Хакери наступають на світ криптовалют: топ-5 зламів 2023 року

Станіслав Кожемякін
Фінтех
16,0 т.
Експерти з кібербезпеки склали рейтинг найбільших зламів криптопроєктів у 2023 році

Останніми роками криптовалютна галузь активно розвивається – в промисловості з'явилися сотні різних проєктів. Минулий рік не став винятком, тому вливання великих інвестицій у напрямок віртуальних активів привернула увагу й кіберзлочинців.

Експерти з кібербезпеки підрахували, що у 2023 році криптоіндустрія пережила сотні хакерських атак та випадків шахрайства. Внаслідок цього крипторинок зазнав $1,8 млрд збитків.

На цьому фоні OBOZ.UA зібрав найбільші криптокражі минулого року, а також рекомендації, які допоможуть криптопроєктам підвищити свою безпеку, а їхнім клієнтам уберегти свої активи від зловмисників.

Прибуток криптозлочинців впав удвічі

Згідно з даними аналітичної платформи Immunefi, у 2023 році збитки криптоіндустрії внаслідок зломів та нечесних дій деяких гравців скоротилися вдвічі (на 54,2%) після 2022-го, коли було викрадено $3,9 млрд.

Майже 95% усіх втрат припало на атаки хакерів. Минулого року зафіксували 219 таких випадків, які спровокували сукупні збитки у розмірі $1,69 млрд.

В результаті лише двох найбільших зламів було викрадено 22% усіх викрадених коштів у 2023 році. Найбільш "працелюбними" дослідники називають хакерів з північнокорейського угруповання Lazarus - їх "улов" у 2023 році становив $308,6 млн.

Також зазначається, що три чверті кібератак припало на децентралізовані проєкти (DeFi). При цьому $241,7 млн, або 13,4% із викрадених коштів вдалося повернути.

Топ-5 найбільших криптозломів у 2023 році

Mixin Network

23 вересня провайдер хмарних сервісів Mixin Network зазнав кібератаки, в результаті якої з майданчика вивели близько $200 млн у цифрових активах. Невідомі обчистили 10 тисяч найбільших криптогаманців клієнтів.

В результаті розробники протоколу звернулися до хакерів, запропонувавши їм повернути викрадені кошти за винагороду у розмірі 10% від сукупної вартості вкрадених активів.

Euler Finance

У березні кіберзлочинці вивели з DeFi-протоколу Euler Finance криптовалюту в еквіваленті $197 млн, що на той момент стало найбільшим таким інцидентом у році. Це обрушило вартість нативного токена проєкту Euler (EUL) на 46%.

Однак пізніше хакер повернув 90% викрадених коштів, залишивши собі інше як винагороду за виявлені вразливості в системі кібербезпеки проєкту.

Multichain

6 липня з кроссчейн-протоколу Multichain було виведено криптовалюту на $126 млн. І хоча активи на суму $65 млн вдалося заморозити, команда проєкту припинила його діяльність. Але у листопаді протокол було перезапущено.

Існує думка про причетність до крадіжки глави проєкту Чжао Цзюня, зв'язок з яким було втрачено у травні. Криптоаналітичний сервіс Chainalysis повідомив без вказівки джерела про арешт Цзюня у Китаї.

Poloniex

10 листопада жертвою злому стала криптобіржа Poloniex, яка втратила $126 млн у цифрових активах. Платформа пообіцяла відшкодувати втрату всім постраждалим клієнтам.

Крім того, голова біржі Джастін Сан запевнив, що хакера ідентифікували, а частину активів, пов'язаних із його адресами, заморозили. Зломщику запропонували нагороду $10 млн за повернення вкраденої криптовалюти.

BonqDAO

На початку лютого від експлойту (шкідливого фрагмента коду, який використовує програмні вразливості у коді проєкту) постраждав протокол BonqDAO. Зловмисники вивели з пулу проєкту активи сумою вартістю $120 млн, проте через їхню низьку ліквідність змогли конвертувати лише малу частину з них.

Як захиститися від хакерів: поради розробникам

Увага кіберзлочинців до криптоіндустрії змушує розробників підходити до заходів безпеки з максимальною увагою та старанністю. Щоб мінімізувати загрозу їм слід:

  • Замовити та пройти незалежний аудит (а краще два – у різних компаній). Наприклад, компанія з кібербезпеки Hacken привласнила одному з найбільших європейських криптобірж з українським корінням WhiteBIT високий рейтинг AAA. Крім того, експерти CER.live включили цю платформу до топ-3 найбезпечніших.
  • Провести низку тестів: навантажувальний, а також на проникнення в тестовому та продакшн-середовищі (деякі розробники можуть залишати бекдори – алгоритми, що дозволяють їм входити до системи проєкту в обхід авторизації).
  • Провести аудит хмарного середовища.
  • Зберігати активи у безпечних сховищах. Зокрема WhiteBIT зберігає 96% цифрових активів на холодних гаманцях (не підключених до інтернету).

Крім того, різні майданчики використовують систему винагород за вразливість, виявлені в системі кібербезпеки проєкту (баг-баунті). Розмір нагород при цьому варіюється від проєкту до проєкту. Наприклад, WhiteBIT заявляє про необмежені винагороди – чим серйозніша вразливість, тим вищий шанс отримати підвищену винагороду.

Як захистити свої активи: поради користувачам

Крім того, про захист своєї криптовалюти слід подумати і безпосереднім власникам активів. Щоб не стати легкою здобиччю для шахраїв, їм слід дотримуватися правил кібербезпеки.

  • Перевіряти url-адреси на фішинг (використання підроблених сайтів з метою оволодіти авторизаційними даними користувачів). На платформі WhiteBIT є сервіс, за допомогою якого можна перевірити офіційні канали проєкту, а також послуга "Антифішинг", яка дозволить забезпечити автентифікацію електронних листів від біржі.
  • Будьте обережні з телефонними дзвінками, листами та повідомленнями в месенджерах від незнайомих номерів. Служба підтримки ніколи не намагатиметься дізнатися логін та пароль користувача.
  • Перевіряти адресу гаманця одержувача перед надсиланням коштів.
  • Не завантажуйте програми для віддаленого доступу до пристрою.
  • Повідомляти про шахрайство або його спроби представникам платформи та правоохоронцям.

Тільки перевірена інформація в нас у Telegram-каналі OBOZ.UA та у Viber. Не ведіться на фейки!