10 худших крипто-взломов и эксплойтов 2024 года

2024 год продолжал оставаться сложным для пользователей и компаний в сфере криптовалют с точки зрения кибербезопасности, отмеченным несколькими крупными инцидентами взломов.

По данным Chainalysis, к декабрю 2024 года хакеры присвоили почти 2,2 миллиарда долларов в криптовалютах. Это увеличение по сравнению с 1,8 миллиарда долларов, украденными в 2023 году, указывает на рост объемов взломов более чем на 22% в годовом исчислении.

В 2024 году крупные атаки были нацелены на централизованные биржи, такие как DMM Bitcoin, WazirX и BingX. Уязвимости в дизайне протоколов DeFi оставались еще одним объектом внимания для атакующих, которые использовали их для вывода средств.

Хотя финансовая выгода остается основной мотивацией большинства взломов криптовалют, другие элементы также вносят свой вклад. Например, инциденты, приписываемые предполагаемой группе Lazarus на WazirX и Radiant Capital, намекают на атаки, спонсируемые государством.

Эта статья исследует наиболее заметные взломы криптовалют в 2024 году, анализируя причины их возникновения и стратегии, используемые хакерами.

DMM Bitcoin: 300 миллионов долларов

В мае 2024 года японская криптовалютная биржа DMM Bitcoin стала жертвой крупнейшего взлома криптовалюты в этом году. Она потеряла более 4500 BTC, стоимость которых на тот момент превышала 300 миллионов долларов.

Хотя точная причина атаки на DMM Bitcoin остается неясной, эксперты предполагают потенциальные уязвимости, такие как украденные приватные ключи или отравление адреса. Последнее — это обманная тактика, при которой атакующие отправляют небольшие суммы криптовалюты на кошелек жертвы, создавая фальшивую историю транзакций, чтобы запутать пользователей и потенциально обмануть их, заставив отправить средства на неправильный адрес.

Инцидент стал восьмым по величине кражей криптовалюты в истории и крупнейшей атакой с момента взлома FTX на 477 миллионов долларов в ноябре 2022 года.

В декабре DMM Bitcoin объявила, что договорилась с японской группой SBI о передаче клиентских счетов и кастодиальных активов последней к марту 2025 года.

WazirX: 230 миллионов долларов

18 июля 2024 года одна из крупнейших криптовалютных бирж Индии, WazirX, подверглась масштабному взлому, потеряв около 230 миллионов долларов инвесторских средств.

Хакеры использовали сложную схему для компрометации мультиподписного кошелька WazirX, который требовал нескольких подписей для авторизации транзакций. Используя несоответствия в том, как транзакции отображались на интерфейсе Liminal, платформе хранения криптовалют, используемой WazirX, атакующие смогли обмануть авторизованных подписантов, заставив их одобрить вредоносную транзакцию. Это позволило им обойти меры безопасности и опустошить криптовалютный кошелек биржи.

Эксперты подозревают, что в этом участвовала группа Lazarus, северокорейская хакерская группа, известная своим участием в предыдущих громких кражах криптовалют.

WazirX немедленно предприняла шаги для смягчения ущерба, включая временное приостановление вывода криптовалюты и фиатных средств.

В настоящее время ведется расследование взлома.

Munchables: 62 миллиона долларов

В марте 2024 года Munchables, игра с возможностью заработка, построенная на блокчейне Blast Layer 2, стала жертвой крупной уязвимости безопасности. Неизвестный атакующий использовал критическую уязвимость в смарт-контрактах игры, выведя криптовалюту на сумму 62,5 миллиона долларов. Смарт-контракты проекта предоставили разработчику возможность переводить средства по своему усмотрению — неправильно использованная возможность.

Сердцем атаки стало использование проектом обновляемого прокси-контракта. Хотя этот тип контракта предлагает гибкость, он также может вводить уязвимости, если с ним не обращаться осторожно, объяснил Роб Бенке, аналитик безопасности в Halborn. В этом случае злонамеренный разработчик взял под контроль адрес развертывания смарт-контракта, получив возможность изменять код контракта.

Используя эту привилегию, атакующий незаметно вставил вредоносную лазейку в контракт. Со временем они ждали, пока в контракт не будет внесено большое количество эфира. Когда время было подходящим, т

они инициировали эксплойт, похитив миллионы долларов в криптовалюте.

