Il 2022 è stato un anno da dimenticare per il settore delle criptovalute, ripercorriamo in questo articolo gli eventi più importanti dell’anno appena passato.
Trend generali
I maggiori attacchi degli hacker hanno avuto come obiettivo i protocolli cross-chain, ad esempio il meccanismo di ponte Ronin di Axie Infinity e l’ecosistema multiprotocollo Wormhole. I crolli dell’ecosistema Terra (LUNA), del suo principale protocollo di ancoraggio DeFi (ANC) e della stablecoin TerraUSD (UST), ancorata all’USD, hanno causato l’inizio del “Bear Market” nel settore criypto all’inizio del secondo trimestre del 2022. Il fallimento dell’exchange di criptovalute FTx e della società di tradig associata Alameda Research è stato il più grande crollo di un servizio centralizzato nel 2022. Alcuni dei principali attacchi di hacker nel 2022 sono state operazioni white-hat: gli attaccanti hanno restituito il denaro rubato in cambio di impressionanti bug bounty. Quasi il 12% di tutti i token BEP-20 e l’8% dei token ERC-20 sono fraudolenti; ogni giorno vengono lanciate 350 nuove truffe.
Gli hack sono attacchi di terze parti a progetti legittimi eseguiti senza eventi “insider job”. Un white hat è un hacker esperto di programmazione, di sistemi e di sicurezza informatica in grado di introdursi in reti di computer[1][2] al fine di aiutarne i proprietari a prendere coscienza di un problema di sicurezza nel rispetto quindi dell’etica degli hacker e si contrappone a chi viola illegalmente sistemi informatici, anche senza vantaggio personale, definito “black hat hacker”. Un programma bug bounty è un accordo proposto da numerosi siti internet e sviluppatori software grazie al quale un individuo può ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi ad exploit e vulnerabilità.
Le principali truffe e crolli di criptovalute del 2022
Nel 2022, Bitcoin (BTC), Ethereum (ETH) e tutte le principali criptovalute hanno perso oltre il 70-80% rispetto al loro ATH, mentre nella maggior parte dei segmenti colpiti – token metaverse, token GameFi, ecosistema Solana (SOL) – la perdita mediana supera il 90%. Alcune major della criptovaluta non sono riuscite a sopravvivere a un calo così doloroso.
Terra (LUNA)/Terra USD (UST)
La piattaforma di smart contract Terra (LUNA), compatibile con EVM, era stata, a torto, considerata come quella che avrebbe fatto fuori Ethereum (ETH). La quasi totalità del suo TVL si è concentrata su Anchor Protocol (ANC), una semplice macchina per la produzione di rendimenti che offriva un APY del 19% sui depositi in Terra USD (UST), la stablecoin di Terra ormai defunta e ancorata all’USD. In totale, più di 20 miliardi di dollari in equivalente sono stati bloccati in Anchor (ANC) nel primo trimestre del 2022. TVL è l’acronimo di Total Value Locked, ovvero “valore totale bloccato”. Rappresenta il numero di risorse che sono attualmente in staking in un protocollo specifico.
Tuttavia, all’inizio di maggio 2022, qualcuno ha iniziato a inviare in modo aggressivo UST a pool sulla Curve Finance (CRV) DeFi e a scambiare i token su USD Coin (USDC). Gli UST hanno perso il loro valore. Terraform Labs e il suo CEO Do Kwon hanno iniziato a iniettare liquidità nel meccanismo UST/LUNA. Tuttavia, a causa di una massiccia fuga di capitali, sia LUNA che UST sono scesi a valori quasi nulli. La blockchain Terra (LUNA) è stata definitivamente bloccata.
I ricercatori hanno svelato che è stato Terraform Labs a dare il via al crollo: i trasferimenti massicci di UST sono stati autorizzati da Do Kwon. Il fondatore di Terra sarebbe scappato in Serbia e starebbe cercando di incassare lì i suoi Bitcoin (BTC).
