Bien que les marchés de la crypto-monnaie soient piégés dans une grave récession baissière, les escroqueries et les piratages dans Web3 ont été en feu pendant toute l'année 2022. Un certain nombre de poids lourds centralisés de la crypto-monnaie de premier plan se sont également effondrés en raison d'une mauvaise gestion des risques et de manipulations d'initiés.
Alors que le segment de la cryptographie approche du Nouvel An, U.Today récapitule les escroqueries cryptographiques les plus dangereuses, leurs racines, leurs conceptions et les pertes qu'elles ont causées. Nous avons également préparé un bref aperçu des escroqueries cryptographiques les plus fréquentes sur les réseaux sociaux qui ciblent quotidiennement des millions d'utilisateurs.
Escroqueries et piratages cryptographiques de 2022 : Faits en bref
Selon de nombreux rapports de cybersécurité, au cours des 11 premiers mois de 2022, les pirates et les escrocs ont réussi à voler un montant sans précédent de 4.2 milliards de dollars en crypto-monnaie, soit 37 % de plus qu'en 2021, lorsque les cryptos clés étaient 2 à 3 fois plus chères.
- Les plus grandes attaques ont été exécutées contre des protocoles inter-chaînes - le mécanisme de pont d'Axie Infinity Ronin et l'écosystème multiprotocole Wormhole.
- Les effondrements de l'écosystème Terra (LUNA), de son principal protocole d'ancrage DeFi (ANC) et du stablecoin adossé à l'USD TerraUSD (UST) ont contribué à la phase T2-T4 2022 de la récession baissière.
- Le drame autour de l'échange de crypto FTX, aujourd'hui disparu, et de la société commerciale associée Alameda Research a été le plus grand effondrement de service centralisé en 2022.
- Bien que les plus grands hacks soient largement discutés dans les médias, la grande majorité des escroqueries cryptographiques sont organisées via d'anciennes méthodes : faux airdrops, « programmes de récupération » malveillants, systèmes d'arbitrage d'escroquerie et autres.
- Un certain nombre de piratages majeurs semblaient être des opérations de chapeau blanc : les attaquants rendaient l'argent volé en échange d'impressionnantes primes de bogues.
- Près de 12 % de tous les jetons BEP-20 et 8 % des jetons ERC-20 sont frauduleux ; 350 nouvelles arnaques sont lancées quotidiennement.
Dans cet examen, nous désignerons les fraudes et projets délibérément lancés qui étaient initialement légitimes comme des «escroqueries», tandis que les «pirates» sont des attaques de tiers sur des projets légitimes exécutés sans événements de «travail d'initié».
Top des escroqueries et des effondrements cryptographiques de 2022
En 2022, Bitcoin (BTC), Ethereum (ETH) et toutes les principales crypto-monnaies ont perdu plus de 70 à 80 % de leur ATH, tandis que dans les segments les plus touchés – les jetons métavers, les jetons GameFi, l'écosystème Solana (SOL) – la perte médiane dépasse 90 %. Certaines majors de la cryptographie n'ont pas survécu à une baisse aussi douloureuse.
Terra (LUNA)/Terra USD (UST)
La plate-forme de contrats intelligents compatible EVM Terra (LUNA) figurait parmi les tueurs d'Ethereum (ETH) les plus surmédiatisés de 2021. Cependant, la part du lion de sa TVL était concentrée sur Anchor Protocol (ANC), une machine agricole à rendement simple qui offrait un 19% APY sur les dépôts en Terra USD (UST), le stablecoin indexé sur l'USD de Terra, aujourd'hui disparu. Au total, plus de 20 milliards de dollars en équivalent ont été bloqués dans Anchor (ANC) au premier trimestre 1.
Cependant, début mai 2022, quelqu'un a commencé à envoyer de manière agressive des UST aux pools sur le Curve Finance (CRV) DeFi et à échanger les jetons sur USD Coin (USDC). UST a perdu son ancrage. Terraform Labs et son PDG Do Kwon ont commencé à injecter des liquidités dans le mécanisme UST/LUNA. Cependant, en raison d'une ruée massive sur les capitaux, LUNA et UST ont chuté à des valeurs presque nulles. La blockchain Terra (LUNA) a été arrêtée définitivement.
