Nonostante i mercati delle criptovalute siano rimasti intrappolati in una grave recessione ribassista, truffe e hack in Web3 sono stati in fiamme per l'intero 2022. Anche un certo numero di pesi massimi centralizzati di criptovaluta di alto livello sono crollati a causa della scarsa gestione del rischio e delle manipolazioni interne.
Mentre il segmento delle criptovalute si avvicina al nuovo anno, U.Today riassume le truffe crittografiche più pericolose, le loro radici, i progetti e le perdite che hanno causato. Abbiamo anche preparato una breve rassegna delle truffe crittografiche più frequenti nei social media che prendono di mira milioni di utenti ogni giorno.
Truffe crittografiche e hack del 2022: fatti in breve
Secondo numerosi rapporti di cybersec, nei primi 11 mesi del 2022, hacker e truffatori sono riusciti a rubare una quantità senza precedenti di 4.2 miliardi di dollari in criptovaluta, ovvero il 37% in più rispetto al 2021, quando le criptovalute chiave erano 2x-3 volte più costose.
- Gli attacchi più grandi sono stati eseguiti contro i protocolli cross-chain: il meccanismo bridge di Axie Infinity Ronin e l'ecosistema multiprotocollo Wormhole.
- I crolli dell'ecosistema Terra (LUNA), del suo principale DeFi Anchor Protocol (ANC) e della stablecoin ancorata all'USD TerraUSD (UST) hanno contribuito alla fase di recessione ribassista del secondo trimestre e del quarto trimestre del 2.
- Il dramma attorno all'ormai defunto scambio di criptovalute FTX e alla società commerciale associata Alameda Research è stato il più grande crollo del servizio centralizzato nel 2022.
- Nonostante i più grandi attacchi informatici siano ampiamente discussi dai media, la stragrande maggioranza delle truffe crittografiche sono organizzate tramite vecchi metodi: falsi lanci aerei, "programmi di recupero" dannosi, schemi di arbitraggio delle truffe e simili.
- Un certo numero di importanti hack sembravano essere operazioni da cappello bianco: gli aggressori hanno restituito il denaro rubato in cambio di impressionanti taglie di bug.
- Quasi il 12% di tutti i token BEP-20 e l'8% dei token ERC-20 sono fraudolenti; Ogni giorno vengono lanciate 350 nuove truffe.
In questa recensione, faremo riferimento a frodi e progetti lanciati intenzionalmente che inizialmente erano legittimi come "truffe", mentre gli "hack" sono attacchi di terze parti a progetti legittimi eseguiti senza eventi "insider job".
Le migliori truffe crittografiche e crolli del 2022
Nel 2022, Bitcoin (BTC), Ethereum (ETH) e tutte le principali criptovalute hanno perso oltre il 70-80% dal loro ATH, mentre nei segmenti più colpiti - token metaverse, token GameFi, l'ecosistema Solana (SOL) - la perdita mediana supera il 90 %. Alcune major crittografiche non sono riuscite a sopravvivere a un calo così doloroso.
Terra (LUNA)/Terra USD (UST)
La piattaforma di contratto intelligente compatibile con EVM Terra (LUNA) è stata tra i killer di Ethereum (ETH) più sopravvalutati del 2021. Tuttavia, la parte del leone del suo TVL era concentrata su Anchor Protocol (ANC), una semplice macchina per l'agricoltura di rendimento che offriva un 19% APY sui depositi in Terra USD (UST), l'ormai defunta stablecoin ancorata all'USD di Terra. In totale, più di 20 miliardi di dollari in equivalente sono stati bloccati ad Anchor (ANC) nel primo trimestre del 1.
Tuttavia, all'inizio di maggio 2022, qualcuno ha iniziato a inviare in modo aggressivo UST ai pool sulla DeFi di Curve Finance (CRV) e a scambiare i token su USD Coin (USDC). UST ha perso il suo piolo. Terraform Labs e il suo CEO Do Kwon hanno iniziato a iniettare liquidità nel meccanismo UST/LUNA. Tuttavia, a causa di una massiccia corsa di capitali, sia LUNA che UST sono scese quasi a zero. La blockchain di Terra (LUNA) è stata interrotta per sempre.
Come coperto da U.Today in precedenza, i ricercatori hanno svelato che è stato Terraform Labs ad avviare il collasso: massicci trasferimenti UST sono stati autorizzati da Do Kwon. Il fondatore di Terra sarebbe corso in Serbia e lì sta cercando di incassare i suoi Bitcoin (BTC).
