Crypto hacks at mga fraud umabot sa mahigit $2.3 billion na losses ngayong taon, na nagpapakita ng patuloy na security vulnerabilities sa industriya. Ang figure na ito ay mula sa 165 na insidente, na tumaas ng 40% kumpara sa nakaraang taon.
Mas mababa man ito sa $3.7 billion na nawala noong 2022, ang patuloy na pagtaas ng mga atake ay nagpapakita na kulang pa rin ang depensa ng industriya laban sa mga advanced na banta.
Ethereum at Access Control Failures ang Nangunguna sa Pagkalugi
Ayon sa annual report ng Cyvers, ang access control vulnerabilities ang pangunahing dahilan ng mga losses, na responsable sa 81% ng kabuuang ninakaw na pondo.
Kahit na 41.6% lang ng mga kaso ang may ganitong insidente, malaki ang epekto nito na nagpapakita ng panganib ng maling pamamahala sa security protocols. Ang Ethereum ang pinaka-apektadong blockchain ngayong taon, na may mahigit $1.2 billion na losses.
Isang nakakabahalang trend ngayong taon ay ang paglaganap ng “Pig Butchering” scams. Ang mga elaborate na fraud schemes na ito ay nakapanloko ng mahigit $3.6 billion mula sa mga walang kamalay-malay na users, karamihan sa Ethereum blockchain nangyari.
“Ang pagtaas ng access control breaches at mga sophisticated scams tulad ng Pig Butchering ay nagpapakita ng kahalagahan ng pag-implement ng AI-powered risk assessment, transaction validation, at anomaly detection tools. Kailangan mag-evolve ang security para makauna sa mas kumplikado at coordinated na atake,” sabi ng Cyvers sa BeInCrypto.
Sinabi rin na ang smart contract vulnerabilities ang nangibabaw sa attack landscape, lalo na sa DeFi. Ang third quarter ng 2024 ang pinakamasama para sa losses, na may $790 million na ninakaw sa panahong ito.
“Kung gusto ng mga crypto platform na maiwasan na maging susunod na biktima ng hackers, kailangan nilang mag-deploy ng matibay na detection at prevention systems at i-integrate ito sa kanilang crisis response mechanisms. Ayon sa Cyvers data, 9 sa 10 smart contracts na na-hack ay na-audit at marami sa kanila ay dumaan sa mahigpit na penetration tests. Maliwanag na hindi ito sapat,” sabi ng mga researcher ng Cyvers.
Sa kabilang banda, ang Q4 ay nag-record ng mas mababang aktibidad, na nagpapahiwatig ng pansamantalang paghupa ng mga malisyosong operasyon.
Pinakamalalaking Crypto Hacks ng 2024: WazirX, Radiant Capital, at DMM Bitcoin
Ang pinakamalalaking insidente ngayong taon ay nagbigay ng malinaw na paalala ng mga vulnerabilities sa crypto ecosystem.
Noong Hulyo, ang Indian crypto exchange na WazirX ay nakaranas ng matinding hack, na nawalan ng humigit-kumulang $234.9 million. In-exploit ng mga attacker ang kahinaan sa multisignature (multisig) wallets ng exchange, na nagbigay sa kanila ng hindi awtorisadong access sa mga pondo.
Ang multisig wallets, na nangangailangan ng maraming private keys para sa transaction approvals, ay madalas na itinuturing na mas secure. Pero, ipinakita ng insidenteng ito kung paano ang maling implementasyon ng ganitong sistema ay maaaring magdulot ng malalaking breaches.
Pansamantalang itinigil ng WazirX ang trading at withdrawals para makontrol ang pinsala at nagsagawa ng komprehensibong security audit. Sa kabila ng mga pagsisikap na ito, nananatiling offline ang exchange habang naghihintay ng regulatory approval para ipagpatuloy ang operasyon.
“Nagsusumikap kaming makuha ang pag-apruba ng korte sa Scheme sa pinakamaagang posibleng timeline. Alinsunod sa legal at regulatory requirements, ang platform ay magre-resume ng trading post-effective Scheme date,” kamakailan ay isinulat ng WazirX sa X (dating Twitter).
Noong Nobyembre, inaresto ng mga awtoridad ng India ang isang suspek na konektado sa hack, pero ang utak ng operasyon ay nananatiling malaya. Kinritiko ng mga imbestigador ang Liminal Custody, isang firm na responsable sa pag-secure ng digital wallets ng WazirX, dahil sa hindi pagbibigay ng mahahalagang impormasyon sa imbestigasyon.
Ang Radiant Capital, isang kilalang blockchain lender, ay isa pang high-profile na biktima ngayong taon. Noong Oktubre, ang platform ay nawalan ng mahigit $50 million sa isang multi-chain attack.
