综述：2022 年“超级”加密黑客

根据 TRM 实验室分析，2022 年是加密货币黑客创纪录的一年，价值约 3.7 亿美元的加密货币被盗。 DEFI 攻击很普遍，大约 80% 或 3 亿美元涉及 DeFi 受害者。

当我们对一项新兴技术的前景持乐观态度进入 2023 年时，我们必须回顾过去，从我们事后面临的挑战和挫折中吸取教训。

Ronin Bridge 基础设施加密黑客

Axie Infinity 浪人桥加密黑客 612 月份以 XNUMX 亿美元位居榜首。浪人桥是一个以太币 Axie Infinity 在线赚钱游戏的侧链。

今天被确定为名为 Lazarus 的朝鲜网络犯罪集团的加密黑客获得了 Ronin 桥接交易验证器的九个私钥。他们使用密钥批准了大笔交易，一笔交易金额为 173,600 ETH，另一笔交易金额为 25.5 万美元。

黑客将加密货币转移到 Tornado cash、一个开源加密货币转杯器和其他几个交易所。

社会各界共同努力， Binance、Chainalysis 和执法人员帮助追查了部分资金。

570 月，黑客利用 BSC Beacon 跨桥代码中的一个漏洞窃取了价值 XNUMX 亿美元的加密货币。桥是 BNB 链的重要组成部分。

BSC Beacon链，简称Token Hub，是BNB Beacon Chain（BEP2）和BNB Chain（BEP20/BSC）之间的跨链桥梁。

攻击奏效伪造密码证明称为 Merkle 证明，确认交易等数据有效并包含在 blockchain. cyrpto 黑客使用虚假的 Merkle 证明将资金从 BSC Beacon 跨桥转移到其他链。

Tether 将攻击者的地址列入黑名单，同时从 BNB 链转移的超过 7 万美元被有效冻结。

加密货币黑客在 326 月份利用虫洞代码窃取了价值 XNUMX 亿美元的加密货币。虫洞是 Solana 和以太坊之间的代币桥梁。

加密黑客使用已弃用/完全不安全的功能来绕过签名验证。

一个弃用的代码可以比作一张便条，上面写着“我以后会删除它。” 您现在不能删除代码，因为一些消费者仍在使用它。

一连串的签名验证授权使加密黑客得以实现。已弃用的函数不检查地址，允许验证伪造的签名。

据网络分析师称，如果开发人员采用“安全编码”，他们本可以避免攻击。

黑客在 190 月利用价值 XNUMX 亿美元的加密货币 Nomad 加密货币桥。黑客几乎耗尽了协议中的所有资金——不断增加的漏洞利用使跨链代币桥的安全性受到质疑。

桥接器的工作原理是将代币锁定在一条链的智能合约中，然后在另一条链上以“包装”格式重新发行它们。在 Nomad 的案例中，攻击破坏了合约，使其包装的代币变得一文不值。

实际上，Nomad 悬赏要求黑客保留 10% 的资金，并且不会面临任何法律诉讼，外加白帽奖金 NFT. 攻击者最终只返还了 36 万美元。

在 182 月的一个重要周末，一名黑客使用闪电贷从 Beanstalk 稳定币协议中窃取了价值 XNUMX 亿美元的 ETH、BEAN 稳定币和其他资产。

闪电贷是一项功能，使用户能够借入资产，进行快速交易，然后在跨多个协议的单一复杂交易中偿还。

攻击者通过emergency commit功能向Beanstalk DAO提交了两个恶意提案，需要24/XNUMX投票，XNUMX小时后执行。

攻击者调皮地利用闪电贷功能获得79%的控制权，通过了他的提议。

攻击者将协议中的资金发送到乌克兰基金地址，以还清他的闪电贷，其余部分。最终，他获利76万美元。