Зломи CeFi та блокчейн-мостів

17.09.2022

ТОП приголомшуючих та потужних інцидентів у блокчейні, пов’язаних із хакерськими атаками

Hack DeFi

Нещодавно ми писали про лякаючу статистику великих інцидентів у блокчейн і про бурхливе зростання криптовалютних крадіжок. Ми звертали вашу увагу на зломи DeFi – розподілених фінансових інструментів.

Сьогодні ми хочемо звернути увагу на атаки хакерів на централізовані криптобіржі, фонди та інші фінансові організації, що працюють із блокчейном, а також на свіжу тенденцію останніх місяців – зломи блокчейн-мостів.

Ця стаття буде цікавою або корисною для вас, якщо ви працюєте з однією з таких бірж або організацій, або якщо використовуєте такі мости. Зверніть особливу увагу на наш огляд та рекомендації, якщо плануєте розробляти, впроваджувати чи купляти такі технології.

У цю статтю ми зібрали “найгучніші” інциденти в блокчейн, пов’язані з атаками хакерів за останні 11 років. Несанкціонований доступ до цифрових активів, детективні історії, колосальні суми збитків, прогнози та, нарешті, надійні рішення для забезпечення безпеки від хакерських зломів – про все це читайте нижче.

Найбільші хакерські крадіжки криптовалют

Cryptocurrency hacking

Нижче описані яскраві приклади великих інцидентів у криптовалютній індустрії, пов’язаних із атаками хакерів на криптовалютні біржі та інші централізовані організації, що працюють в індустрії блокчейн.

Mt.Gox

Mt.Gox – це біржа криптовалют, що базувалася в Токіо. Mt.Gox почала функціонувати у 2010 році, проте вже у 2014 році оголосила про банкрутство. Успішні атаки хакерів на біржу тривали протягом усіх років її існування, поки не знищили її остаточно.

На піку свого розвитку Mt.Gox вважалася найбільшою у світі біржею біткоїнів, ставши популярною мішенню хакерів. У 2011 році хакери використовували вкрадені облікові дані клієнтів для передачі біткоїнів. У тому ж році через недоліки мережевих протоколів кілька тисяч біткоїнів було загублені. Клієнти висловлювали невдоволення роботою біржі, відзначаючи проблеми із виведенням коштів.

Технічні помилки та невизначеності в коді не дозволили компанії отримувати чітке уявлення про транзакції. Проте, на початку лютого 2014 року компанія таки виявила підозрілу активність у своїх цифрових гаманцях. Після цього біржа призупинила виведення коштів, зазнавши колосальних збитків. Звіти про кількість втрачених біткоїнів варіювалися від 650 тисяч до 850 тисяч монет, що загалом становило близько 615 мільйонів USD. Деяка частина втрачених монет BTC належала компанії, інші — користувачам.

Coincheck

Приклад Mt.Gox мало чому навчив інші біржі, навіть у межах однієї лише Японії. Особливо “врожайним” для хакерів став 2018 рік.

Coincheck – одна з найбільших бірж цифрових валют Японії. У січні 2018 року Coincheck заявила, що втратила віртуальні активи на суму близько 535 мільйонів USD внаслідок хакерської атаки на свою мережу. Причиною злому було названо зберігання монет у вразливому “гарячому гаманці”. Такі гаманці підключені до Інтернету і завжди є більш вразливими, ніж “холодні гаманці”.

Керівництво компанії Coincheck прокоментувало катастрофічний недогляд безпеки, посилаючись на технічні труднощі та нестачу персоналу.

Цей злом помітно похитнув довіру багатьох користувачів та компаній до протоколів безпеки крипто-проєктів та блокчейнів, змусивши інші біржі приділяти належну увагу своїм протоколам безпеки для захисту активів від подібних інцидентів.

KuCoin

KuCoin – криптовалютна біржа в Азії зі штаб-квартирою в Сінгапурі. KuCoin у вересні 2020 року заявила, що зловмисники зламали її системи та повністю спустошили її “гарячі гаманці”. Компанія зазнала збитків у розмірі 281 мільйона USD.