Iniulat na nakuha ng mga hacker ang access sa tatlo sa mga private keys ng platform, na nagbigay-daan sa kanila na ma-drain ang assets sa iba’t ibang network, kabilang ang Arbitrum, Binance Smart Chain, Base, at Ethereum.
Ang pag-atake ay isinisi sa mga aktor na suportado ng North Korea, na mas lalong tumitindi ang pag-target sa crypto sector gamit ang advanced na taktika. Ang breach sa Radiant Capital ay nagpapakita ng mas mataas na panganib na kaakibat ng cross-chain operations at ang agarang pangangailangan para sa mas maayos na pamamahala ng private key.
Samantala, ang Japanese cryptocurrency exchange na DMM Bitcoin ay hinarap ang isa sa pinakamalalang insidente noong 2024. Noong Mayo, nawalan ang platform ng humigit-kumulang 4,502.9 Bitcoin, na nagkakahalaga ng $320 million noon, matapos makompromiso ang isang private key. Kahit na matagal na pagsisikap na mabawi ang mga ninakaw na asset at mapanatag ang mga customer, inanunsyo ng DMM Bitcoin ang pagsasara nito noong Disyembre.
Simula noon, nagsimula na ang exchange na ilipat ang mga user account sa SBI VC Trade, na nagmamarka ng malungkot na pagtatapos sa kanilang operasyon. Ang insidente ay nagpapakita ng nakakapinsalang epekto ng hindi sapat na seguridad ng key, lalo na para sa mga centralized na platform.
Mga Panganib ng CeFi at Mga Bagong Banta mula sa Advanced na Teknolohiya
Ang centralized financial platforms (CeFi) ay patuloy na humaharap sa malalaking hamon. Ang single points of failure, tulad ng centralized reserves at kulang na oversight sa key management, ay ginagawang kaakit-akit na target ang mga platform na ito para sa mga attacker.
Ang pag-asa sa multisignature wallets, na napatunayang mahina sa ilang kondisyon, ay lalo pang nagpapalala sa mga panganib na ito. Ang mga umuusbong na teknolohiya, kabilang ang quantum computing at artificial intelligence, ay inaasahang magpapalakas ng mga banta sa pamamagitan ng pagpapagana ng mas kumplikadong mga pamamaraan ng pag-atake.
Ang mga pag-unlad na ito ay nangangailangan ng proactive na mga hakbang sa seguridad para makasabay sa pabago-bagong banta. Sinabi ng mga eksperto na ang mga insidente tulad ng WazirX at Radiant Capital breaches ay maaaring naiwasan kung gumamit ng proactive threat monitoring solutions.
“Maaari naming i-assess nang may katiyakan na ang mga kilalang pag-atake, tulad ng $235 million WazirX hack at $50 million Radiant Capital hack, ay maaaring naiwasan at 100% ng pondo ay maaaring nasagip, kung gumamit ang mga kumpanya ng ganitong mga solusyon,” sinabi ng Cyvers sa BeInCrypto
Ang matinding pagtaas ng malicious activity ngayong taon ay nagpapakita ng kritikal na pangangailangan para sa mas matibay na depensa sa buong cryptocurrency ecosystem. Ang mga platform na kulang sa real-time monitoring at preemptive security tools ay nananatiling lubos na bulnerable sa mga breach, na naglalagay sa panganib ng mga pondo ng user.
Dapat unahin ng industriya ang pag-adopt ng advanced security measures at pagtaguyod ng mas malaking kolaborasyon sa pagitan ng mga stakeholder para epektibong matugunan ang mga patuloy na banta.
“Ang zero-day attacks ay hindi predictable at hindi nakabase sa mga nakaraang, kilalang, practices. Kung walang real-time monitoring at detection mechanisms, at pre-emptive tools – hindi kayang i-address ng mga crypto platform ang ganitong pag-atake at pigilan ito sa real-time,” sinabi ng mga eksperto ng Cyvers.
Habang patuloy na lumalaki ang crypto sector, gayundin ang pagiging malikhain ng mga attacker na naghahanap ng butas sa seguridad nito. Ang mga insidente ngayong taon ay nagpakita na hindi na sapat ang reactive measures.
Disclaimer
Alinsunod sa mga patakaran ng Trust Project, ang opinion article na ito ay nagpapahayag ng opinyon ng may-akda at maaaring hindi kumakatawan sa mga pananaw ng BeInCrypto. Nananatiling committed ang BeInCrypto sa transparent na pag-uulat at pagpapanatili ng pinakamataas na pamantayan ng journalism. Pinapayuhan ang mga mambabasa na i-verify ang impormasyon sa kanilang sariling kakayahan at kumonsulta sa isang propesyonal bago gumawa ng anumang desisyon base sa nilalamang ito. Paalala rin na ang aming Terms and Conditions, Privacy Policy, at Disclaimers ay na-update na.