网络犯罪分子在 2022 年使用各种新颖的方式进行黑客攻击和利用,去年窃取了超过 28 亿美元的加密货币。
根据 CoinGecko 使用来自 DeFiYield 的 REKT 数据库的数据的一份报告,2022 年被盗的加密货币总数中近一半是通过各种方法窃取的。 这包括绕过验证流程、市场操纵、“人群抢劫”以及智能合约和桥接漏洞。
2022 年最大的黑客攻击是通过访问控制黑客进行的。 2022 年 3 月,流行游戏 Axie Infinity 的开发商 Sky Mavis 发现其 Ronin 网桥遭到黑客攻击,导致 Ronin 链和以太坊网络之间的网桥流失了 6.25 亿美元。
后来透露,朝鲜黑客组织 Lazarus 获得了五个私钥,这些私钥用于签署来自五个 Ronon 网络验证器节点的交易。 黑客就是这样从桥上窃取了 173,600 ETH 和 2550 万美元的 USDC。
根据 CoinGecko 的说法,访问控制漏洞是由攻击者执行的,他们通过受损的私钥、网络或安全系统获得了对钱包或账户的访问权限。 正如 Cointelegraph 去年探索的那样,跨链桥接黑客攻击在 2022 年很普遍,仅此类攻击就有 65% 的资金被盗。
2022 年的第二大漏洞发生在 2022 年 2 月,因为攻击者在铸造价值 3.26 亿美元的加密货币之前,在 Wormhole 令牌桥上使用伪造签名绕过了验证。 Wormhole 未能验证“监护人”账户,这使得黑客无需所需的质押品即可铸造代币。
“人群抢劫”在 2022 年 8 月脱颖而出,因为去中心化金融 (DeFi) 代币桥 Nomad 上的不安全智能合约配置允许用户提取无限量的资金。 数百个钱包利用了这一漏洞,损失了超过 1.9 亿美元。
Mango Markets 在 2022 年 10 月遭受了市场操纵攻击,一名黑客购买并人为膨胀了 Mango (MNGO) 代币,然后从该项目的资金库中取出质押不足的贷款。 1.16 亿美元在闪电贷攻击中被盗。
重入攻击是指攻击者利用恶意智能合约通过重复提款命令从目标中吸取资金,去年被盗金额达 8100 万美元。
甲骨文问题黑客导致 5400 万美元的资金被盗。 这种方法让黑客获得对 oracle 服务的访问权限并操纵其价格数据服务以强制执行智能合约失败或进行快速贷款攻击。
网络钓鱼攻击仅在 2022 年就窃取了 1700 万美元的加密货币。这种方法在 2017 年至 2020 年期间盛行,因为攻击者通过社会工程学方法掠夺不知情的受害者,以窃取登录凭据和私钥。
2023 年 2 月发生的甲骨文攻击事件是新年迄今为止最大的黑客攻击事件。 黑客设法通过 oracle被黑 操纵 AllianceBlock 代币的价格,导致协议中估计有 1.2 亿美元被盗。