Позже Munchables обновили нас, что разработчик согласился безоговорочно передать приватные ключи от кошелька, содержащего активы Munchables, что привело к полному восстановлению активов. Не совсем ясно, почему злоумышленник решил это сделать.

Эксплойт Dai whale: $55 миллионов 

В августе криптокит стал жертвой сложной фишинговой атаки, в результате которой было утрачено $55 миллионов в стейблкоинах Dai.

Злоумышленник использовал уязвимость для доступа к криптокошельку жертвы, также называемому внешне управляемым аккаунтом, который контролировал хранилище на протоколе Maker. Этот тип хранилища позволяет пользователям занимать стейблкоины Dai, внося залог.

Используя скомпрометированный EOA, злоумышленник передал право собственности на Децентрализованный Сервисный Прокси (DSProxy) жертвы на вновь созданный адрес под их контролем. DSProxy — это смарт-контракт, который позволяет пользователям выполнять несколько вызовов контрактов в одной транзакции.

DSProxy, инструмент для автоматизации сложных транзакций, был ключом к цифровому хранилищу кита. Получив контроль над DSProxy, злоумышленник получил возможность манипулировать хранилищем Maker кита. Контролируя DSProxy, хакер установил себя в качестве адреса владельца протокола и выпустил 55,473,618 стейблкоинов Dai в свой кошелек.

Компания по безопасности Halborn объяснила, что злоумышленник, вероятно, использовал фишинговую атаку против кита, чтобы обманом заставить его подписать транзакцию, передающую право собственности на прокси им. Другая возможность заключается в том, что фишинговая атака скомпрометировала приватные ключи для кошелька, который контролировал DSProxy.

Radiant Capital: $51 миллион

В октябре 2024 года Radiant Capital подверглась второй серьезной атаке в течение года, что привело к потере около $51 миллиона.

Первоначальный инцидент, эксплойт с мгновенным займом, лишил протокол примерно $4,5 миллиона. Однако это событие было незначительным по сравнению с последующей, более сложной атакой. Эта последующая атака была нацелена на уязвимость в механизме мультиподписи протокола, используя высокоразвитую тактику. Radiant Capital использовала настройку 3 из 11 мультиподписи, которая требовала три приватных ключа для одобрения важных транзакций.

Тем не менее, злоумышленники, предположительно связанные с северокорейской группой Lazarus, обошли эту функцию безопасности. Злоумышленники манипулировали процессом подписания, обманывая подписантов, чтобы они одобряли вредоносные транзакции, которые казались легитимными. Эта манипуляция включала сложное вредоносное ПО, которое изменяло данные транзакции, отображаемые на интерфейсе кошелька Gnosis Safe. В то время как вредоносные транзакции отправлялись на аппаратные кошельки для подписания и выполнения.

Злоумышленники воспользовались случайными сбоями транзакций, которые обычно игнорировались как нормальные. Внедряя вредоносные транзакции в эти сбои, они получали действительные подписи, не вызывая тревоги.

Как только эти вредоносные транзакции получили одобрение, злоумышленники захватили контроль над одним из смарт-контрактов Radiant, который контролировал различные кредитные пулы. Это нарушение позволило им заменить контракты пулов на вредоносные версии, получая доступ к средствам пользователей.

BingX: $43 миллиона

В другом тревожном инциденте, подчеркивающем уязвимость централизованных криптовалютных бирж, сингапурская BingX стала жертвой крупного эксплойта безопасности. Атака, произошедшая 20 сентября 2024 года, скомпрометировала горячий кошелек биржи.

Хотя BingX преуменьшила инцидент как «незначительный», аналитики безопасности оценили общие потери примерно в $43 миллиона. Украденные средства были выведены в нескольких траншах, что указывает на хорошо скоординированную атаку.

Этот инцидент является частью тревожной тенденции взломов CEX, которые преследовали криптовалютную индустрию на протяжении 2024 года. В этом инциденте злоумышленники получили несанкционированный доступ

доступ к нескольким блокчейнам и использовал многочисленные адреса для сбора разнообразных криптовалют. Впоследствии эти украденные средства были конвертированы в эфир, что является обычной практикой для северокорейской группы Lazarus.