У ході розслідування інциденту з’ясувалося, що одному чи кільком хакерам вдалося отримати закриті ключі від “гарячих гаманців” біржі. Зловмисники отримали контроль над величезною кількістю BTC, ETH, XRP та ERC20 TOKENS. За словами генерального директора компанії Джонні Лю, KuCoin переказала кошти, що залишилися, на нові “гарячі гаманці”, відмовилася від старих і заморозила депозити та зняття коштів клієнтами.

Bitmart

Bitmart – платформа для торгівлі криптовалютою. У грудні 2021 року на біржі відбулося великомасштабне порушення безпеки. Хакерам вдалося вивести токени на суму близько 150 мільйонів USD.

Біржа заявила, що порушення безпеки було в основному спричинене викраденим закритим ключем, який торкнувся “гарячих гаманців”. Хакери систематично використовували агрегатор децентралізованої біржі (DEX) 1inch для обміну вкрадених активів на ефір (ETH) і використовували вторинну адресу для внесення ETH в мікшер конфіденційності Tornado Cash, що ускладнювало відстеження зламаних коштів.

IRA Financial

IRA Financial – американський пенсійний фонд, що інвестує у криптовалютну індустрію. У лютому 2022 року хакери вкрали 36 мільйонів USD (21 мільйон USD у BTC та 15 мільйонів USD в ETH) з пенсійних рахунків фонду.

IRA Financial був пов’язаний із криптовалютною біржею Gemini, створеною близнюками-спортсменами Вінклвосс, які також відомі тим, що подали позов на Марка Цукерберга за крадіжку ідеї створення соціальної мережі Facebook.

Як з’ясувалося в ході розслідування інциденту, у день інциденту зловмисники зробили хибний виклик до поліції, яка прибула до офісу IRA та відволікла співробітників компанії від моніторингу безпеки транзакцій.

Також у процесах та системах біржі Gemini були серйозні прогалини в безпеці. Протоколи компанії виявилися помилковими та містили масштабну вразливість, що дозволяє зламати один обліковий запис клієнта, щоб дати хакеру доступ до всіх облікових записів клієнтів IRA.

Crypto.com

Crypto.com – компанія з обміну криптовалют, що базується в Сінгапурі. Наприкінці 2021 року компанія Crypto.com звернулася до нас, але так і не скористалася нашими послугами кібербезпеки, і вже в січні 2022 року зазнала масштабних збитків. Хакери зламали близько 500 акаунтів користувачів компанії та несанкціоновано заволоділи коштами у сумі 4 836,26 ETH, 443,93 BTC та близько 66 200 USD в інших валютах. Згідно обмінного курсу на момент інциденту збиток становив 15,3 мільйона USD в ETH та 18,7 мільйона USD у BTC, що в сумі становить 34 мільйони USD збитків.

Crypto.com стало відомо про кібератаку після того, як системи моніторингу ризиків компанії виявили невелику кількість користувачів, які виконують несанкціонований вивід криптовалюти зі своїх рахунків.

Ми навмисно не фокусуємося на реагуванні цих компаній на їхні зломи, тому що ми закликаємо радше запобігати інцидентам, аніж усувати їхні наслідки. Завжди вигідніше будувати систему безпеки, починаючи з більш ранніх етапів – із розробки безпечної архітектури та засобів управління безпекою на всіх етапах бізнес-процесів: від верифікації користувачів до моніторингу аномалій їх роботи та від забезпечення безпеки ланцюжка поставок до автоматичного моніторингу технічних уразливостей на етапі тестування програмного забезпечення.

Найбільші зломи міжмережевих мостових протоколів

hacks protocols

Блокчейн-міст – це протокол, який забезпечує сумісність та взаємодію двох блокчейнів. За допомогою блокчейн-моста можливе зручне переведення активів із однієї екосистеми блокчейну в іншу, не продаючи при цьому криптовалюту.

У блокчейн-мостів є безліч переваг, проте існують недоліки. Приклади, наведені нижче на діаграмі, демонструють часті випадки зламування міжмережевих мостів у 2022 році через відсутність належної системи безпеки протоколів.

Diagram hacks

Згідно з даними аналітичної компанії Chainalysis, із 1 січня по 2 серпня 2022 року внаслідок зломів міжмережевих мостів було втрачено близько 1,4 мільярда USD.

