Neustále informujeme o nových a nových hackerských útocích, aby si naši čtenáři mohli udělat představu o tom, jak nebezpeční kryptoměnoví hackeři jsou. S každou novou zprávou o ukradených kryptoměnách se totiž mohou zamyslet, zda pro bezpečnost svých peněz udělali maximum. Většina lidí je zvyklá mít své peníze v bance, kde jsou bezpečně uloženy a banka může pomoci s případnou záchranou prostředků. V kryptoměnovém světě si ale za své peníze každý zodpovídá sám a neexistuje žádná instituce, která by vracela peníze obětem kryptoměnových hackerů. Hackeři neustále vylepšují svou taktiku a jejich podvody jsou čím dále sofistikovanější. To vede k útokům, které zapříčiní ztrátů velkého množství prostředků, například po krádeži z poolu nebo bridge. Navíc se v naprosté většině jedná o peníze běžných lidí investujících do kryptoměn. Červenec 2022 je zatím jeden z nejhorších měsíců tohoto roku. Během jednoho měsíce totiž hackeři ukradli přes 200 milionů dolarů. Jednalo se přitom jen o několik útoků. Hodnota ukradených kryptoměn je ale obrovská.
Nejzajímavějším hackerským útokem července se jednoznačně stal zero-day útok na Vyper kompilátor. Jedná se o programovací jazyk na bázi Pythonu, umožňující pracovat s Ethereum Virtual Machine (EVM). Někteří zkušení uživatelé si ale všimli chyby v kódu kompilátoru, která jim umožnila ukrást celkem 70 milionů dolarů z projektů Alchemix, JPEG’D a Metronome a Curve Finance. U projektu Alchemix se vývojářům podařilo stáhnout z poolu 8000 etherů, nicméně dalších 5000 ukradli různí uživatelé, kteří věděli o chybě v kompilátoru. Jednomu uživateli se dokonce podařilo proměnit 5 etherů za 1200 alETH (stakované ethery u Alchemix). Projekt Curve Finance přišel o 18,5 milionů dolarů a JPEG’D o 11,5 milionů dolarů, přestože první útok na tento protokol nebyl úspěšný. Metronom zaznamenal, oproti ostatním protokolům, nejmenší ztráty ve výši 1,6 milionů dolarů. K některým útokům se následně přihlásili white hat hackeři a ukradené prostředky vrátili. Z celkově ukradených 70 milionů dolarů zůstalo v rukou hackerů zbylých 52 milionů. Chybu hackeři objevili ve verzích 0.2.15, 0.2.16 a 0.3.0.
Vyper vulnerability post-mortem report regarding the events of this past week: https://t.co/QAp8asOiLs
tl;dr - versions affected: v0.2.15, v0.2.16, v0.3.0 vulnerability in brief: cross-function re-entrancy is possible on contracts compiled with the susceptible versions — Vyper (@vyperlang) August 5, 2023
Chyba v kompilátoru není běžným druhem útoku a ve většině případů jde převážně o napadení smart kontraktu, případně hackeři ukradnou privátní klíče uživatelů dané služby.
Jedná se projekt, který poskytuje kryptoměnovou platební bránu pro řadu gamblingových webů, jako je například Bovada, HypeDrop nebo Ignition. Protokol byl napaden 23. července a hackerům se podařilo ukrást celkem 23 milionů dolarů. V den útoku začali bezpečnostní experti služby hlásit podivné transakce odcházející z horkých peněženek uživatelů. Hackerům se totiž podařilo získat privátní klíče k peněženkám obchodníků a vybrali z nich velkou část kryptoměn. Celková škoda dosáhla 23 milionů dolarů a zahrnovala přibližně 6 milionů USDT, 108 tisíc USDC, 100 milionů FTN, 430 tisíc TFL, 2500 ETH a 1700 DAI. Všechny prostředky poté směřovaly na jednu jedinou peněženku. V tomto případě se nejednalo o útok na smart kontrakt, ale o získání privátních klíčů k jednotlivým peněženkám uživatelů.
Conic Finance je pool, který poskytuje likviditu transakcím služby Curve Finance. Hackerům se podařilo zneužít chybu v nově vydaném smart kontraktu s názvem CurveLPOracleV2. Pomocí reentrancy útoku se jim podařilo ukrást 3,2 milionů dolarů v Ethereu. Tento typ útoků je v posledních měsících poměrně častý, navíc se podobná chyba našla ve smart kontraktu Conic Finance již dříve. Tehdy ji ale opravili ještě před tím, než smart kontrakt začali používat. Z tohoto důvodu bylo zneužití právě této chyby pro vývojáře Conic Finance opravdu nepříjemné.
