Хакери наступають на світ криптовалют: топ-5 зламів 2023 року
Віртуальний меморіал загиблих борців за українську незалежність: вшануйте Героїв хвилиною вашої уваги!
Останніми роками криптовалютна галузь активно розвивається – в промисловості з'явилися сотні різних проєктів. Минулий рік не став винятком, тому вливання великих інвестицій у напрямок віртуальних активів привернула увагу й кіберзлочинців.
Експерти з кібербезпеки підрахували, що у 2023 році криптоіндустрія пережила сотні хакерських атак та випадків шахрайства. Внаслідок цього крипторинок зазнав $1,8 млрд збитків.
На цьому фоні OBOZ.UA зібрав найбільші криптокражі минулого року, а також рекомендації, які допоможуть криптопроєктам підвищити свою безпеку, а їхнім клієнтам уберегти свої активи від зловмисників.
Прибуток криптозлочинців впав удвічі
Згідно з даними аналітичної платформи Immunefi, у 2023 році збитки криптоіндустрії внаслідок зломів та нечесних дій деяких гравців скоротилися вдвічі (на 54,2%) після 2022-го, коли було викрадено $3,9 млрд.
Майже 95% усіх втрат припало на атаки хакерів. Минулого року зафіксували 219 таких випадків, які спровокували сукупні збитки у розмірі $1,69 млрд.
В результаті лише двох найбільших зламів було викрадено 22% усіх викрадених коштів у 2023 році. Найбільш "працелюбними" дослідники називають хакерів з північнокорейського угруповання Lazarus - їх "улов" у 2023 році становив $308,6 млн.
Також зазначається, що три чверті кібератак припало на децентралізовані проєкти (DeFi). При цьому $241,7 млн, або 13,4% із викрадених коштів вдалося повернути.
Топ-5 найбільших криптозломів у 2023 році
Mixin Network
23 вересня провайдер хмарних сервісів Mixin Network зазнав кібератаки, в результаті якої з майданчика вивели близько $200 млн у цифрових активах. Невідомі обчистили 10 тисяч найбільших криптогаманців клієнтів.
В результаті розробники протоколу звернулися до хакерів, запропонувавши їм повернути викрадені кошти за винагороду у розмірі 10% від сукупної вартості вкрадених активів.
Euler Finance
У березні кіберзлочинці вивели з DeFi-протоколу Euler Finance криптовалюту в еквіваленті $197 млн, що на той момент стало найбільшим таким інцидентом у році. Це обрушило вартість нативного токена проєкту Euler (EUL) на 46%.
Однак пізніше хакер повернув 90% викрадених коштів, залишивши собі інше як винагороду за виявлені вразливості в системі кібербезпеки проєкту.
Multichain
6 липня з кроссчейн-протоколу Multichain було виведено криптовалюту на $126 млн. І хоча активи на суму $65 млн вдалося заморозити, команда проєкту припинила його діяльність. Але у листопаді протокол було перезапущено.
Існує думка про причетність до крадіжки глави проєкту Чжао Цзюня, зв'язок з яким було втрачено у травні. Криптоаналітичний сервіс Chainalysis повідомив без вказівки джерела про арешт Цзюня у Китаї.
Poloniex
10 листопада жертвою злому стала криптобіржа Poloniex, яка втратила $126 млн у цифрових активах. Платформа пообіцяла відшкодувати втрату всім постраждалим клієнтам.
Крім того, голова біржі Джастін Сан запевнив, що хакера ідентифікували, а частину активів, пов'язаних із його адресами, заморозили. Зломщику запропонували нагороду $10 млн за повернення вкраденої криптовалюти.
BonqDAO
На початку лютого від експлойту (шкідливого фрагмента коду, який використовує програмні вразливості у коді проєкту) постраждав протокол BonqDAO. Зловмисники вивели з пулу проєкту активи сумою вартістю $120 млн, проте через їхню низьку ліквідність змогли конвертувати лише малу частину з них.
Як захиститися від хакерів: поради розробникам
Увага кіберзлочинців до криптоіндустрії змушує розробників підходити до заходів безпеки з максимальною увагою та старанністю. Щоб мінімізувати загрозу їм слід:
- Замовити та пройти незалежний аудит (а краще два – у різних компаній). Наприклад, компанія з кібербезпеки Hacken привласнила одному з найбільших європейських криптобірж з українським корінням WhiteBIT високий рейтинг AAA. Крім того, експерти CER.live включили цю платформу до топ-3 найбезпечніших.
- Провести низку тестів: навантажувальний, а також на проникнення в тестовому та продакшн-середовищі (деякі розробники можуть залишати бекдори – алгоритми, що дозволяють їм входити до системи проєкту в обхід авторизації).
- Провести аудит хмарного середовища.
- Зберігати активи у безпечних сховищах. Зокрема WhiteBIT зберігає 96% цифрових активів на холодних гаманцях (не підключених до інтернету).
Крім того, різні майданчики використовують систему винагород за вразливість, виявлені в системі кібербезпеки проєкту (баг-баунті). Розмір нагород при цьому варіюється від проєкту до проєкту. Наприклад, WhiteBIT заявляє про необмежені винагороди – чим серйозніша вразливість, тим вищий шанс отримати підвищену винагороду.
Як захистити свої активи: поради користувачам
Крім того, про захист своєї криптовалюти слід подумати і безпосереднім власникам активів. Щоб не стати легкою здобиччю для шахраїв, їм слід дотримуватися правил кібербезпеки.
- Перевіряти url-адреси на фішинг (використання підроблених сайтів з метою оволодіти авторизаційними даними користувачів). На платформі WhiteBIT є сервіс, за допомогою якого можна перевірити офіційні канали проєкту, а також послуга "Антифішинг", яка дозволить забезпечити автентифікацію електронних листів від біржі.
- Будьте обережні з телефонними дзвінками, листами та повідомленнями в месенджерах від незнайомих номерів. Служба підтримки ніколи не намагатиметься дізнатися логін та пароль користувача.
- Перевіряти адресу гаманця одержувача перед надсиланням коштів.
- Не завантажуйте програми для віддаленого доступу до пристрою.
- Повідомляти про шахрайство або його спроби представникам платформи та правоохоронцям.
Тільки перевірена інформація в нас у Telegram-каналі OBOZ.UA та у Viber. Не ведіться на фейки!