A pesar de que los mercados de criptomonedas quedaron atrapados en una severa recesión bajista, las estafas y los hackeos en Web3 estuvieron en llamas durante todo 2022. Varios pesos pesados de criptomonedas centralizados de primer nivel también colapsaron debido a la mala gestión de riesgos y las manipulaciones internas.
A medida que el segmento criptográfico se acerca al Año Nuevo, U.Today resume las estafas criptográficas más peligrosas, sus raíces, diseños y las pérdidas que causaron. También hemos preparado una breve reseña de las estafas criptográficas más frecuentes en las redes sociales que se dirigen a millones de usuarios diariamente.
Estafas criptográficas y hacks de 2022: datos breves
Según numerosos informes de ciberseguridad, en los primeros 11 meses de 2022, los piratas informáticos y los estafadores lograron robar una cantidad sin precedentes de USD 4.2 millones en criptomonedas, un 37 % más que en 2021, cuando las criptomonedas clave eran 2x-3x más caras.
- Los ataques más grandes se ejecutaron contra protocolos de cadena cruzada: el mecanismo de puente Ronin de Axie Infinity y el ecosistema multiprotocolo Wormhole.
- Los colapsos del ecosistema Terra (LUNA), su principal Protocolo DeFi Anchor (ANC) y la moneda estable TerraUSD (UST) vinculada al USD contribuyeron a la fase Q2-Q4, 2022, de la recesión bajista.
- El drama en torno al ahora desaparecido intercambio de criptomonedas FTX y la firma comercial asociada Alameda Research fue el mayor colapso de servicios centralizados en 2022.
- A pesar de que los hacks más grandes son ampliamente discutidos en los medios, la gran mayoría de las estafas criptográficas se organizan a través de métodos antiguos: lanzamientos aéreos falsos, "programas de recuperación" maliciosos, esquemas de arbitraje de estafas y similares.
- Varios hacks importantes parecían ser operaciones de sombrero blanco: los atacantes devolvían el dinero robado a cambio de impresionantes recompensas por errores.
- Casi el 12 % de todos los tokens BEP-20 y el 8 % de los tokens ERC-20 son fraudulentos; Diariamente se lanzan 350 nuevas estafas.
En esta revisión, nos referiremos a los fraudes y proyectos lanzados intencionalmente que inicialmente eran legítimos como "estafas", mientras que los "hacks" son ataques de terceros a proyectos legítimos ejecutados sin eventos de "trabajo interno".
Principales estafas criptográficas y colapsos de 2022
En 2022, Bitcoin (BTC), Ethereum (ETH) y todas las principales criptomonedas perdieron más del 70-80 % de su ATH, mientras que en los segmentos más afectados (tokens de metaverso, tokens de GameFi, el ecosistema Solana (SOL)) la pérdida media supera los 90 % Algunas empresas criptográficas no lograron sobrevivir a una caída tan dolorosa.
Terra (LUNA)/Terra USD (UST)
La plataforma de contrato inteligente compatible con EVM Terra (LUNA) estuvo entre los asesinos de Ethereum (ETH) más sobrevalorados de 2021. Sin embargo, la mayor parte de su TVL se concentró en Anchor Protocol (ANC), una máquina agrícola de rendimiento simple que ofreció un 19% APY en depósitos en Terra USD (UST), la ahora desaparecida moneda estable vinculada al USD de Terra. En total, más de $ 20 mil millones en equivalente se bloquearon en Anchor (ANC) en el primer trimestre de 1.
Sin embargo, a principios de mayo de 2022, alguien comenzó a enviar agresivamente UST a grupos en Curve Finance (CRV) DeFi e intercambiar tokens en USD Coin (USDC). UST perdió su clavija. Terraform Labs y su CEO Do Kwon comenzaron a inyectar liquidez en el mecanismo UST/LUNA. Sin embargo, debido a una corrida masiva de capital, tanto LUNA como UST cayeron a valores de casi cero. La cadena de bloques Terra (LUNA) se detuvo definitivamente.
Como lo cubrió U.Today anteriormente, los investigadores revelaron que fue Terraform Labs quien inició el colapso: Do Kwon autorizó transferencias masivas de UST. El fundador de Terra supuestamente corrió a Serbia y está tratando de cobrar sus Bitcoins (BTC) allí.