Three Arrows Capital
Lanciato da Su Zhu e Kyle Davies, ex allievi della Columbia University e veterani del Credit Suisse, Three Arrows Capital (3AC) è stato uno degli hedge fund di criptovalute più influenti. Ha accumulato oltre 20 miliardi di dollari in AUM grazie ai primi investimenti in Ethereum (ETH), Avalanche (AVAX), Solana (SOL) e altri. Tuttavia, il collasso di LUNA è stato uno degli elementi chiave del crollo di 3AC. Il suo team di gestione aveva investito oltre 600 milioni di dollari in Terra (LUNA) e questa massiccia partecipazione è stata cancellata in due settimane dopo il crollo di LUNA/UST. L’azienda era anche a debito nelle sue posizioni in Staked Ether (stETH) nella DeFi di Lido Finance (LDO) e in Grayscale Bitcoin Trust (GBTC). A giugno non è riuscita a rimborsare il prestito al gigante delle criptovalute Voyager. A fine luglio la società è stata liquidata da un tribunale delle BVI, mentre i dirigenti di 3AC hanno presentato istanza di fallimento. In totale, 20 investitori di 3AC hanno perso oltre 3,5 miliardi di dollari.
Voyager
Anche il crypto exchange Voyager U.S. è stato vittima di una cattiva gestione del rischio: ha fornito un prestito non garantito di 650 milioni di dollari a Three Arrows Capital mentre il suo AUM netto era di quasi 5,9 miliardi di dollari. La piattaforma vantava 3,5 milioni di clienti, il 97% dei quali investiva meno di 10.000 dollari. In generale, Voyager è crollata perché il suo team ha scelto una strategia commerciale rischiosa: ha offerto prestiti a più servizi di trading e a singoli trader di criptovalute. Poiché gli investitori hanno iniziato a ritirare in massa il proprio denaro, all’inizio di luglio Voyager ha congelato i fondi dei clienti. Pochi giorni dopo ha presentato istanza di fallimento a New York. Poiché la piattaforma era incentrata su clienti al dettaglio di piccole dimensioni, il suo crollo è stato il più doloroso per gli appassionati di criptovalute.
L’acronimo AUM, che sta per asset under management, è un concetto economico che sta a indicare il valore di mercato del totale dei fondi gestiti da una società finanziaria autorizzata, dalle autorità di regolamentazione, a svolgere il ruolo di società di gestione del patrimonio per conto dei risparmiatori privati o di soggetti giuridici come le imprese.
Celsius
Celsius è stata la prima azienda a segnalare i suoi problemi: nell’aprile 2022 la piattaforma ha annunciato che avrebbe tenuto in custodia tutti gli asset degli investitori non accreditati: questa parte di clienti non era quindi in grado di immettere nuova liquidità e ottenere ricompense. Nel maggio 2022, spaventati dai drammi di UST e Terra, gli utenti hanno iniziato a spostare il denaro dal protocollo Celsius. Il 12 giugno 2022, Celsius ha congelato i fondi di 1,7 milioni di clienti (per lo più investitori al dettaglio). Come Voyager, all’inizio di luglio ha presentato istanza di fallimento. Il 14 luglio 2022, il consulente legale di Celsius, Kirkland & Ellis, ha comunicato che i dirigenti della piattaforma sono stati informati di un buco di 1,3 miliardi di dollari nel suo bilancio.
FTX
Il crollo di FTX di Sam Bankman-Fried e della società di investimenti in criptovalute ad essa associata, Alameda Research, è stato l’evento più sorprendente del Web3: SBF e il suo team hanno cercato di ottenere un enorme controllo sul settore firmando decine di partnership, apparendo sulle copertine di Forbes e così via. Tuttavia, il bilancio di Alameda Research dipendeva fortemente dal token FTX (FTT), la criptovaluta nativa di FTX.
