Επιθέσεις Blockchain με μάρτυρες τους λάτρεις της κρυπτογράφησης
Το Blockchain είναι μία από τις ασφαλέστερες διαθέσιμες τεχνολογίες χάρη στην αποκεντρωμένη δομή του, την κρυπτογράφηση και τη δυνατότητα επαλήθευσης των συναλλαγών ανά πάσα στιγμή. Ωστόσο, εμφανίζονται νέοι κίνδυνοι για την ασφάλεια, οι οποίοι παρέχουν τη δυνατότητα για καταστροφικές, μακροχρόνιες βλάβες.
Το ποσό των χρημάτων που εκλάπησαν σε επιθέσεις κρυπτογράφησης το 2019 ήταν $4,25 δισεκατομμύρια, περίπου τριπλάσιο από το ποσό που εκλάπη το 2020, ύψους $1,49 δισεκατομμυρίων. Έξι από τις 10 κορυφαίες πιο δαπανηρές crypto παραβιάσεις στην ιστορία σημειώθηκαν το 2021, σύμφωνα με τα στοιχεία που συνέλεξε η Comparitech.
Το 2021, μια άλλη δημοσκόπηση διαπίστωσε ότι η πιο δημοφιλής μέθοδος κλοπής κρυπτονομισμάτων ήταν η χρήση ευπαθειών στα πρωτόκολλα αποκεντρωμένης χρηματοδότησης (DeFi). Κατά τη διάρκεια του περασμένου έτους, $1,4 δισεκατομμύρια σε περιουσιακά στοιχεία κρυπτογράφησης έχουν χαθεί λόγω DeFi. Σύμφωνα με την έρευνα, καθώς η τεχνολογία βρίσκεται ακόμη στα σπάργανα, είναι γεμάτη με κενά ασφαλείας τα οποία εκμεταλλεύονται οι χάκερ σε τακτική βάση.
Αυτές και άλλες πρωτοβουλίες αναδεικνύουν την ανάγκη οι πλατφόρμες blockchain να προχωρήσουν πέρα από το να βασίζονται στην εγγενή τους ασφάλεια και αντ' αυτού να υιοθετήσουν επιπλέον ελέγχους και προστασίες, ενώ παράλληλα θα προσέλθουν και εξωτερικοί ελεγκτές για να αξιολογήσουν την ασφάλειά τους.
Σε αυτή τη δημοσίευση, θα εξετάσουμε τις πιο διαδεδομένες επιθέσεις που σχετίζονται με το blockchain και τις πιο προβληματικές ατέλειες του λογιστικού βιβλίου που τις κατέστησαν δυνατές.
Πέντε κορυφαίες επιθέσεις Blockchain
Σκουληκότρυπα
Τον Φεβρουάριο του 2022, ένας χάκερ απέκτησε πρόσβαση στην πλατφόρμα κρυπτονομισμάτων Wormhole. Η πλατφόρμα λειτουργεί ως κέντρο επικοινωνίας για ανταγωνιστικά κρυπτονομίσματα όπως το Solana και άλλα αυτόνομα οικονομικά δίκτυα.
Ένας τέτοιος ανταγωνιστής είναι ο Ethereum. Η συνολική ζημία που υπέστη η εταιρεία ανήλθε σε 326 εκατομμύρια δολάρια.
Επιπλέον, η Wormhole προσέφερε ένα χρονοδιάγραμμα της εκδήλωσης στο λογαριασμό της στο Twitter. Το ελάττωμα ασφαλείας στο σύστημα επιδιορθώθηκε από την εταιρεία μόλις 6 ώρες μετά την παραβίαση και τα κεφάλαια αποκαταστάθηκαν νωρίς το επόμενο πρωί.
Επιπλέον, το κλειδί token, το οποίο είχε καταστεί μη λειτουργικό από το hackers κατά τη διάρκεια της επίθεσης, αποκαταστάθηκε αμέσως.
BitMart
Ως αποτέλεσμα της κλοπής ενός ιδιωτικού κλειδιού, οι χάκερ κατάφεραν να σπάσουν την κρυπτογράφηση σε δύο θερμά πορτοφόλια που ήταν συνδεδεμένα με το ανταλλακτήριο κρυπτονομισμάτων BitMart. Το ιδιωτικό κλειδί είναι ένα συστατικό μιας κρυπτογραφικής σύζευξης που υποτίθεται ότι πρέπει να διατηρείται μυστικό.
Η ομάδα ανέφερε σε ένα tweet που ανακοίνωσε τη διαπίστωση της απώλειας ότι $100 εκατομμύρια της ληστείας συνέβησαν στο blockchain Ethereum.
Η επιχείρηση σταμάτησε όλες τις δυνατότητες συναλλαγών της για λίγες ημέρες μέχρι να είναι έτοιμη να δηλώσει ότι υπήρξε βελτίωση της ασφάλειας.
Οι χρήστες της BitMart καθησυχάστηκαν από τον διευθύνοντα σύμβουλο της εταιρείας, Sheldon Xia, ότι η εταιρεία θα βρει λύση στο πρόβλημα και θα αποζημιώσει τους πελάτες που επλήγησαν χρησιμοποιώντας κεφάλαια της εταιρείας.
Αν και μετά από αυτές τις επιθέσεις, τα bots συναλλαγών όπως the-patterntrader-pro.com τροποποιούνται σε άλλο επίπεδο. Έτσι, τώρα οι άνθρωποι μπορούν να διασφαλίσουν τα αποθηκευμένα ψηφιακά τους νομίσματα, καθώς και να επιτύχουν σοφούς δείκτες συναλλαγών.
