месяца назад крипто преступники захватили почти 200 миллионов USD в результате взлома кроссчейн-моста Nomad.

По словам Chainalysis, сумма, украденная в ходе взломов блокчейн-мостов, составляет 69% средств, украденных в результате взломов, связанных с криптовалютой, в 2022 году.

Таким образом, мы видим, что многочисленные взломы криптобирж всё-таки научили их с годами уделять больше внимания безопасности. Эта безопасность не стала идеальной, но выросла настолько, что хакеры начали переключаться на более лёгкие цели. 

В следующем 2023 году, скорее всего, мы увидим ещё более яркие и крупные взломы DeFi и криптовалютных мостов. Мосты и DeFi являются относительно новыми технологиями. Им, как в своё время биржам, ещё предстоит пройти путь болезненных взломов, чтобы вырастить свою безопасность.

Как уберечь криптовалюту от хакерских взломов

Как мы увидели выше, технические и организационные недостатки сетей блокчейн и сопутствующих экосистем могут быть чрезвычайно дорогостоящими и приводить к самым неутешительным последствиям. 

К счастью, у нас есть готовые решения, которые помогут вам не стать жертвой этих киберпреступлений и ошибок ваших программистов. Вам нужно заранее найти и устранить уязвимости и другие недостатки защиты, чтобы кардинально снизить риски хакерских атак и взломов, и потерю крупных средств. 

  1. Рекомендации по безопасности криптокошельков и инструкции по работе с криптовалютами – пригодятся не только тем, кто знаком с криптовалютами, но и тем, кто только собирается с ними познакомиться.
  2. Аудит исходного кода программного обеспечения – необходим его разработчикам, владельцам и покупателям. Мы успешно находим не только известные проблемы безопасности, но и уязвимости “нулевого дня”, а также проблемы в бизнес-логике. При этом мы эффективно анализируем не только программное обеспечение в блокчейне, но и традиционные распределённые и централизованные приложения, веб-приложения, мобильные приложения и т. д.
  3. Тестирование на проникновение – необходимо любому владельцу онлайн-сервиса или программного обеспечения, который хочет смоделировать действия хакеров и проверить, насколько успешными они окажутся.
  4. Аудит облачных окружений – проводится для того, чтобы убедиться, что даже самое надёжное, проаудированное и протестированное программное обеспечение не окажется уязвимым из-за проблем конфигураций и политик хостинга.
  5. Аудит смарт-контрактов – сервис, аналогичный анализу кода программного обеспечения, только в данном случае программами являются смарт-контракты – ключевой элемент DeFi. Мы уделяем много внимания уязвимостям и средствам анализа безопасности смарт-контрактов.

Вы уделили ваше время на прочтение нашей статьи, мы это ценим и постараемся компенсировать его. Воспользуйтесь нашим бонусом для вас, действующим ближайшие четыре недели, – бесплатной индивидуальной консультацией по любым вопросам защиты криптовалютных решений и других систем Web3. Пожалуйста, используйте в контактной форме промокод “2022-09-BLOCKCHAIN-TOP”. Мы быстро поможем вам определить, какие именно методы и средства безопасности нужны вам сейчас больше всего.

Воспользуйтесь нашим бесплатным онлайн-сканером безопасности, чтобы получить представление об уязвимостях вашего веб-сайта.

Подпишитесь на наш канал Телеграм, чтобы не пропустить новые статьи нашего блога.

Другие посты

17/09/2022
Взломы CeFi и блокчейн-мостов
29/08/2022
ТОП инцидентов Web3 и их причины