Three Arrows Capital
Lanciato da Su Zhu e Kyle Davies, ex studenti della Columbia University e veterani del Credit Suisse, Three Arrows Capital (3AC) è stato tra gli hedge fund più influenti. Ha accumulato oltre $ 20 miliardi di AUM grazie all'essere uno dei primi investitori in Ethereum (ETH), Avalanche (AVAX), Solana (SOL) e altri.
Tuttavia, LUNA crollato era uno degli elementi chiave del portafoglio 3AC. Il team ha investito oltre 600 milioni di dollari in Terra (LUNA): questa enorme partecipazione è stata cancellata in due settimane dopo il crollo di LUNA/UST.
Il 16 giugno 2022, FT ha annunciato che 3AC non era riuscita a soddisfare le sue richieste di margine a causa delle perdite nel protocollo Anchor di Terra. L'azienda era anche sott'acqua nelle sue posizioni in Staked Ether (stETH) nella DeFi di Lido Finance (LDO) e in Grayscale Bitcoin Trust (GBTC). A giugno non è riuscita a rimborsare il prestito al gigante delle criptovalute Voyager. Alla fine di luglio l'azienda è stata liquidata da un tribunale delle BVI mentre la direzione di 3AC ha presentato istanza di fallimento. In totale, 20 investitori in 3AC hanno perso oltre 3.5 miliardi di dollari.
Voyager
Anche Voyager, creditore registrato negli Stati Uniti, è stato vittima di una cattiva gestione del rischio: ha fornito un prestito non garantito di 650 milioni di dollari a Three Arrows Capital mentre il suo AUM netto era di quasi 5.9 miliardi di dollari. La piattaforma vantava 3.5 milioni di clienti, il 97% dei quali ha investito meno di $ 10,000.
In generale, Voyager è fallita a causa del fatto che il suo team ha scelto una strategia aziendale rischiosa: ha offerto prestiti a molteplici servizi di trading e singoli trader di criptovalute. Quando gli istituti di credito hanno iniziato a ritirare i loro soldi in massa, all'inizio di luglio, Voyager ha congelato i fondi dei clienti. Pochi giorni dopo, ha presentato istanza di fallimento a New York.
Poiché la piattaforma era focalizzata su clienti al dettaglio di piccole dimensioni, il suo crollo è stato il più doloroso per gli appassionati di criptovaluta.
Centigrado
Celsius è stata, infatti, la prima azienda a segnalare i suoi problemi: nell'aprile 2022 la piattaforma ha annunciato che terrà in custodia tutti gli asset degli investitori non accreditati: questa parte di clienti non è stata quindi in grado di iniettare nuova liquidità e ottenere premi.
Nel maggio 2022, spaventati dai drammi UST e Terra, gli utenti hanno iniziato a spostare denaro fuori dal protocollo Celsius. Il 12 giugno 2022, Celsius ha congelato i fondi di 1.7 milioni di clienti (per lo più investitori al dettaglio). Proprio come Voyager, ha presentato istanza di fallimento all'inizio di luglio.
Il 14 luglio 2022, il consulente legale di Celsius Kirkland & Ellis ha condiviso che i leader della piattaforma sono stati informati di un buco di $ 1.3 miliardi nel suo bilancio.
FTX
Il crollo dell'exchange di criptovalute FTX di Sam Bankman-Fried e della relativa società di investimenti in criptovalute Alameda Research è stato il dramma più sorprendente di Web3: SBF e il suo team hanno tentato di ottenere un enorme controllo sul settore firmando dozzine di partnership, apparendo sulle copertine di Forbes e presto.
Tuttavia, il bilancio di Alameda Research dipendeva fortemente da FTX Token (FTT), la criptovaluta nativa di FTX. Ecco perché l'intero sistema è crollato quando il CEO di Binance Changpeng "CZ" Zhao ha iniziato a vendere in modo aggressivo FTT (oltre $ 500 milioni in equivalente sono stati rilasciati da CZ).
