- 2023’te, çalınan fonların yıllık değerinde kayda değer bir düşüş olmasına rağmen, kripto endüstrisi hackler ve protokol açıklarından kaynaklanan zorluklarla karşı karşıya kaldı.
- Bu yıl bilgisayar korsanları tarafından çalınan tahmini miktar, 2022’de kaydedilen 4 milyar dolardan %50’nin üzerinde bir düşüşle 1,7 milyar dolardı.
- Multichain, Euler Finance, Heco, Poloniex, Mixin ve Atomic Wallet gibi pek çok önemli hack olayı, kuruluşları etkiledi.
Kripto endüstrisi, yıllar boyunca sürekli olarak saldırılardan ve protokol istismarlarından kaynaklanan zorluklarla karşı karşıya kaldı.
Bu eğilim 2023’te de devam etti. Ancak bir miktar iyi haber de vardı: hack hacimleri yıllık bazda %50’nin üzerinde düştü.
TRM Labs’e göre, bu yıl bilgisayar korsanları tarafından çalınan kripto para fonlarının miktarının 1,7 milyar dolar olduğu tahmin ediliyor; bu, 2022’de kaydedilen 4 milyar doların yarısından az . Genel kayıplardaki azalmaya rağmen, bireysel projelerden hâlâ büyük miktarlarda para çalınıyordu.
Yıl, Multichain, Euler Finance, Mixin Network ve Atomic Wallet gibi önde gelen kuruluşları etkileyen çok sayıda yüksek profilli bilgisayar korsanlığı olayına tanık oldu.
Daha sonra Kasım ayında, Tron’un kurucusu Justin Sun ile ilişkili üç kripto projesi (Poloniex, HTX ve Heco Bridge) bir dizi istismar nedeniyle toplu olarak 200 milyon dolardan fazla kaybetti.
Bu olayların çoğunda tekrar eden bir sorun, faillerin kullanıcı fonlarına erişmesine olanak tanıyan özel anahtar istismarlarını içeriyordu. Yıl boyunca, Kuzey Koreli bilgisayar korsanlığı grubu Lazarus birden fazla saldırıya karıştı ve toplu olarak 300 milyon doları aşan kayıplarla sonuçlandı.
Mixin Network – 200 milyon dolar
Hong Kong merkezli bir kripto projesi olan Mixin Network, yılın en büyük kripto istismarıyla karşılaştı.
23 Eylül’de, bilgisayar korsanlarının kullanıcıların sıcak cüzdanlarından 200 milyon dolarlık şaşırtıcı bir parayı yağmalamasının ardından firma faaliyetlerini aniden durdurmak zorunda kaldı.
Mixin , “Bulut hizmet sağlayıcısının veri tabanının bilgisayar korsanları tarafından saldırıya uğradığını” bildirdi . Firma daha fazla açıklama yapmasa da analistler, etkilenen veri tabanının kullanıcıların hesaplarının özel anahtarlarını (kripto varlıklarının kilidini açan gizli ifadeler) barındırıyor olabileceğine inanıyor.
Euler Finance – 197 milyon dolar
DeFi’nin cesaretini ve güvenlik açığını, Mart 2023’te Euler kredi protokolündeki istismar kadar canlı bir şekilde yakalayan çok az olay var. Bu, 197 milyon dolar değerindeki kripto paranın tuhaf bir el çabukluğuyla ortadan kaybolduğu zamandı .
Suçlu Kimdi? Euler tarafından ihraç edilen stabilcoinler (eDAI ve dDAI) arasındaki döviz kurlarını manipüle ederek borç verme protokolündeki bir güvenlik açığından yararlanan bir bilgisayar korsanı. Saldırgan, DAI kullanarak “donateToReserves” işlevini tekrar tekrar çağırarak eDAI/dDAI oranını artırmayı başardı.
İki tokeni tutan likidite havuzlarının dengesini bozmak için aynı Ethereum işlemi içinde geri ödenen bir tür kredi olan flaş krediyi kullandılar. Bu, protokolden fon çekmek için dDAI cinsinden borçlu pozisyonlarının tasfiyesini tetikledi.
Ancak hikaye burada bitmiyor. Daha sonra “beyaz şapka” hamlesi olarak adlandırılan bir değişiklikle saldırgan çalınan parayı iade etti . Ganimetten elde edilen küçük bir ödül dışında neredeyse tamamı takıma geri döndü ve kurbanlara rahatlama sağlandı.
