Todo mundo se lembra do aumento da criptomoeda em 2017, quando alguém descobriu pela primeira vez e alguém conseguiu fazer uma fortuna ou até conseguiu perdê-la. A história da criptomoeda se origina nos anos 90 do século passado e ganhou grande popularidade em 2009, quando o bitcoin apareceu. Simultaneamente com este evento, começou um boom de ataques a projetos de blockchain com o objetivo de roubar criptomoedas.
Nossa equipe realiza auditorias de segurança para projetos de blockchain há muito tempo e ficou interessante ver quais incidentes já ocorreram nessa área. Quem se importa, bem-vindo ao gato.
Fora do estudo, houve casos de fraude nos quais os projetos conduziam ICOs e depois desapareciam com o dinheiro recebido. Para fazer isso, nas profundezas da rede mundial, coletamos informações sobre quase cem incidentes. A lista incluía casos de alto perfil e aqueles que não são amplamente conhecidos. Mas nem todos entraram no infográfico, que foi o resultado de todo o trabalho. Tudo isso pode ser visto na versão completa do estudo .
Agora, sobre como os infográficos foram criados. Primeiro de tudo, aqueles incidentes sobre os quais havia muito pouca informação caíram do jogo. O principal critério refletido no infográfico foi a disponibilidade de informações sobre o escopo da blockchain, a data, a quantidade de perdas e as causas do incidente.
O principal motivo da pequena quantidade de informações sobre o incidente é que os criadores / proprietários do projeto não quiseram divulgar informações sobre o incidente e, logo após o roubo, eles fecharam o projeto, excluindo simultaneamente todas as informações sobre o incidente. Embora, em alguns casos, o arquivo da web tenha ajudado a encontrar mais informações, mas não é onipotente.
O campo de aplicação mais atacado da blockchain acabou sendo trocas. Os motivos são bastante simples - definitivamente há algo a ser aproveitado para os atacantes. Em segundo lugar, com a frequência de hacks após as trocas são carteiras, onde também é encontrado dinheiro. Os protocolos subjacentes ao trabalho de projetos, plataformas de crowdfunding, serviços de mineração e até cassinos online são representados por um ou dois casos.
Mas, ao mesmo tempo, as razões para o roubo de criptomoedas acabaram sendo completamente diferentes. O ataque mais alto foi na plataforma do DAO. Na qual, devido à possibilidade de uma chamada recursiva da mesma função, foi possível receber éter durante uma transação. Como resultado, cerca de 53 milhões de dólares estavam na carteira do atacante.
Acima de tudo, os incidentes de segurança de criptomoedas são prejudicados por problemas organizacionais, devido aos quais, por exemplo , chaves privadas de usuários podem vazar para a rede, o que dará aos invasores a oportunidade de roubar a economia dos usuários. Os erros lógicos podem permitir que você receba jackpots em um cassino online com base no blockchain ou dê a oportunidade de gastar criptomoeda várias vezes. O phishing também pode roubar criptomoedas.
Além disso, os invasores podem usar erros de software e backdoors involuntariamente exibidos . Ataques em servidores não são menos perigosos .
A maior perda ocorreu na bolsa de criptomoedas Coincheck Inc - US $ 534 milhões. A empresa não divulgou os detalhes do roubo, exceto que houve um erro de segurança: os ativos foram armazenados em uma carteira "quente" conectada a redes externas.
Se considerarmos apenas os incidentes que chegaram à final e entraram em infográficos, o valor roubado será igual a 3661 milhões de dólares. Se levarmos em conta todos os ataques já cometidos em projetos de blockchain, esse valor será significativamente maior.
O tempo passou para as mãos dos atacantes, uma vez que a taxa de Bitcoin e outras criptomoedas crescia constantemente, e a segurança dos projetos continuava no mesmo nível. Portanto, com os mesmos recursos e tempo gastos no ataque, os atacantes conseguiram roubar grandes somas.
Esperamos que este estudo dê uma idéia melhor da segurança dos projetos de blockchain.