Proprio come in tutti i casi simili, gli investitori hanno iniziato a ritirare in massa i loro soldi da FTX. La piattaforma ha interrotto i prelievi, SBF si è dimesso da CEO e ha presentato istanza di fallimento. Nel frattempo, si è saputo che stava usando i soldi degli investitori e dei clienti nella sua società commerciale, Alameda Research. A causa della terribile cattiva gestione, Alameda Research era ben sott'acqua. SBF è stato arrestato e rilasciato su cauzione mentre le perdite realizzate dal crollo di FTX hanno raggiunto il picco di $ 9 miliardi in equivalente.
I migliori hack crittografici nel 2022
Secondo un . degli esperti di sicurezza informatica di Merkle Science, i bridge tra reti sono particolarmente vulnerabili agli exploit a causa della loro complessità tecnica e del loro carattere altamente sperimentale:
I ponti tra le catene sono spesso più suscettibili agli exploit in quanto richiedono più interazioni e approvazioni dei contratti rispetto agli altri protocolli. Inoltre, i bridge sono più suscettibili agli attacchi poiché vengono eseguiti da codici informatici non controllati. Inoltre, sono sconosciute anche le identità dei validatori/nodi che eseguono le transazioni
Nel 2022 i bridge sono stati i bersagli principali degli attacchi, mentre anche altri meccanismi DeFi sono stati sfruttati dagli hacker.
wormhole
Il 3 febbraio 2022, gli hacker hanno attaccato Wormhole, un ponte progettato per facilitare il trasferimento continuo di valore tra blockchain eterogenee. A causa di una vulnerabilità nel codice, sono riusciti a emettere 120,000 Wrapped Ethers (wETH) sulla blockchain di Solana (SOL) senza mettere la corrispondente garanzia di Ethereum (ETH).
L'hack potrebbe portare all'insolvenza di qualsiasi piattaforma DeFi che sarebbe pronta ad accettare 120,000 wETH (stampati dal nulla) come garanzia. Fortunatamente, lo scenario peggiore non si è verificato.
Jump Crypto, la società madre del servizio Wormhole, ha subito tutte le perdite: ha immediatamente reintegrato 120,000 Ether nelle pool di liquidità del protocollo.
Ronin
Il 23 marzo, gli hacker nordcoreani di Lazarus, un famigerato gruppo criminale informatico sostenuto dallo stato, hanno attaccato la rete Ronin. Ronin è una sidechain simile a Ethereum sviluppata appositamente per Axie Infinity, un GameFi di punta. Gli aggressori hanno prosciugato Ronin di ben 568 milioni di dollari.
Gli hacker sono riusciti a ottenere il controllo di cinque delle nove firme del validatore per Ronin Bridge. Quindi hanno autorizzato due transazioni, 173,600 Ether (ETH) e 25.5 milioni di USD Coin (USDC). Da questo mostruoso bottino, oltre 445 milioni di dollari sono stati riciclati tramite il crypto mixer Tornado Cash.
Lo sviluppatore di Axie Infinity, Sky Mavis, ha raccolto finanziamenti extra, ha ordinato un altro audit di sicurezza da parte di CertiK e ha aumentato la soglia multisig da 5/9 a 8/9.
Nomade
Nell'agosto 2022, Nomad, un meccanismo ponte multi-catena che sposta valore tra Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) e altre blockchain, è stato prosciugato di 190.7 milioni di dollari in criptovalute. Gli aggressori sono riusciti a sfruttare una vulnerabilità del design del contratto intelligente: il protocollo ha consentito agli utenti di prelevare fondi sulla blockchain di destinazione senza verificare se fossero equivalenti all'importo inizialmente distribuito.
12/ tl;dr un aggiornamento di routine ha contrassegnato l'hash zero come radice valida, che ha avuto l'effetto di consentire lo spoofing dei messaggi su Nomad. Gli aggressori ne hanno abusato per copiare/incollare le transazioni e hanno rapidamente prosciugato il bridge in un frenetico tutti contro tutti
— questo ora è un account shitpost (@samczsun) 2 Agosto 2022
In poche parole, dopo il regolare aggiornamento, gli utenti sono stati in grado di depositare 1 ETH su Ethereum (ETH) e chiedere un prelievo equivalente a 100 Ethereum (ETH) da Avalanche (AVAX).
Il fatto è che ogni appassionato di Web3 esperto di tecnologia è stato in grado di replicare questo vettore di attacco e rubare fondi a Nomad prima del rilascio della patch. Pertanto, molti sviluppatori di Ethereum (ETH) hanno ritirato fondi solo per restituirli al team di Nomad: sono stati restituiti quasi 40 milioni di dollari.
