Хакеры наступают на мир криптовалют: топ-5 взломов 2023 года

Станислав Кожемякин
Финтех
15,9 т.
Эксперты по кибербезопасности составили рейтинг крупнейших взломов криптопроектов в 2023 году

В последние годы криптовалютная отрасль активно развивается – в индустрии появились сотни различных проектов. Минувший год не стал исключением, поэтому вливание больших инвестиций в направление виртуальных активов привлекло внимание и киберпреступников.

Эксперты по кибербезопасности подсчитали, что в 2023 году криптоиндустрия пережила сотни хакерских атак и случаев мошенничества. В результате этого крипторынок понес $1,8 млрд убытков.

На этом фоне OBOZ.UA собрал самые крупные криптокражи ушедшего года, а также рекомендации, которые помогут криптопроектам повысить свою безопасность, а их клиентам уберечь свои активы от злоумышленников.

Прибыль криптопреступников упала вдвое

Согласно данным аналитической платформы Immunefi, в 2023 году убытки криптоиндустрии в результате взломов и нечестных действий некоторых игроков сократились вдвое (на 54,2%) после 2022-го, когда было похищено $3,9 млрд.

Почти 95% всех потерь пришлось на хакерские атаки. В ушедшем году зафиксировали 219 таких случаев, которые спровоцировали совокупные убытки в размере $1,69 млрд.

В результате лишь двух крупнейших взломов было украдено 22% всех похищенных средств в 2023 году. Самыми "трудолюбивыми" исследователи называют хакеров из северокорейской группировки Lazarus – их "улов" в 2023 году составил $308,6 млн.

Также отмечается, что три четверти кибератак пришлось на децентрализованных проекты (DeFi). При этом $241,7 млн, или 13,4% из похищенных средств удалось вернуть.

Топ-5 крупнейших криптовзломов в 2023 году

Mixin Network

23 сентября провайдер облачных сервисов Mixin Network подвергся кибератаке, в результате которой с площадки вывели около $200 млн в цифровых активах. Неизвестные обчистили 10 тысяч крупнейших криптокошельков клиентов.

В результате разработчики протокола обратились к хакерам, предложив им вернуть похищенные средства за вознаграждение в размере 10% от совокупной стоимости украденных активов.

Euler Finance

В марте киберпреступники вывели с DeFi-протокола Euler Finance криптовалюту в эквиваленте $197 млн, что на тот момент стало крупнейшим таким инцидентом в году. Это обрушило стоимость нативного токена проекта Euler (EUL) на 46%.

Однако позже хакер вернул 90% похищенных средств, оставив себе остальное в качестве вознаграждения за обнаруженные уязвимости в системе кибербезопасности проекта.

Multichain

6 июля из кроссчейн-протокола Multichain было выведено криптовалюту на $126 млн. И хотя активы на сумму $65 млн удалось заморозить, команда проекта прекратила его деятельность. Но в ноябре протокол был перезапущен.

Существует мнение о причастности к краже главы проекта Чжао Цзюня, связь с которым была потеряна в мае. Криптоаналитический сервис Chainalysis сообщил без указания источника об аресте Цзюня в Китае.

Poloniex

10 ноября жертвой взлома стала криптобиржа Poloniex, которая потеряла $126 млн в цифровых активах. Платформа пообещала возместить потери всем пострадавшим клиентам.

Кроме того, глава биржи Джастин Сан заверил, что хакера идентифицировали, а часть активов, связанных с его адресами, заморозили. Взломщику предложили награду $10 млн за возврат украденной криптовалюты.

BonqDAO

В начале февраля от эксплойта (вредоносного фрагмента кода, который использует программные уязвимости в коде проекта) пострадал протокол BonqDAO. Злоумышленники вывели из пула проекта активы суммой стоимостью $120 млн, однако из-за их низкой ликвидности смогли конвертировать лишь малую часть из них.

Как защититься от хакеров: советы разработчикам

Внимание киберпреступников к криптоиндустрии вынуждает разработчиков подходить к мерам безопасности с максимальными вниманием и усердием. Чтобы минимизировать угрозу им следует:

  • Заказать и пройти независимый аудит (а лучше два – у разных компаний). Например, компания по кибербезопасности Hacken присвоила одной из крупнейших европейских криптобирж с украинскими корнями WhiteBIT высокий рейтинг AAA. Кроме того, эксперты CER.live включили эту платформу в топ-3 самых безопасных.
  • Провести ряд тестов: нагрузочный, а также на проникновение в тестовой и продакшн-среде (некоторые разработчики могут оставлять бекдоры – алгоритмы, позволяющие им входить в систему проекта в обход авторизации).
  • Провести аудит облачной среды.
  • Хранить активы в безопасных хранилищах. В частности, WhiteBIT хранит 96% цифровых активов на холодных кошельках (не подключенных к интернету).

Кроме того, различные площадки используют систему вознаграждений за уязвимости, обнаруженные в системе кибербезопасности проекта (баг-баунти). Размер наград при этом варьируется от проекта к проекту. Например, WhiteBIT заявляет о неограниченных вознаграждениях – чем серьезнее уязвимость, тем выше шанс получить повышенное вознаграждение.

Как защитить свои активы: советы пользователям

Кроме того, о защите своей криптовалюты следует подумать и непосредственным владельцам активов. Чтобы не стать легкой добычей для мошенников, им следует соблюдать правила кибербезопасности.

  • Проверять url-адреса на фишинг (использование поддельных сайтов с целью завладеть авторизационными данными пользователей). На платформе WhiteBIT есть сервис, с помощью которого можно проверить официальные каналы проекта, а также услуга "Антифишинг", которая позволит обеспечить подлинность электронных писем от биржи.
  • Соблюдать осторожность с телефонными звонками, письмами и сообщениями в мессенджерах от незнакомых номеров. Служба поддержки никогда не будет пытаться узнать логин и/или пароль пользователя.
  • Проверять адрес кошелька получателя перед отправкой средств.
  • Не загружать программы для удаленного доступа к устройству.
  • Сообщать о мошенничестве или его попытках представителям платформы и правоохранителям.

Только проверенная информация у нас в Telegram-канале OBOZ.UA и в Viber. Не ведитесь на фейки!