Capital de tres flechas
Lanzado por Su Zhu y Kyle Davies, ex alumnos de la Universidad de Columbia y veteranos de Credit Suisse, Three Arrows Capital (3AC) se encontraba entre los fondos de cobertura criptográficos más influyentes. Acumuló más de $ 20 mil millones en AUM gracias a ser uno de los primeros inversores en Ethereum (ETH), Avalanche (AVAX), Solana (SOL) y otros.
Sin embargo, el colapsado LUNA fue uno de los elementos clave de la cartera de 3AC. El equipo invirtió más de $ 600 millones en Terra (LUNA): esta participación masiva se borró dos semanas después del colapso de LUNA/UST.
El 16 de junio de 2022, FT anunció que 3AC no había cumplido con sus llamadas de margen debido a pérdidas en el Protocolo Anchor de Terra. La firma también estaba sumergida en sus posiciones en Staked Ether (stETH) en Lido Finance (LDO) DeFi y en Grayscale Bitcoin Trust (GBTC). En junio, no pudo pagar su préstamo al criptogigante Voyager. A fines de julio, la empresa fue liquidada por un tribunal de las Islas Vírgenes Británicas, mientras que la gerencia de 3AC se declaró en bancarrota. En total, 20 inversores en 3AC perdieron más de 3.5 millones de dólares.
Voyager
El acreedor registrado en los EE. UU., Voyager, también fue víctima de una mala gestión del riesgo: otorgó un préstamo no garantizado de $ 650 millones a Three Arrows Capital, mientras que su AUM neto fue de casi $ 5.9 mil millones. La plataforma contaba con 3.5 millones de clientes, el 97 % de los cuales invirtió menos de 10,000 XNUMX dólares.
En general, Voyager colapsó debido al hecho de que su equipo eligió una estrategia comercial arriesgada: ofreció préstamos a múltiples servicios comerciales y comerciantes de criptomonedas individuales. Cuando los prestamistas comenzaron a retirar su dinero en masa, a principios de julio, Voyager congeló los fondos de los clientes. Unos días después, se declaró en bancarrota en Nueva York.
Como la plataforma estaba enfocada en clientes minoristas pequeños, su colapso fue el más doloroso para los entusiastas de las criptomonedas.
Celsius
Celsius fue, de hecho, la primera empresa en señalar sus problemas: en abril de 2022, la plataforma anunció que mantendrá bajo custodia todos los activos de los inversores no acreditados: por lo tanto, esta parte de los clientes no pudo inyectar nueva liquidez y obtener recompensas.
En mayo de 2022, asustados por los dramas de UST y Terra, los usuarios comenzaron a sacar dinero del protocolo Celsius. El 12 de junio de 2022, Celsius congeló los fondos de 1.7 millones de clientes (en su mayoría inversores minoristas). Al igual que la Voyager, se declaró en bancarrota a principios de julio.
El 14 de julio de 2022, el asesor legal de Celsius, Kirkland & Ellis, compartió que los líderes de la plataforma fueron informados sobre un agujero de $ 1.3 mil millones en su balance.
FTX
El colapso del intercambio de criptomonedas FTX de Sam Bankman-Fried y su firma asociada de criptoinversión Alameda Research fue el drama más sorprendente en Web3: SBF y su equipo intentaron obtener un control enorme sobre la industria firmando docenas de sociedades, apareciendo en las portadas de Forbes y pronto.
Sin embargo, el balance de Alameda Research dependía en gran medida de FTX Token (FTT), la criptomoneda nativa de FTX. Es por eso que todo el sistema colapsó cuando el CEO de Binance, Changpeng "CZ" Zhao, comenzó a vender agresivamente FTT (CZ lanzó más de $ 500 millones en equivalente).
Al igual que en todos los casos similares, los inversores comenzaron a retirar en masa su dinero de FTX. La plataforma detuvo los retiros, SBF renunció como CEO y se declaró en bancarrota. Mientras tanto, se supo que estaba usando el dinero de los inversionistas y clientes en su propia empresa comercial, Alameda Research. Debido a una terrible mala gestión, Alameda Research estaba bajo el agua. SBF fue arrestado y puesto en libertad bajo fianza, mientras que las pérdidas realizadas por el colapso de FTX alcanzaron un máximo de $ 9 mil millones en equivalente.