Comme couvert par U.Today précédemment, les chercheurs ont dévoilé que c'était Terraform Labs qui avait initié l'effondrement : des transferts massifs d'UST ont été autorisés par Do Kwon. Le fondateur de Terra aurait couru en Serbie et essaierait d'encaisser ses Bitcoins (BTC) là-bas.
Capitale des trois flèches
Lancé par Su Zhu et Kyle Davies, anciens de l'Université de Columbia et vétérans du Credit Suisse, Three Arrows Capital (3AC) figurait parmi les fonds spéculatifs cryptographiques les plus influents. Il a amassé plus de 20 milliards de dollars en AUM grâce à son investissement précoce dans Ethereum (ETH), Avalanche (AVAX), Solana (SOL) et autres.
Cependant, LUNA effondré était l'un des éléments clés du portefeuille 3AC. L'équipe a investi plus de 600 millions de dollars dans Terra (LUNA) : cette participation massive a été effacée en deux semaines après l'effondrement de LUNA/UST.
Le 16 juin 2022, FT a annoncé que 3AC n'avait pas répondu à ses appels de marge en raison de pertes dans le protocole d'ancrage de Terra. La société était également sous-marine dans ses positions dans Staked Ether (stETH) dans le Lido Finance (LDO) DeFi et dans Grayscale Bitcoin Trust (GBTC). En juin, il n'a pas remboursé son prêt au géant de la cryptographie Voyager. Fin juillet, l'entreprise a été liquidée par un tribunal des BVI tandis que la direction de 3AC a déposé son bilan. Au total, 20 investisseurs dans 3AC ont perdu plus de 3.5 milliards de dollars.
voyageur
Le créancier enregistré aux États-Unis, Voyager, a également été victime d'une mauvaise gestion des risques : il a accordé un prêt non garanti de 650 millions de dollars à Three Arrows Capital alors que ses actifs sous gestion nets s'élevaient à près de 5.9 milliards de dollars. La plateforme comptait 3.5 millions de clients, dont 97 % ont investi moins de 10,000 XNUMX $.
En général, Voyager s'est effondré en raison du fait que son équipe a choisi une stratégie commerciale risquée : elle a proposé des prêts à plusieurs services de trading et à des commerçants individuels de crypto-monnaie. Alors que les prêteurs commençaient à retirer leur argent en masse, début juillet, Voyager a gelé les fonds des clients. Quelques jours plus tard, il a déposé une demande de mise en faillite à New York.
Comme la plate-forme était axée sur les petits clients de détail, son effondrement a été le plus douloureux pour les amateurs de crypto-monnaie.
Celsius
Celsius a en fait été la première entreprise à signaler ses problèmes : en avril 2022, la plateforme a annoncé qu'elle conserverait tous les actifs des investisseurs non accrédités : cette partie des clients n'a donc pas pu injecter de nouvelles liquidités et obtenir des récompenses.
En mai 2022, effrayés par les drames UST et Terra, les utilisateurs ont commencé à retirer de l'argent du protocole Celsius. Le 12 juin 2022, Celsius a gelé les fonds de 1.7 million de clients (principalement des investisseurs particuliers). Tout comme Voyager, elle a déposé son bilan début juillet.
Le 14 juillet 2022, le conseiller juridique de Celsius, Kirkland & Ellis, a déclaré que les dirigeants de la plateforme avaient été informés d'un trou de 1.3 milliard de dollars dans son bilan.
FTX
L'effondrement de l'échange de crypto-monnaie FTX de Sam Bankman-Fried et de sa société d'investissement crypto associée Alameda Research a été le drame le plus surprenant de Web3: SBF et son équipe ont tenté d'acquérir un contrôle énorme sur l'industrie en signant des dizaines de partenariats, apparaissant sur les couvertures de Forbes et bientôt.
Cependant, le bilan d'Alameda Research dépendait fortement de FTX Token (FTT), la crypto-monnaie native de FTX. C'est pourquoi tout le système s'est effondré lorsque le PDG de Binance, Changpeng "CZ" Zhao, a commencé à vendre agressivement le FTT (plus de 500 millions de dollars en équivalent ont été débloqués par CZ).
Comme dans tous les cas similaires, les investisseurs ont commencé à retirer massivement leur argent de FTX. La plateforme a arrêté les retraits, SBF a démissionné de son poste de PDG et a déposé son bilan. Pendant ce temps, on a appris qu'il utilisait l'argent des investisseurs et des clients dans sa propre société de négoce, Alameda Research. En raison d'une terrible mauvaise gestion, Alameda Research était bien sous l'eau. SBF a été arrêté et libéré sous caution alors que les pertes réalisées suite à l'effondrement de FTX ont culminé à 9 milliards de dollars en équivalent.