Ecco perché l’intero sistema è crollato quando il CEO di Binance Changpeng “CZ” Zhao ha iniziato a vendere aggressivamente FTX (oltre 500 milioni di dollari in equivalente sono stati rilasciati da CZ). Come in tutti i casi simili, gli investitori hanno iniziato a ritirare in massa il loro denaro da FTX. La piattaforma ha interrotto i prelievi, SBF si è dimesso da amministratore delegato e ha presentato istanza di fallimento. Nel frattempo, si è saputo che stava utilizzando il denaro degli investitori e dei clienti nella sua società di trading, Alameda Research. A causa di una terribile cattiva gestione, Alameda Research era ben al di sotto delle aspettative. SBF è stato arrestato e rilasciato su cauzione mentre le perdite realizzate dal crollo di FTX hanno raggiunto un picco di 9 miliardi di dollari in equivalente.
Top crypto hack nel 2022
Secondo un’analisi degli esperti di cybersecurity di Merkle Science, i ponti tra reti sono particolarmente vulnerabili agli exploit a causa della loro complessità tecnica e del loro carattere altamente sperimentale: I bridge tra catene sono spesso più esposti agli attacchi degli hacker in quanto richiedono più interazioni e approvazioni contrattuali rispetto agli altri protocolli e sono eseguiti da codici informatici non controllati. Inoltre, l’identità dei validatori/nodi che eseguono le transazioni è sconosciuta
Wormhole
Il 3 febbraio 2022 gli hacker hanno attaccato Wormhole, un ponte progettato per facilitare il trasferimento di valore senza soluzione di continuità tra blockchain eterogenee. A causa di una vulnerabilità nel codice, sono riusciti a emettere 120.000 Wrapped Ethers (wETH) sulla blockchain Solana (SOL) senza fornire la corrispondente garanzia di Ethereum (ETH). L’hack avrebbe potuto portare all’insolvenza di qualsiasi piattaforma DeFi che fosse stata pronta ad accettare i 120.000 wETH stampati dal nulla come garanzia. Fortunatamente, lo scenario peggiore non si è verificato. Jump Crypto, la società madre del servizio Wormhole, si è fatta carico di tutte le perdite: ha immediatamente reintegrato 120.000 Ether nei pool di liquidità del protocollo.
Ronin
Il 23 marzo, gli hacker nordcoreani di Lazarus, un famigerato gruppo criminale informatico sostenuto dallo Stato, hanno attaccato la rete Ronin. Ronin è una sidechain simile a Ethereum sviluppata specificamente per Axie Infinity, un gioco di punta della GameFi. Gli aggressori hanno svuotato Ronin di ben 568 milioni di dollari. Gli hacker sono riusciti a ottenere il controllo di cinque delle nove firme dei validatori per Ronin Bridge. Poi hanno autorizzato due transazioni, 173.600 Ether (ETH) e 25,5 milioni di USD Coin (USDC). Di questo mostruoso bottino, oltre 445 milioni di dollari sono stati riciclati attraverso il mixer di criptovalute Tornado Cash. Lo sviluppatore di Axie Infinity, Sky Mavis, ha raccolto ulteriori fondi, ha ordinato un’altra verifica di sicurezza da parte di CertiK e ha aumentato la soglia del multisig da 5/9 a 8/9.
Nomad
Nell’agosto 2022, Nomad, un meccanismo di ponte multi-catena che sposta il valore tra Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) e altre blockchain, è stato prosciugato di 190,7 milioni di dollari in criptovalute. Gli aggressori sono riusciti a sfruttare una vulnerabilità del design dello smart contract: il protocollo permetteva agli utenti di prelevare fondi sulla blockchain di destinazione senza verificare se fossero equivalenti all’importo inizialmente distribuito. In poche parole, dopo il regolare aggiornamento, gli utenti hanno potuto depositare 1 ETH su Ethereum (ETH) e chiedere un prelievo equivalente a 100 Ethereum (ETH) da Avalanche (AVAX). Il fatto è che ogni appassionato di Web3 è stato in grado di replicare questo vettore di attacco e di rubare fondi da Nomad prima del rilascio della patch. Per questo motivo, molti sviluppatori di Ethereum (ETH) hanno ritirato i fondi solo per rispedirli al team Nomad: sono stati rispediti quasi 40 milioni di dollari.