Los mejores criptohacks en 2022
Según un análisis de los expertos en ciberseguridad de Merkle Science, los puentes entre redes son particularmente vulnerables a los exploits debido a su complejidad técnica y su carácter altamente experimental:
Los puentes entre cadenas a menudo son más susceptibles a vulnerabilidades, ya que requieren más interacciones y aprobaciones de contratos que los otros protocolos. Además, los puentes son más susceptibles a los ataques, ya que se ejecutan mediante códigos informáticos no auditados. Además, también se desconocen las identidades de los validadores/nodos que ejecutan las transacciones.
En 2022, los puentes fueron los principales objetivos de los ataques, mientras que los piratas informáticos también explotaron otros mecanismos de DeFi.
Wormhole
El 3 de febrero de 2022, los piratas informáticos atacaron Wormhole, un puente diseñado para facilitar la transferencia de valor sin interrupciones entre cadenas de bloques heterogéneas. Debido a una vulnerabilidad en el código, lograron emitir 120,000 XNUMX Wrapped Ethers (wETH) en la cadena de bloques Solana (SOL) sin aportar la garantía correspondiente de Ethereum (ETH).
El hackeo podría conducir a la insolvencia de cualquier plataforma DeFi que esté lista para aceptar 120,000 XNUMX wETH (impresos de la nada) como garantía. Afortunadamente, el peor de los casos no sucedió.
Jump Crypto, la empresa matriz del servicio Wormhole, se hizo cargo de todas las pérdidas: inmediatamente repusieron 120,000 XNUMX Ethers en los fondos de liquidez del protocolo.
Ronin
El 23 de marzo, piratas informáticos norcoreanos de Lazarus, un infame grupo ciberdelincuente respaldado por el estado, atacaron la red Ronin. Ronin es una cadena lateral similar a Ethereum desarrollada específicamente para Axie Infinity, un GameFi insignia. Los atacantes le quitaron a Ronin la friolera de $568 millones.
Los piratas informáticos lograron hacerse con el control de cinco de las nueve firmas de validación de Ronin Bridge. Luego autorizaron dos transacciones, 173,600 Ether (ETH) y 25.5 millones de USD Coin (USDC). De este botín monstruoso, se lavaron más de $ 445 millones a través del mezclador criptográfico Tornado Cash.
El desarrollador de Axie Infinity, Sky Mavis, recaudó fondos adicionales, ordenó otra auditoría de seguridad por parte de CertiK y aumentó el umbral multisig de 5/9 a 8/9.
Nómada
En agosto de 2022, Nomad, un mecanismo de puente multicadena que mueve valor entre Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) y otras cadenas de bloques, se quedó sin USD 190.7 millones en criptomonedas. Los atacantes lograron explotar una vulnerabilidad del diseño del contrato inteligente: el protocolo permitía a los usuarios retirar fondos en la cadena de bloques de destino sin verificar si eran equivalentes a la cantidad desplegada inicialmente.
12/ tl;dr una actualización de rutina marcó el hash cero como una raíz válida, lo que tuvo el efecto de permitir que los mensajes se suplantaran en Nomad. Los atacantes abusaron de esto para copiar/pegar transacciones y rápidamente vaciaron el puente en una frenética lucha contra todos.
— esta es ahora una cuenta de publicación de mierda (@samczsun) 2 de agosto de 2022
En pocas palabras, después de la actualización regular, los usuarios pudieron depositar 1 ETH en Ethereum (ETH) y solicitar un retiro equivalente a 100 Ethereum (ETH) de Avalanche (AVAX).
La cuestión es que todos los entusiastas de Web3 expertos en tecnología habían podido replicar este vector de ataque y robar fondos de Nomad antes de que se lanzara el parche. Como tal, muchos desarrolladores de Ethereum (ETH) retiraron fondos solo para devolverlos al equipo de Nomad: se devolvieron casi $ 40 millones.
