Nagnakaw ng $17 Bilyon mula sa Crypto sa Isang Dekada — Narito Kung Saan Talagang Napunta ang Lahat ng Pera

Labimpitong bilyong dolyar ay isang nakakagulat na halaga ng pera na ninakaw mula sa industriya ng cryptocurrency ng mga hacker sa loob ng sampung taon, ayon sa ulat ng DefiLlama sa ninakaw na halaga sa industriya ng cryptocurrency mula noong 2010. Sa tuwing nababasa ko ang istatistikang ito, sandali akong nagmumuni-muni bago ko ito bigyan ng perspektiba. Labimpitong bilyong dolyar ay isang malaking halaga. Ang bilang na "nawala" sa lahat ng iba't ibang paraan ng pagnanakaw mula sa mga cryptocurrency tulad ng exploit hacks, bridge attacks, drain protocols at exchange hacks (ang ilan ay mas kumplikado kaysa sa iba) ay nagpapatunay na may problema sa seguridad ang industriyang ito. Ang nagbago ay ang mga insidenteng ito ay tumaas nang eksponensiyal.

Paanong Nahahati ang Bilang

Isang serbisyo na pinangalanang DefiLlama ang pinagsasama-sama ang mga hack sa maraming aspeto ng mundo ng cryptocurrency bilang isang tool upang makatulong na lumikha ng kamalayan tungkol sa nauugnay na paksa sa industriya. Batay sa datos na sinuri ng DefiLlama, $17 bilyon ang na-hack sa iba't ibang aspeto ng cryptocurrency sa loob ng nakalipas na sampung taon. Gayunpaman, ang mga halagang dolyar na iyon ay hindi pantay na nakakalat sa loob ng 10 taong iyon; mayroong malalaking insidente ng hacking na naganap sa loob ng tatlong taon mula 2021 hanggang 2023 nang sobrang tumaas ang kabuuang halaga na naka-lock sa decentralized finance (DeFi), at kasabay nito ay mabilis ding dumami ang mga pagtatangka sa hack habang kinikilala ng mga umaatake na maraming pera ang inilalagay sa DeFi na mayroon lamang ilang buwan ng security auditing at testing.

Ang pattern ng pag-atake ay magkatulad. Ang bagong sektor ng crypto ay mabilis na umaakit ng malaking daloy ng kapital – mas mabilis kaysa sa pera na kayang seguruhin sa pamamagitan ng pormal na audit sa seguridad ng code, mas mabilis kaysa sa maiprodyus at masubukan ang ligtas na teknolohiya, at mas mabilis kaysa sa sinumang makakumpleto ng stress tests upang makita kung ano ang mangyayari kapag ang $100 milyon ng asset ng isang indibidwal ay nakaimbak sa loob ng isang kontrata na tatlong linggo pa lang. Pinapanood ng mga umaatake ang mga mabilis na pagdagsa ng pera at nagsisimula silang maghanap ng mga oportunidad upang malaman kung paano nila masisira ang perang iyon.

Ang mga cross-chain bridge ay may rekord na naging sentro ng malalaking pag-atake. Noong 2022, ang Ronin bridge exploit ay nagresulta sa pagkawala ng $625 milyon. Ang Wormhole exploit ay nagresulta sa $320 milyon na pagkalugi at ang Nomad ay nagdusa ng $190 milyon na pagkalugi. Isa sa mga pangunahing dahilan kung bakit ang mga cross-chain bridge ay isang kaakit-akit na target para sa mga posibleng umaatake ay dahil nag-iimbak sila ng maraming malalaking pool ng asset sa magkabilang panig ng dalawang naka-host na chain sa kanila – kaya't ang mga cross-chain bridge ay maaaring maunawaan na gumana bilang isang vault na nasa pagitan ng dalawang sistema; kaya't napakahirap na seguruhin ang intersyon na iyon.

Ang Anatomy ng Isang Crypto Hack

Maraming iba't ibang paraan upang magnakaw ng cryptocurrency ang mga hacker, at ang pagsasama-sama ng mga ito ay nagpapahirap na maunawaan kung ano talaga ang nangyayari.

Ang ilan sa mga hack na ito ay nangyayari sa antas ng smart contract. Sa mga ganitong uri ng hack, sinasamantala ng isang umaatake ang ilang depekto sa kung paano na-code ang isang smart contract at ginagamit ang depektong iyon upang magsagawa ng transaksyong pinansyal na papayagan ng smart contract. Ang isang flash loan attack ay isang halimbawa ng ganitong uri ng hack. Sa kasong ito, ang isang umaatake ay maaaring humiram ng malaking halaga ng pera at pagkatapos, sa loob ng parehong transaksyon, manipulahin ang isang price oracle o isang liquidity pool, kumuha ng halaga mula sa transaksyon, at isauli ang hiniram na pondo. Lahat ng ito ay mangyayari sa loob ng ilang segundo – nang walang ninakaw na password o hindi awtorisadong paggamit ng server; ang tanging nangyari ay ang matematika ay ginamit laban sa sarili nito.