Beanstalk
Il 16 aprile 2022, il progetto di stablecoin basato su Ethereum Beanstalk (BEAN) è stato preso di mira da un sofisticato attacco di prestito flash. Vale a dire, i malfattori sono riusciti a ottenere un prestito lampo su Aave Finance (AAVE) e ad acquistare la quantità di token di governance necessari per prendere il controllo sui referendum on-chain del protocollo.
Quindi gli aggressori hanno ottenuto la maggioranza assoluta dei voti e hanno approvato un trasferimento di denaro sul proprio conto. Quando sono stati trasferiti $ 180 milioni, hanno immediatamente rimborsato il prestito flash; l'utile netto ha superato gli 80 milioni di dollari.
Invernomuto
Nel settembre 2022, Wintermute, una delle più grandi piattaforme di mercato, ha prosciugato i suoi portafogli per 160 milioni di dollari. Gli aggressori hanno svelato che alcuni dei portafogli chiave di Wintermute sono stati creati con Profanity, un generatore di "indirizzi personali" per la rete Ethereum (ETH). Tali programmi possono creare portafogli crittografici con indirizzi leggibili dall'uomo, ad es. 0xGiovanniDoe1111… e simili.
A causa di una vulnerabilità nel design di Profanity, gli aggressori sono riusciti a forzare i vanity address e recuperare le chiavi private. L'attacco è diventato possibile grazie alle notevoli risorse di calcolo utilizzate dai malfattori.
Bonus: non innamorarti di queste truffe di lunga data
Accanto a scenari sofisticati che includono prestiti flash da 1 miliardo di dollari, hacker nordcoreani e hardware impressionante per la forza bruta, campagne di truffa molto primitive stanno spuntando qua e là. Tre progetti di attacco sono molto comuni nelle criptovalute a partire dal 2022:
1. Falsi lanci aerei. Per eseguire questa truffa, i malfattori organizzano una campagna pubblicitaria su YouTube o pubblicano il loro annuncio su Twitter. Quindi annunciano che una celebrità di Internet (Snoop Dogg), un importante imprenditore tecnologico (Vitalik Buterin o Elon Musk) o persino un politico (Donald Trump) sta lanciando criptovaluta. Tutti coloro che sono pronti a richiedere i propri bonus dovrebbero inviare un deposito iniziale (che sarebbe presumibilmente restituito con un profitto del 100%) o le proprie chiavi private. Inutile dire che entrambi i gruppi perderanno i loro depositi o tutti i soldi dai loro portafogli.
Come proteggersi: Non inviare mai i tuoi soldi a "organizzatori di airdrop" o rivelare le tue chiavi private o frasi seme.
2. Robot MEV fatti a mano. Il valore massimo estraibile (MEV) è la ricompensa massima che i partecipanti alla rete Ethereum (ETH) possono ottenere per il loro contributo nel processo di convalida del blocco. Tecniche sofisticate ci consentono di trarre vantaggio dall'ottimizzazione del MEV. I truffatori pubblicano video o manuali di testo su come costruire i propri "bot MEV" per ottenere l'accesso ai portafogli Ethereum (ETH) e drenare fondi.
Come proteggersi: Evita i bot MEV "istantanei" dai manuali di YouTube.
3. I truffatori vengono in soccorso. Poiché il 2022 è sicuramente un anno di hack, molti utenti di criptovalute stanno controllando se le loro blockchain preferite sono rotte. I truffatori pubblicano falsi annunci su questo o quel progetto che viene violato e lanciano falsi programmi di "compensazione". Tutti gli interessati al risarcimento sono invitati a inviare le loro frasi seme ai truffatori.
Come proteggersi: controlla solo le notizie sugli hack sui canali media ufficiali delle blockchain.
Riflessioni conclusive
Nel 2022, la maggior parte dei crolli è stata innescata dal doloroso crollo dei prezzi delle criptovalute, dalla cattiva gestione del rischio e dall'avidità dei proprietari di prodotti centralizzati di criptovalute. Ecco perché il decentramento è un grosso problema: la saggezza della folla di un DAO impedirebbe che si verifichino crolli su scala FTX/Celsius/Voyager.
Nel frattempo, i prodotti on-chain dovrebbero occuparsi dei controlli di sicurezza, degli aggiornamenti e della gestione dei jet privati.
Fonte: https://u.today/top-10-crypto-scams-and-hacks-of-2022