W 2020 roku przez ataki kryptowalutowe z rynku zniknęło 520 mln dol.4 min. czytania
W gronie 10 największych ataków dominowały protokoły DeFi
W 2020 r. kryptowaluty o wartości ponad 520 milionów dolarów zostały skradzione podmiotom i osobom prywatnym za pośrednictwem włamów lub ataków phishingowych. Stanowi to wzrost w stosunku do 2019 r., kiedy liczba ataków była trzykrotnie mniejsza, a wykraść udało się 343 miliony dolarów, wynika z raportu dotyczącego cyberprzestępczości kryptowalutowej autorstwa Chainalysis. W tym artykule opiszemy przykłady kilku największych kradzieży środków z 2020.
· Za zdecydowaną większość skradzionych środków odpowiadał atak na giełdę KuCoin, z której zniknęło 275 mln dol.
· Na liście 10 największych ataków przeważają jednak zdecentralizowane finanse (DeFi), które coraz częściej padają ofiarą oszustów.
· DeFi dzięki swojej anonimowej i zdecentralizowanej naturze ułatwiają pranie nielegalnie pozyskanych cyfrowych aktywów.
TOP10 największych kradzieży kryptowalutowych 2020
Ponad połowa kwoty wykradzionej w 2020 roku pochodził z ataku na giełdę kryptowalutową KuCoin, za który odpowiadała Grupa Lazarus wywodząca się z Korei Północnej i posiadająca na swoim koncie kilka innych włamów na platformy cyfrowych aktywów.
Hakerom udało się wykraść kryptowaluty o wartości 275 mln dol., znajdujące się w portfelach KuCoin, przez co operacja była największą kryptowalutową kradzieżą roku oraz trzecią największą w historii (chociaż giełda twierdzi, że odzyskała większość skradzionych środków).
Poniższy wykres prezentuje 10 największych ataków hakerów w 2020 roku. Zdecydowana większość ataków miała miejsce w ramach sieci zdecentralizowanych finansów, jednak to z giełd zginęła największa ilość środków.
10 największych kryptowalutowych ataków w 2020 roku. Źródło: Chainalysis
Czy wiesz, że…
Największym atakiem kryptowalutowym w przeciągu ostatnich kilku lat była kradzież ponad 530 milionów dolarów z giełdy Coincheck w 2018 roku. Rok ten był również rekordowy pod względem wartości wykradzionych środków. Pomimo tylko 16 ataków, użytkownicy stracili łącznie 1,23 mld dol. w kryptowalutach.
KuCoin, Josh Jones oraz Harvest Finance — TOP30 ataków
Wspomniana już wcześniej giełda kryptowalutowa KuCoin straciła 275 mln dol., gdy hakerzy uzyskali dostęp do kluczy prywatnych powiązanych z gorącymi portfelami (hot wallet) platformy, kradnąc szereg różnych kryptowalut. Następnie wykorzystali platformy zdecentralizowanych finansów (DeFi), takie jak Uniswap, w celu wyprania skradzionych środków i wymiany ich na inne tokeny.
Drugi największy atak w 2020 roku dotyczył personalnej kradzieży o wartości 40 milionów dolarów. Jej ofiarą padł portfel Josha Jonesa, prezesa firmy Bitcoin Builder. Na trzecim miejscu plasuje się natomiast platforma Harvest Finance (DeFi), z której zniknęły 34 miliony dolarów.
Przestępcy przeprowadzili atak typu „flash loan”, wykorzystując pożyczone środki do zmanipulowania wartości kryptowaluty i sztucznego podniesienia swoich udziałów w zyskach generowanych przez sieć.
Kwoty skradzione z platform DeFi w 2020 roku przykuwają uwagę
Jednym z trendów, który rzuca się w oczy, jest kwota skradziona z platform DeFi. Wykorzystanie zdecentralizowanych finansów gwałtownie wzrosło w 2020 roku, ale dało to również cyberprzestępcom nową, wyjątkowo podatną na ataki ścieżkę wyłudzania środków. Pomimo tego, że platformy DeFi reprezentują zaledwie 6% całej aktywności kryptowalutowej, odpowiadały za około 33% wszystkich skradzionych w 2020 roku kryptowalut i padły ofiarą prawie połowy wszystkich pojedynczych ataków.
Źródło: Chainalysis
Skradzione środki trafiają przede wszystkim na giełdy, podobnie jak w przypadku dochodów z innych form przestępstw związanych z kryptowalutami. Jednak udział platform DeFi we wszystkich skradzionych środkach wzrósł ponad dwukrotnie w 2020 roku. Ich zdecentralizowana natura jest prawdopodobnie tym, co czyni je atrakcyjnymi jako mechanizm prania brudnych pieniędzy, ponieważ platformy te nigdy nie przejmują bezpośrednio opieki nad zdeponowanymi na nich środkami, wiele z nich nie gromadzi informacji o klientach (KYC), ani nie raportuje aktywności transakcyjnej, czego wymagają przepisy w zakresie funkcjonowania normalnych giełd kryptowalutowych.