Δίκτυο Poly
Ο χάκερ του Poly Network εκμεταλλεύτηκε τα τρωτά σημεία στην υποδομή της πλατφόρμας και έκλεψε πάνω από $600 εκατομμύρια σε χρήματα. Ο δράστης του περιστατικού προσέγγισε την εταιρεία και της έκανε προσφορά να επιστρέψει την πλειονότητα των περιουσιακών στοιχείων, με εξαίρεση τα $33 εκατομμύρια tether (USDT) που είχαν κλειδώσει οι εκδότες.
Αλλά αυτό δεν ήταν το τέλος της ιστορίας: Τα κλεμμένα χρήματα αξίας $200 εκατομμυρίων ήταν καταχωνιασμένα σε έναν λογαριασμό για τον οποίο τόσο ο επιτιθέμενος όσο και η Poly Network έπρεπε να παρέχουν ένα κλειδί.
Στην αρχή, ο χάκερ δεν έδινε κωδικούς πρόσβασης από την πλευρά του. Μέχρι το σημείο όπου η Poly Network τους παρακάλεσε να τους αποκαλύψουν, τους πρόσφερε αμοιβή $500.000 για την εύρεση της βλάβης του συστήματος και τους υποσχέθηκε ακόμη και μια ευκαιρία για δουλειά στο μέλλον, δεν το είπαν.
Αφού πέρασε λίγος καιρός, το Poly Network αποκάλυψε ότι ένα άγνωστο άτομο, γνωστό μόνο ως "Mr White Hat", τους είχε δώσει το μυστικό κλειδί.
MT Gox
Η κλοπή από το ανταλλακτήριο Bitcoin MT Gox ήταν το πρώτο σοβαρό χάκινγκ ανταλλακτηρίου και μνημονεύεται ως η μεγαλύτερη ληστεία ανταλλακτηρίου Bitcoin μέχρι σήμερα. Η κλοπή που έλαβε χώρα στο MT Gox αφορούσε περισσότερα από ένα ξεχωριστά περιστατικά. Αντίθετα, ο ιστότοπος υπέστη οικονομικές απώλειες μεταξύ των ετών 2011 και Φεβρουαρίου 2014.
Οι χάκερ κατάφεραν να κλέψουν 750.000 bitcoins από τους χρήστες του ιστότοπου και 100.000 νομίσματα από την ίδια την εταιρεία κατά τη διάρκεια μερικών ετών. Πριν από την αύξηση της τιμής, τα εν λόγω bitcoins είχαν αξία $470 εκατομμύρια- η τρέχουσα αξία τους, $4,7 δισεκατομμύρια, είναι περίπου δεκαπλάσια.
Λίγο μετά το συμβάν, η MT Gox πτώχευσε και οι εκκαθαριστές κατάφεραν να ανακτήσουν περίπου 200.000 από τα κατασχεμένα bitcoins.
Liquid Global
Οι χάκερ απέκτησαν πρόσβαση στο ζεστό πορτοφόλι της Liquid και πήραν 67 διαφορετικά κρυπτονομίσματα, συμπεριλαμβανομένων των Ether, Bitcoins και XRP. Περισσότερες από 78% των απωλειών προκλήθηκαν από περιουσιακά στοιχεία που βασίζονται σε Ethereum.
Ένα μέρος των κλεμμένων περιουσιακών στοιχείων μεταφέρθηκε χρησιμοποιώντας πλατφόρμες αιχμής όπως η UniSwap, ενώ τα χρήματα που μεταφέρθηκαν σε άλλα μεγάλα ανταλλακτήρια κρυπτονομισμάτων διατηρήθηκαν κατόπιν αιτήματος της εταιρείας. Η συναλλακτική δραστηριότητα στον ιστότοπο συνεχίστηκε αφού τα μη επηρεαζόμενα περιουσιακά στοιχεία μεταφέρθηκαν σε ψυχρά πορτοφόλια και η ασφάλεια της πλατφόρμας αυξήθηκε με την προσθήκη ασφαλών θησαυροφυλακίων.
Επιπλέον, η εταιρεία εγγυήθηκε στους πελάτες της ότι δεν θα υπήρχε "καμία επίπτωση στα υπόλοιπα των χρηστών" και τελικά απέκτησε $120 εκατ. ευρώ από την FTX αγορά κρυπτογράφησης προκειμένου να αποζημιώσει τους πελάτες της και να καλύψει τις οικονομικές της απώλειες.
Η κατώτατη γραμμή
Σε ομότιμα οικοσυστήματα, όπως το blockchain, όπου ο καθένας μπορεί να ενταχθεί ανώνυμα στο δίκτυο και να συμμετάσχει, τα ελαττώματα στο δίκτυο blockchain θα μπορούσαν να κοστίσουν απίστευτα ακριβά. Όταν η ταυτότητα ενός ατόμου αποκρύπτεται, είναι πολύ πιο δύσκολο να γίνουν διορθώσεις σε σφάλματα.
Ως εκ τούτου, είναι απολύτως απαραίτητο να γνωρίζετε τα κενά ασφαλείας καθώς και τα πολλά διαφορετικά είδη επιθέσεων που μπορούν να αναλάβουν οι εγκληματίες του κυβερνοχώρου, ώστε να τα εντοπίζετε και να προβαίνετε εκ των προτέρων στις απαραίτητες διορθώσεις.
Επειδή οι συναλλαγές blockchain δεν μπορούν να αναιρεθούν, η χρήση της τεχνολογίας απαιτεί πρώτα μια ολοκληρωμένη κατανόηση των υποκείμενων εννοιών της, καθώς και διεξοδικές αξιολογήσεις και δοκιμές ασφαλείας.