Beanstalk
Il 16 aprile 2022, il progetto di stablecoin Beanstalk (BEAN), basato su Ethereum, è stato preso di mira da un sofisticato attacco flash loan. In particolare, i malfattori sono riusciti a ottenere un prestito lampo su Aave Finance (AAVE) e ad acquistare la quantità di token di governance necessaria per prendere il controllo del protocollo di referendum on-chain. Poi gli aggressori hanno ottenuto la supermaggioranza di voto e hanno approvato un trasferimento di denaro sul proprio conto. Quando sono stati trasferiti 180 milioni di dollari, hanno immediatamente rimborsato il prestito flash; il profitto netto ha superato gli 80 milioni di dollari.
Wintermute
Nel settembre 2022, Wintermute, una delle più grandi piattaforme di market-making, ha subito il prosciugamento dei suoi portafogli per 160 milioni di dollari. Gli attaccanti hanno svelato che alcuni dei portafogli chiave di Wintermute erano stati creati con Profanity, un generatore di “indirizzi di vanità” per la rete Ethereum (ETH). Tali programmi possono creare portafogli di criptovalute con indirizzi leggibili dall’uomo, ad esempio 0xJohnDoe1111… e simili. A causa di una vulnerabilità nel design di Profanity, gli aggressori sono riusciti a forzare brutalmente gli indirizzi vanity e a recuperare le chiavi private. L’attacco è stato possibile grazie alle notevoli risorse di calcolo utilizzate dai malfattori.
Le truffe che si ripetono
Accanto a scenari sofisticati che includono prestiti flash da 1 miliardo di dollari, hacker nordcoreani e hardware impressionanti per il brute-forcing, spuntano qua e là campagne di truffa molto primitive. Tre modelli di attacco sono stati molto comuni nel 2022:
Fake Airdrops
Per realizzare questa truffa, i malfattori organizzano una campagna pubblicitaria su YouTube o inseriscono il loro annuncio su Twitter. Poi annunciano che una celebrità di Internet (Snoop Dogg), un imprenditore tecnologico di primo piano (Vitalik Buterin o Elon Musk) o persino un politico (Donald Trump) sta facendo un airdrop di criptovaluta. Tutti coloro che sono pronti a richiedere i loro bonus devono inviare un deposito iniziale (che verrebbe presumibilmente restituito con un profitto del 100%) o le loro chiavi private. Inutile dire che entrambi i gruppi perderanno i loro depositi o tutto il denaro dai loro portafogli.
Come proteggersi: Non inviate mai il vostro denaro agli “organizzatori di airdrop” e non rivelate mai le vostre chiavi private o le vostre frasi seed.
2. Bot MEV Handmade. Il valore massimo estraibile (MEV) è la massima ricompensa che i partecipanti alla rete Ethereum (ETH) possono ottenere per il loro contributo nel processo di convalida dei blocchi. Tecniche sofisticate ci permettono di trarre vantaggio dall’ottimizzazione del MEV. I truffatori mettono a disposizione video o manuali di testo su come costruire i propri “bot MEV” per ottenere l’accesso ai portafogli Ethereum (ETH) e prosciugare i fondi.
Come proteggersi: Evitare i bot MEV “istantanei” dai manuali di YouTube.
3. Scammers Rescue. Dal momento che il 2022 è stato caratterizzato da numerosi episodi di hacking, molti utenti di criptovalute si sono preoccupati di verificare se le loro blockchain preferite siano state violate. I truffatori pubblicano annunci falsi su questo o quel progetto violato e lanciano falsi programmi di “compensazione” per i quali a coloro che fossero interessati al risarcimento viene chiesto di inviare le loro frasi seed.
Come proteggersi: Controllare le notizie sugli hack solo sui canali ufficiali delle blockchain.