Beanstalk
El 16 de abril de 2022, el proyecto de moneda estable basado en Ethereum Beanstalk (BEAN) fue objeto de un sofisticado ataque de préstamo rápido. Es decir, los malhechores lograron obtener un préstamo rápido en Aave Finance (AAVE) y comprar la cantidad de tokens de gobernanza necesarios para tomar el control de los referéndums en cadena del protocolo.
Luego, los atacantes obtuvieron la mayoría absoluta de votos y aprobaron una transferencia de dinero a su propia cuenta. Cuando se transfirieron $180 millones, de inmediato pagaron el préstamo flash; el beneficio neto superó los 80 millones de dólares.
Invierno mudo
En septiembre de 2022, a Wintermute, una de las plataformas de creación de mercado más grandes, se le vaciaron las carteras por 160 millones de dólares. Los atacantes revelaron que algunas de las billeteras clave de Wintermute se crearon con Profanity, un generador de "direcciones de vanidad" para la red Ethereum (ETH). Dichos programas pueden crear billeteras criptográficas con direcciones legibles por humanos, por ejemplo, 0xJuanDoe1111… y similares.
Debido a una vulnerabilidad en el diseño de Profanity, los atacantes lograron usar la fuerza bruta en las direcciones mnemónicas y recuperar las claves privadas. El ataque se hizo posible debido a los importantes recursos informáticos utilizados por los malhechores.
Bonificación: no caiga en estas estafas de larga data
Junto con escenarios sofisticados que incluyen préstamos rápidos de mil millones de dólares, piratas informáticos de Corea del Norte y un hardware impresionante para la fuerza bruta, están apareciendo campañas de estafa muy primitivas aquí y allá. Tres diseños de ataque son muy comunes en cripto a partir de 1:
1. Lanzamientos aéreos falsos. Para ejecutar esta estafa, los malhechores organizan una campaña publicitaria en YouTube o colocan su anuncio en Twitter. Luego anuncian que una celebridad de Internet (Snoop Dogg), un empresario de alta tecnología (Vitalik Buterin o Elon Musk) o incluso un político (Donald Trump) está lanzando criptomonedas. Todos los que estén listos para reclamar sus bonos deben enviar un depósito inicial (que supuestamente sería devuelto con una ganancia del 100 %) o sus claves privadas. No hace falta decir que ambos grupos perderán sus depósitos o todo el dinero de sus billeteras.
Cómo protegerse: Nunca envíe su dinero a "organizadores de airdrops" ni revele sus claves privadas o frases iniciales.
2. Robots MEV hechos a mano. El valor extraíble máximo (MEV) es la recompensa máxima que los participantes de la red Ethereum (ETH) pueden obtener por su contribución en el proceso de validación de bloques. Las técnicas sofisticadas nos permiten beneficiarnos de la optimización de MEV. Los estafadores colocan manuales de video o texto sobre cómo construir sus propios "bots MEV" para obtener acceso a las billeteras Ethereum (ETH) y drenar fondos.
Cómo protegerse: Evite los bots MEV "instantáneos" de los manuales de YouTube.
3. Los estafadores acuden al rescate. Como 2022 es definitivamente un año de hacks, muchos usuarios de criptomonedas están comprobando si sus cadenas de bloques favoritas están rotas. Los estafadores publican anuncios falsos sobre este o aquel proyecto que está siendo pirateado y lanzan programas de "compensación" falsos. Se pide a todos los interesados en una compensación que envíen sus frases iniciales a los estafadores.
Cómo protegerse: solo consulte las noticias sobre hacks en los canales de medios oficiales de blockchain.
Pensamientos de cierre
En 2022, la mayoría de los colapsos fueron provocados por la dolorosa caída de los precios de las criptomonedas, la mala gestión de riesgos y la codicia de los propietarios de productos de criptomonedas centralizados. Es por eso que la descentralización es un gran problema: la sabiduría de la multitud de un DAO evitaría que ocurran colapsos a escala FTX/Celsius/Voyager.
Mientras tanto, los productos en cadena deben ocuparse de las auditorías de seguridad, las actualizaciones y la gestión de aviones privados.
Fuente: https://u.today/top-10-crypto-scams-and-hacks-of-2022