Les meilleurs hacks de crypto en 2022
Selon un selon une analyse de l’Université de Princeton Selon les experts en cybersécurité de Merkle Science, les ponts inter-réseaux sont particulièrement vulnérables aux exploits en raison de leur complexité technique et de leur caractère hautement expérimental :
Les ponts entre les chaînes sont souvent plus sensibles aux exploits car ils nécessitent plus d'interactions et d'approbations de contrats que les autres protocoles. De plus, les ponts sont plus sensibles aux attaques car ils sont gérés par des codes informatiques non audités. De plus, les identités des validateurs/nœuds qui exécutent les transactions sont également inconnues
En 2022, les ponts étaient les principales cibles des attaques, tandis que d'autres mécanismes DeFi étaient également exploités par des pirates.
Wormhole
Le 3 février 2022, des pirates ont attaqué Wormhole, un pont conçu pour faciliter un transfert de valeur transparent entre des chaînes de blocs hétérogènes. En raison d'une vulnérabilité dans le code, ils ont réussi à émettre 120,000 XNUMX Wrapped Ethers (wETH) sur la blockchain Solana (SOL) sans mettre en place la garantie Ethereum (ETH) correspondante.
Le piratage pourrait entraîner l'insolvabilité de toute plate-forme DeFi qui serait prête à accepter 120,000 XNUMX wETH (imprimés à partir de rien) en garantie. Heureusement, le scénario du pire ne s'est pas produit.
Jump Crypto, la société mère du service Wormhole, a pris toutes les pertes : ils ont immédiatement réapprovisionné 120,000 XNUMX Ethers dans les pools de liquidité du protocole.
Ronin
Le 23 mars, des pirates nord-coréens de Lazarus, un groupe de cybercriminels infâme soutenu par l'État, ont attaqué le réseau Ronin. Ronin est une sidechain de type Ethereum développée spécifiquement pour Axie Infinity, un GameFi phare. Les attaquants ont vidé Ronin d'un énorme 568 millions de dollars.
Les pirates ont réussi à prendre le contrôle de cinq des neuf signatures de validation pour Ronin Bridge. Ensuite, ils ont autorisé deux transactions, 173,600 25.5 Ether (ETH) et 445 millions USD Coin (USDC). Sur ce butin monstrueux, plus de XNUMX millions de dollars ont été blanchis via le mélangeur crypto Tornado Cash.
Sky Mavis, développeur d'Axie Infinity, a levé des fonds supplémentaires, ordonné un autre audit de sécurité par CertiK et augmenté le seuil multisig de 5/9 à 8/9.
Nomade
En août 2022, Nomad, un mécanisme de pont multi-chaînes qui déplace la valeur entre Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) et d'autres blockchains, a été vidé de 190.7 millions de dollars en crypto. Les attaquants ont réussi à exploiter une vulnérabilité de la conception du contrat intelligent : le protocole permettait aux utilisateurs de retirer des fonds sur la blockchain cible sans vérifier s'ils étaient équivalents au montant initialement déployé.
12/ tl;dr une mise à niveau de routine a marqué le hachage zéro comme une racine valide, ce qui a eu pour effet de permettre aux messages d'être usurpés sur Nomad. Les attaquants en ont abusé pour copier/coller des transactions et ont rapidement vidé le pont dans un free-for-all frénétique
- c'est maintenant un compte shitpost (@samczsun) 2 août 2022
En termes simples, après la mise à niveau régulière, les utilisateurs ont pu déposer 1 ETH sur Ethereum (ETH) et demander un retrait équivalent à 100 Ethereum (ETH) d'Avalanche (AVAX).
Le fait est que tous les passionnés de Web3 férus de technologie ont pu reproduire ce vecteur d'attaque et voler des fonds à Nomad avant la publication du correctif. Ainsi, de nombreux développeurs d'Ethereum (ETH) ont retiré des fonds juste pour les renvoyer à l'équipe Nomad : près de 40 millions de dollars ont été renvoyés.
tige d'haricot
Le 16 avril 2022, le projet de pièces stables basé sur Ethereum Beanstalk (BEAN) a été ciblé par une attaque de prêt flash sophistiquée. À savoir, les malfaiteurs ont réussi à obtenir un prêt éclair sur Aave Finance (AAVE) et à acheter la quantité de jetons de gouvernance nécessaires pour prendre le contrôle des référendums en chaîne sur le protocole.