Multichain – 125 milyon dolar
Temmuz ayında, çapraz zincir köprüsü Multichain’in, desteklediği farklı blok zincirlerindeki kripto para birimlerinde 125 milyon dolar karşılığında sömürüldüğü ve en büyük miktarda fonun Fantom’dan alındığı bildirildi. Bu, ekibin “Öngörülemeyen koşullar nedeniyle birden fazla sorun” nedeniyle köprünün durdurulmasının hemen ardından meydana geldi .
Henüz kesin bir detaylı rapor sunulmadığından, saldırının kesin nedeni şu ana kadar belirsizliğini koruyor.
Güvenlik firması Halborn’un açıkladığı gibi olası bir faktör, köprünün akıllı sözleşmelerinin özel anahtarlarının, bilgisayar korsanlarının koddaki hataları istismar etmesiyle ele geçirildiği yönünde.
Multichain CEO’su Zhaojun’un hacklenmeden hemen önce ortadan kaybolması , olaydan ekibin kendisinin sorumlu olabileceğine dair endişeleri artırdı .
Etkinlikten önce Çinli yetkililer tarafından tutuklandı ve Multichain’in daha önceki ademi merkeziyet iddialarıyla çelişecek şekilde protokolün fonları üzerinde özel kontrole sahip olduğu ortaya çıktı. Multichain şu anda artık faal değil.
Poloniex – 120 milyon dolar
Kasım 2023’te, şüpheli Kuzey Koreli Lazarus Grubu bilgisayar korsanları, büyük olasılıkla özel anahtarlara erişim sağlayarak Poloniex’in sıcak cüzdanlarından şaşırtıcı bir şekilde 120 milyon dolar sızdırdı .
Ani etki öngörülebilirdi: Ticaret ve para çekme işlemleri durduruldu. Borsa, etkilenen kullanıcılara tazminat ödeyeceğini söylüyor. Poloniex, 2014’ten beri merkezi bir borsa olarak faaliyet gösteriyor. Tron’un kurucusu Justin Sun, borsayı 2019’da satın aldı.
Atomic Wallet – 100 milyon dolar
Haziran 2023’te kripto cüzdan uygulaması Atomic’in kullanıcı cüzdan hesapları boşaltıldı. Bilgisayar korsanları yaklaşık 5.500 kullanıcıdan 100 milyon doların üzerinde varlık çaldı. Atomic henüz bir açıklama yapmadığı için olayın arkasındaki temel neden belirsizliğini koruyor.
Bu istismarın , olaydan bir yıl önce Least Authority’deki güvenlik analistleri tarafından işaretlenen kod açıklarından kaynaklanmış olabileceğinden şüpheleniliyor. SlowMist’teki analistler de potansiyel sorunlar buldu .
Saldırıda hedeflenen 5.500’den fazla cüzdanı takip eden zincir üstü analiz firması Elliptic, saldırının arkasında Kuzey Kore hack derneği Lazarus Group’un olduğunu söyledi .
Ağustos ayında Rusya’daki bir grup mağdur, kullanıcı varlıklarını korumadığı için Atomic’in arkasındaki şirkete karşı toplu dava açtı . Birkaç ay sonra firma, ABD mahkemesindeki davanın reddedilmesi yönünde bir önergeyle yanıt verdi.
Heco Bridge, HTX – 99 milyon dolar
Kasım ayında, HTX borsası tarafından kurulan bir blockchain olan Heco üzerindeki birincil çapraz zincir köprüsü büyük bir istismara tanık oldu. Fail, köprünün ana akıllı sözleşmesi veya operatör hesabının kontrolünü ele geçirdi ve bunun sonucunda çeşitli kripto para birimlerinde 86 milyon doların üzerinde para çalındı.
İlk analizler, davetsiz misafirin köprünün akıllı sözleşme kodunu manipüle ettiğini ve güvenlik protokollerini atlattığını gösteriyor. Bu manipülasyon, bilgisayar korsanının (köprü sözleşmesi yoluyla) yetkisiz tokenler basmasına olanak tanıdı ve bunlar daha sonra eterle değiştirildi ve daha sonra köprünün dışına aktarıldı.