Penpie: 27 миллионов долларов

В сентябре 2024 года протокол Penpie, платформа для доходного фермерства, работающая на Pendle Finance, был скомпрометирован, что привело к потере около 27 миллионов долларов.

Основной причиной взлома Penpie стала критическая уязвимость, известная как атака повторного входа. Этот тип эксплойта позволяет злоумышленникам манипулировать потоком выполнения смарт-контракта, что приводит к непредвиденным последствиям. 

Создав обманчивый рынок на Pendle, злоумышленник создал поддельные версии токена "стандартизированной доходности" Pendle и связал их с токенами "поставщика ликвидности" Pendle. Эта манипуляция позволила злоумышленнику многократно вызывать уязвимую функцию, увеличивая баланс вознаграждений с помощью этих поддельных токенов. Смарт-контракт, не обладая сильными механизмами проверки, ошибочно принимал эти поддельные токены, что позволило злоумышленнику вывести значительные средства.

Несмотря на серьезность атаки, команда Penpie протянула оливковую ветвь злоумышленнику, предложив вознаграждение в обмен на возврат украденных средств. Злоумышленник проигнорировал это предложение и отмыл незаконные доходы через миксер Tornado Cash.

UwU Lend: 20 миллионов долларов

В июне 2024 года UwU Lend, децентрализованная платформа кредитования, подверглась эксплойту на 20 миллионов долларов из-за ошибки в ценовом оракуле, который полагается на данные в реальном времени из пулов ликвидности Curve Finance. Злоумышленник воспользовался этой уязвимостью и манипулировал ценой стабильной монеты, привязанной к доллару США, sUSDE, через серию расчетливых сделок.

Атака началась с того, что злоумышленник взял значительный флэш-кредит и обменял большую часть этих активов на sUSDE в пуле Curve, резко снизив его цену. Затем злоумышленник занял большое количество недооцененных токенов sUSDE у UwU Lend, используя другие криптовалюты в качестве залога. Впоследствии злоумышленник торговал в пуле Curve, чтобы восстановить цену sUSDE до нормального уровня, увеличивая стоимость своих активов.

Злоумышленник ликвидировал эти позиции, чтобы вернуть изначально занятые криптовалюты, которые теперь стали более ценными, и повторно вложил sUSDE в UwU Lend, чтобы занять больше, в конечном итоге получив прибыль в размере 19,3 миллиона долларов в эфире. Этот инцидент подчеркивает критические уязвимости использования спотовых цен для децентрализованных финансовых оракулов.

Sonne Finance: 20 миллионов долларов

В мае 2024 года Sonne Finance, децентрализованный протокол кредитования, работающий на цепочке Optimism Layer 2, столкнулся с эксплойтом на 20 миллионов долларов из-за уязвимости в его системе — производной от форков Compound v2. Эта уязвимость обычно нацелена на недостатки дизайна протокола, особенно на рынках с низкой ликвидностью или недавно созданных.

Создание нового рынка на форке Compound v2, таком как Sonne, требует начальной ликвидности для предотвращения манипуляций с ценами. Без этого рынок подвержен атакам. Ошибки точности или округления в расчетах смарт-контрактов, особенно десятичных значений, могут быть использованы.

В случае Sonne Finance злоумышленник ввел небольшое количество базового актива в пустой рынок, значительно изменив обменный курс между базовым активом и его токенизированным аналогом.

Это привело к ошибке округления, которую злоумышленник Sonne Finance использовал, чтобы вывести больше базовых активов, чем было изначально вложено, что привело к общей потере около 20 миллионов долларов. Это событие подчеркивает повторяющуюся проблему с форками Compound v2, использованную в аналогичных атаках на платформах, таких как Hundred Finance и Onyx Protocol.

M2 exchange: 14 миллионов долларов

В октябре криптовалютная биржа M2, базирующаяся в ОАЭ, стала жертвой кибератаки, в результате которой было похищено криптовалют на сумму 13,7 миллиона долларов.

Злоумышленник воспользовался уязвимостями в системах безопасности биржи, получив доступ к средствам.

После инцидента M2 признала нарушение безопасности и заверила своих пользователей, что ситуация была "полностью разрешена". Однако, вместо того чтобы вернуть украденные средства, биржа решила восстановить балансы клиентов, используя собственные активы.