Ang isa pang halimbawa ng pag-atake ay kapag nakakakuha ang isang tao ng access sa isang private key na nagpapahintulot sa kanila na kontrolin ang treasury ng isang protocol o pumirma para sa isang bridge. Isang pangunahing halimbawa nito ay ang Ronin hack, kung saan tinarget ng mga hacker na sinusuportahan ng estado ng North Korea ang mga indibidwal na empleyado ng Sky Mavis (ang lumikha ng Axie Infinity) upang makakuha ng sapat na access sa mga key upang ubusin ang pondo ng bridge nang hindi napapansin sa loob ng anim na araw.

Dapat pagnilayan ang detalyeng ito: kinailangan ng buong isang linggo upang matukoy ang pinakamalaking solong hack sa kasaysayan ng cryptocurrency.

Pagkatapos ay mayroong mga hack ng mga sentralisadong palitan, tulad ng mga humahawak ng pera ng mga customer. Ang pagbagsak ng FTX ay hindi dahil sa isang hack sa tradisyonal na kahulugan, ngunit ang $400 milyon na na-withdraw mula sa mga wallet nito ilang oras matapos itong mag-file ng bankruptcy ay halos tiyak na dahil sa isang hack. Nawala ang Mt. Gox ng 850,000 Bitcoin sa loob ng ilang taon, at hindi kailanman natukoy ng Mt. Gox kung ano ang nangyayari habang ang hack ay nagpapatuloy.

Sino ang Nagnanakaw

Marami sa mga pinakamahalagang hack na nangyayari ay hindi random na oportunismo. Ang Lazarus Group ng North Korea ay iniugnay sa bilyun-bilyong dolyar sa ninakaw na cryptocurrency mula sa ilang operasyon. Pinatawan ng parusa ng gobyerno ng U.S. ang iba't ibang wallet address na nauugnay sa kanila, at isang bilang ng mga kumpanya ng analytics ng blockchain ang sumubaybay sa paggalaw ng mga asset sa loob ng isang serye ng patuloy na lumalalang kumplikadong sistema ng money laundering (mixers, chain hops, at sa pamamagitan ng mga broker na matatagpuan sa mga lugar na hindi gaanong regulated).

Ang pagnanakaw ng cryptocurrency sa antas na ito ay naging pinagkukunan ng kita para sa isang opisyal na pinahintulutang estado-bansa. Ito ay isang kakaibang bagay na sabihin, ngunit maraming ebidensya na sumusuporta dito, mula sa maraming independiyenteng organisasyon ng pananaliksik.

Ang iba pang mga hack ay karaniwang mayroong hindi gaanong sopistikadong hacker na nagsasagawa ng mga ito (hal., mga developer na nakahanap ng anumang hindi na-audit na protocol, mga team na nagtatangkang magpagaling sa isa't isa, mga tao na nagfi-phishing sa mga indibidwal na gumagamit).

Ano ang Naitama at Hindi Naitama ng Industriya

Sa mundo ngayon, ang mga security audit ay isinasagawa na ngayon sa bawat seryosong paglunsad ng protocol bilang standard practice. Ang mga programa ng bug bounty ay isang paraan para sa mga mananaliksik upang magkaroon ng daan upang makakuha ng lehitimong bayad para sa pagtuklas ng mga kahinaan bago pa man matuklasan ng mga hacker. Maraming bridge ngayon ang gumagamit ng mas desentralisadong validator set-ups upang pababain ang panganib ng isang punto ng pagkabigo.

Sa kabila ng mga pagsisikap na ito, patuloy na nangyayari ang mga hack sa isang hindi pa nagaganap na dalas. Habang may ilang pagsisikap na pabagalin ang dalas ng tunay na mapaminsalang solong insidente, patuloy na lumalaki ang kabuuang pinagsama-samang pagkalugi.

Ang katotohanan ay marami sa mga bahagi ng imprastraktura ng crypto ay nagsimula bilang mga produktong mabilisang binuo, ng maliit na team, na ginawa sa pagmamadali dahil sa kompetisyon upang maglagay ng pera sa sirkulasyon nang walang sapat na oras upang lubusang pag-isipan ang mga sitwasyong 'what if' mula sa pananaw ng umaatake na may walang limitasyong oras upang umatake, pati na rin ang walang katapusang pinansyal na paraan na magagamit niya.

Ang kapaligirang ito ay nagkakahalaga ang industriya ng mahigit $17 bilyon upang mabuo sa nakalipas na dekada. Ang resulta ng susunod na dekada ay nakasalalay kung matagumpay na natuto ang industriya mula sa mga pagkakamaling iyon, o naging mas mahusay lang sa pagtatala ng kanilang mga post-mortem.