Найбільшою подією цього року став інцидент Ronin у березні. Хакери зламали міст, що підтримує популярну гру з невзаємозамінними токенами Axie Infinity, на суму 625 мільйонів USD.

Також у лютому 2022 року був зламаний крипто-міст Wormhole. Загальна сума збитків становила близько 320 мільйонів USD.

Крім цього, у червні поточного року міст Harmony’s Horizon зазнав нападу. Хакерам удалося викрасти 100 мільйонів USD. А близько місяця тому крипто злочинці захопили майже 200 мільйонів USD в результаті злому кроссчейн-моста Nomad.

За словами Chainalysis, сума, вкрадена в ході зломів блокчейн-мостів, становить 69% коштів, викрадених внаслідок зломів, пов’язаних із криптовалютою, у 2022 році.

Таким чином, ми бачимо, що численні зломи криптобірж таки навчили їх із роками приділяти більше уваги безпеці. Ця безпека не стала ідеальною, але виросла настільки, що хакери почали перемикатися на легші цілі.

У наступному 2023 році, швидше за все, ми побачимо ще більш яскраві та великі зломи DeFi та криптовалютних мостів. Мости та DeFi є відносно новими технологіями. Їм, як свого часу біржам, ще доведеться пройти шлях болючих зломів, щоб виростити свою безпеку.

Як уберегти криптовалюту від хакерських зломів

Cryptocurrency secure

Як ми побачили вище, технічні та організаційні недоліки мереж блокчейн та супутніх екосистем можуть бути надзвичайно дорогими та призводити до найневтішніших наслідків.

На щастя, ми маємо готові рішення, які допоможуть вам не стати жертвою цих кіберзлочинів та помилок ваших програмістів. Вам потрібно заздалегідь знайти та усунути вразливості та інші недоліки захисту, щоб кардинально знизити ризики атак хакерів і зломів, і втрату великих коштів.

  1. Рекомендації з безпеки криптогаманців та інструкції з роботи з криптовалютами – стануть у нагоді не тільки тим, хто знайомий із криптовалютами, а й тим, хто тільки збирається з ними познайомитися.
  1. Аудит вихідного коду програмного забезпечення – необхідний його розробникам, власникам та покупцям. Ми успішно знаходимо не лише відомі проблеми безпеки, а й уразливості “нульового дня”, а також проблеми у бізнес-логіці. При цьому ми ефективно аналізуємо не лише програмне забезпечення в блокчейні, але й традиційні розподілені та централізовані додатки, веб-додатки, мобільні додатки тощо.
  1. Тестування на проникнення – необхідне будь-якому власнику онлайн-сервісу або програмного забезпечення, який хоче змоделювати дії хакерів і перевірити, наскільки успішними вони виявляться. 
  1. Аудит хмарних оточень – проводиться для того, щоб переконатися, що навіть найнадійніше, проаудоване та протестоване програмне забезпечення не виявиться вразливим через проблеми конфігурацій та політик хостингу. 
  1. Аудит смарт-контрактів – сервіс, аналогічний до аналізу коду програмного забезпечення, тільки в даному випадку програмами є смарт-контракти – ключовий елемент DeFi. Ми приділяємо багато уваги вразливостям та засобам аналізу безпеки смарт-контрактів.

Ви приділили ваш час на прочитання нашої статті, ми це цінуємо і намагатимемося компенсувати його. Скористайтеся нашим бонусом для вас, що діє протягом найближчих чотирьох тижнів, – безкоштовною індивідуальною консультацією з будь-яких питань захисту криптовалютних рішень та інших систем Web3. Будь ласка, використовуйте у контактній формі промокод “2022-09-BLOCKCHAIN-TOP”.Ми швидко допоможемо вам визначити, які саме методи та засоби безпеки потрібні вам зараз найбільше.

Скористайтеся нашим безкоштовним онлайн-сканером безпеки, щоб отримати уявлення про вразливість вашого веб-сайту.

Підпишіться на наш канал Телеграм, щоб не пропустити нові статті нашого блогу.

Інші записи

29/08/2022
ТОП інцидентів Web3 та їхні причини
09/08/2022
Топ-3 інструменти аудиту смарт-контрактів