Ensuite, les attaquants ont obtenu la super-majorité des votes et ont approuvé un transfert d'argent sur leur propre compte. Lorsque 180 millions de dollars ont été transférés, ils ont immédiatement remboursé le prêt flash ; le bénéfice net a dépassé 80 millions de dollars.
Mute d'Hiver
En septembre 2022, Wintermute, l'une des plus grandes plateformes de création de marché, a vu ses portefeuilles s'épuiser pour 160 millions de dollars. Les attaquants ont dévoilé que certains des portefeuilles clés de Wintermute avaient été créés avec Profanity, un générateur d'"adresses personnalisées" pour le réseau Ethereum (ETH). Ces programmes peuvent créer des portefeuilles cryptographiques avec des adresses lisibles par l'homme, par exemple, 0xJohnDoe1111… etc.
En raison d'une vulnérabilité dans la conception de Profanity, les attaquants ont réussi à forcer brutalement les adresses personnalisées et à récupérer des clés privées. L'attaque est devenue possible grâce aux importantes ressources de calcul utilisées par les malfaiteurs.
Bonus : ne tombez pas dans le piège de ces arnaques de longue date
Parallèlement à des scénarios sophistiqués comprenant des prêts flash d'un milliard de dollars, des pirates nord-coréens et du matériel impressionnant pour le forçage brutal, des campagnes d'escroquerie très primitives apparaissent ici et là. Trois conceptions d'attaque sont très courantes dans la cryptographie à partir de 1 :
1. Faux parachutages. Pour exécuter cette arnaque, les malfaiteurs organisent une campagne publicitaire sur YouTube ou placent leur annonce sur Twitter. Ensuite, ils annoncent qu'une célébrité d'Internet (Snoop Dogg), un entrepreneur de la haute technologie (Vitalik Buterin ou Elon Musk) ou même un politicien (Donald Trump) largue de la crypto-monnaie. Tous ceux qui sont prêts à réclamer leurs bonus doivent soit envoyer un dépôt initial (qui serait prétendument retourné avec un profit de 100 %) ou leurs clés privées. Inutile de dire que les deux groupes perdront leurs dépôts ou tout l'argent de leurs portefeuilles.
Comment vous protéger: N'envoyez jamais votre argent à des "organisateurs de parachutage" et ne divulguez jamais vos clés privées ou vos phrases de départ.
2. Robots MEV faits à la main. La valeur extractible maximale (MEV) est la récompense maximale que les participants au réseau Ethereum (ETH) peuvent obtenir pour leur contribution dans le processus de validation des blocs. Des techniques sophistiquées nous permettent de bénéficier de l'optimisation du MEV. Les escrocs placent des manuels vidéo ou textuels sur la façon de créer vos propres "robots MEV" afin d'accéder aux portefeuilles Ethereum (ETH) et de drainer des fonds.
Comment vous protéger: Évitez les bots MEV "instantanés" des manuels YouTube.
3. Les escrocs viennent à la rescousse. Comme 2022 est définitivement une année de hacks, de nombreux utilisateurs de crypto vérifient si leurs blockchains préférées sont cassées. Les escrocs publient de fausses annonces sur tel ou tel projet piraté et lancent de faux programmes de "compensation". Tous ceux qui sont intéressés par une indemnisation sont priés d'envoyer leurs phrases de départ aux escrocs.
Comment vous protéger: Vérifiez uniquement les actualités sur les hacks sur les chaînes médiatiques officielles des blockchains.
Pensées de clôture
En 2022, la majorité des effondrements ont été déclenchés par la chute douloureuse des prix des crypto-monnaies, une mauvaise gestion des risques et la cupidité des propriétaires de produits de crypto-monnaie centralisés. C'est pourquoi la décentralisation est un gros problème : la sagesse de la foule d'un DAO empêcherait les effondrements à l'échelle FTX/Celsius/Voyager de se produire.
Pendant ce temps, les produits en chaîne devraient prendre en charge les audits de sécurité, les mises à jour et la gestion des jets privés.
Source : https://u.today/top-10-crypto-scams-and-hacks-of-2022