Stejně, jako u Conic Finance, i zde využili hackeři reentrancy útoku k ukradení 3,4 milionů dolarů. EraLend je decentralizovaný půjčovací protokol běžící na zkSync. Útočníci byli schopni opakovaně volat napadenou funkci v rámci jedné transakce. Díky tomu mohli manipulovat s cenou nativního tokenu a ukrást celkem 3,4 milionů USDC. Stejná chyba se objevila také u SyncSwap, z jehož kódu EraLend vychází. Ani zde ale nebyl včas opraven a umožnil útočníkům ukrást prostředky z dalšího půjčovacího protokolu.
Útok na Multichain se stal nejdražším hackerským útokem v červenci, když se útočníkům podařilo ukrást přes 216 milionů dolarů z různých bridgů. Stále není jasné, jak se útočníci k prostředkům dostali, zřejmě se ale jednalo o krádež soukromých klíčů uživatelů. Nasvědčuje tomu fakt, že prostředky byly ukradeny z různých bridgů. Útočník by tedy musel zvlášť napadnout každý bridge a zjistit jednotlivé zranitelnosti. Vypadá to tedy, že se pomocí Multichainu hackeři dostali k privátním klíčům uživatelů a vykradli přímo jejich peněženky.
V poslední době jsou velice časté také rugy pully, tedy krádež prostředků samotnými vývojáři nebo vydavateli tokenu. S nástupem nových a nových uživatelů mají podvodníci stále dostatek nových obětí, kteří nakoupí nový token s vidinou zisku, případně vloží své peníze do pochybného decentralizovaného protokolu. Podvodníci pak vyberou všechny peníze uživatelů a zmizí.
U DeFiLabs vývojáři ukradli svým uživatelům 1,4 milionů dolarů 27. července. Vše začalo tím, že tým zveřejnil na platformě X zprávu o tom, že projekt na chvíli vypnou kvůli údržbě a novým aktualizacím. Ujistili své uživatele, že všechny prostředky jsou v pořádku a dokonce vypnuli i vklady na jejich platformu. Mezitím ale tým využil připravenou funkci withdrawFunds a vybrali z protokolu všechny prostředky ve výši 1,4 milionů dolarů na novou peněženku. Projekt zřejmě neměl žádný audit, protože ten by na tak podivnou funkci určitě přišel. Byla totiž napsána tak, aby vybrala prostředky z poolu na několik předem daných peněženek.
📢 Announcement 📢
Dear users, In order to provide you with better service and experience, our platform is currently undergoing maintenance and updates. Unfortunately, we encountered an unexpected issue during this process. To ensure the safety of your assets and smooth… pic.twitter.com/syN78p6NiB — DefiLabs (@defilabs_farm) July 28, 2023
Tento projekt se krásným příkladem toho, jak se slovní spojení “umělá inteligence” dá využít k získání pozornosti a investic uživatelů. Celou platformu vytvořil jeden člověk a využil popularity umělé inteligence k získání uživatelů. Následně do telegramové skupiny napsal, že má velké dluhy kvůli gamblingu a ukradl 2 miliony dolarů uživatelů.
Another day, another rug.#0xEncrypt just hard rugged during the migration.
From 2M marketcap to 20k in seconds. Dev said he had a gambling addiction and needed to recover money, another one for the book. pic.twitter.com/lc4wSC7zCT — bulla (@BullaOF) July 3, 2023
Dalším podvodným projektem v červenci byla GMETA, platforma postavená na BNB Chainu s vlastním tokenem. Tvůrci z platformy vybrali většinu prostředků, čímž srazili cenu vlastního tokenu o 96 % během krátké chvíle. Token GMETA byl přitom vydán už 4. února tohoto roku a podvodníci si zřejmě chtěli počkat na správnou chvíli. Následně vyměnili svůj vlastní nativní token za USDT tokeny na PancakeSwapu a poslali je na velké množství peněženek v malých částkách. Celkem ze svého projektu ukradli 2,36 milionů dolarů.
Kannagi Finance byl decentralizovaný protokol pro stakování kryptoměn s výnosem. V červenci ale vývojáři vybrali všechny prostředky z protokolu v celkové hodnotě 2,13 milionů dolarů. Prostředky vývojáři ukradli dva měsíce po spuštění, kdy se v protokolu objevil druhý milion dolarů. Ze všech prostředků zůstalo v protokolu pouze 0,17 dolarů a vývojáři smazali web, Twitter, i repozitáře na GitHubu.
Hrozně rád čtu a ještě raději píšu - o kryptoměnách, nových technologiích a knihách. Autora můžete podpořit prostřednictvím Lightning Network zde: petrik@lnbc.cz NOSTR:npub1ntvcjwhawvyxz8cyjywthdcnskvfdsum33f6x0vemvsu3njxaumqtn2uq5
Víc o autorovi