HTX (önceki adıyla Huobi) de sıcak cüzdanından 12 milyon dolar zarara uğradı. HTX’in danışmanı ve Tron’un kurucusu Justin Sun, saldırgana beyaz şapka ödülü teklif edildiğini belirtti. Bu teklif görünüşte kabul edildi ve platform tarafından 8 milyon doların (çalınan 12 milyon dolardan) geri alınması sağlandı.
Curve – 73 milyon dolar
Temmuz ayında DeFi’nin en büyük merkezi olmayan borsalarından biri olan Curve Finance’e bir saldırı yaşandı. Platformun çeşitli likidite havuzları, kullandığı Vyper programlama dilindeki bir güvenlik açığı nedeniyle istismar edildi ve bunun sonucunda bilgisayar korsanları çeşitli kripto varlıklarında yaklaşık 73 milyon dolar çaldı.
Bir güvenlik açığı, saldırganların akıllı sözleşme mantığını kullanarak kötü niyetli bir şekilde fonları boşaltmalarına olanak tanıdı. Bu, bilgisayar korsanının fonları hızlı bir şekilde arka arkaya çekmek için akıllı sözleşmeleri manipüle ettiği bir yeniden giriş saldırısını içeriyordu.
Vyper’daki arızalı bir yeniden giriş koruması bu saldırıyı kolaylaştırdı. Curve’un fabrika havuzları üzerine inşa edilen JPEG’d, Metronome ve Alchemix gibi projeler etkilendi.
Curve ekibi güvenlik açığını hızlı bir şekilde düzeltti ve sonunda yaklaşık 50 milyon doları (çalınan fonların %70’i) kurtararak birçok kullanıcı ve paydaşın endişelerini hafifletti. Geri kazanılan fonlar ya olaya dahil olan etik bilgisayar korsanları tarafından doğrudan geri verildi ya da c0ffeebabe.eth gibi MEV bot operatörlerinin yardımıyla kurtarıldı .
CoinEx – 55 milyon dolar
Eylül ayında, Hong Kong merkezli merkezi kripto para borsası CoinEx, büyük bir hack olayının yaşandığını bildirdi. Bilgisayar korsanları, borsanın anında işlem amaçlı kullanım için tasarlanmış sıcak cüzdanlarına sızdı ve 55 milyon dolardan fazla çeşitli kripto para birimiyle birlikte kaçtı.
Kuzey Koreli grup Lazarus’un bu olaya karıştığından bir kez daha şüphelenildi. Müfettişler, CoinEx hacklenmesi ile ABD Federal Soruşturma Bürosu’nun Lazarus hack grubuyla bağlantılı olduğunu söylediği bahis platformu Stake.com’daki ayrı bir hırsızlık arasında bir bağlantı tespit etti. Analiz, Stake.com’dan çalınan fonları alan cüzdan adresinin CoinEx korsanının cüzdanıyla doğrudan etkileşimi olduğunu ortaya çıkardı.
KyberSwap – 54 milyon dolar
Merkezi olmayan borsa (DEX) toplayıcı KyberSwap, Elastic platformuna yapılan ve yaklaşık 54 milyon dolarlık kripto paranın ele geçirildiği bir saldırı yoluyla istismar edildi.
22 Kasım’daki istismar, Kyber’in yoğunlaştırılmış likidite havuzlarının işaret aralığı sınırlarındaki bir güvenlik açığından kaynaklandı ve bu güvenlik açığı, failin likiditeyi yapay olarak ikiye katlamasına ve değerini kaybetmesine olanak sağladı.
Bir müzakere girişiminde Kyber, parayı iade etmesi karşılığında hacker’a %10 oranında beyaz şapka ödülü teklif etti . Ancak hacker, ödülü kabul etmeye hiç ilgi göstermedi ve tuhaf bir zincirleme mesajla , ekipten proje üzerinde tam kontrol sahibi olmasını istemek de dahil olmak üzere başka taleplerde bulundu.
Ekip, üçüncü taraf MEV botları tarafından alınan 4,7 milyon dolarlık fonu ayrı ayrı kurtardı .
Stake.com – 41 milyon dolar
Kripto tabanlı bahis platformu Stake.com, cüzdanlarının olası özel anahtar istismarının kurbanı oldu. 4 Eylül 2023’te platformdan tahmini 41 milyon dolar değerinde kripto para çalındı.
FBI , Ethereum, BNB Chain ve Polygon ağlarında Stake.com’dan çalınan fonları alan adreslerin analizine dayanarak hazırladığı bir raporda saldırıyı Lazarus’a bağladı.
