7. januára 2022 spoluzakladateľ Etherea Vitalik Buterin Varoval o bezpečnosti cross-blockchainových mostov. Predvídavo tvrdil, že premostenie aktív naprieč blockchainmi nikdy nebude mať rovnaké záruky ako zostať v rámci jedného blockchainu. Mal pravdu.
Bezpečná konvertibilita aktív medzi blockchainmi nie je zaručená. Aby som bol presný, nikto v skutočnosti nemôže „poslať“ ani „premostiť“ aktívum do iného blockchainu. Namiesto toho sú aktíva uložené, uzamknuté alebo spálené na jednom reťazci; potom pripísané, odomknuté alebo razené na druhej reťazi.
Horšie je, že blockchainy nemajú prístup k informáciám mimo reťazca. Žiadny blockchain nemôže natívne overiť, že akékoľvek multi-blockchainové aktívum je „premostené“. V najlepšom prípade orakuly tretích strán potvrdzujú pravdivosť informácií mimo reťazca a interpretujú tieto údaje na použitie v reťazci. Toto však zavádza prvú vrstvu dôvery do procesu premostenia: dôveru v dátové orakuly. Ďalšou vrstvou dôvery sú správcovia.
K premosteniu zvyčajne dochádza uložením jedného aktíva u správcu a prijatím „zabalenej“ verzie tohto aktíva od správcu na druhom blockchaine. Používateľ musí dôverovať správcovi, že uchová pôvodné aktívum a zároveň uvoľní zabalené aktívum.
Niekedy môže mať tento správca formu DAO alebo smart kontraktu. V každom prípade – či už ide o DAO alebo právnickú osobu, akou je BitGo (správca svetového najväčší zabalený majetok, zabalený bitcoin) — premostenie zavádza niekoľko vrstiev dôvery.
Pokračujeme, ďalšou vrstvou dôvery je konvertibilita a cenová parita. Zjednodušene povedané, nestačí prijať preklenovacie aktívum. Používateľ musí navyše naďalej dôverovať tomu, že bude môcť v budúcnosti premostiť toto aktívum späť na základe 1 za 1. Jedno pôvodné dielo sa musí rovnať jednému zabalenému dielu. Ide o riziko cenovej parity.
Premostené aktívum si musí minimálne zachovať paritu s pôvodným aktívom. Týmto spôsobom teda používateľ dôveruje procesu premostenia nielen v momente výmeny, ale aj dovtedy, kým bude v budúcnosti používať zabalený majetok.
Stručne povedané, všetky bezpečnostné riziká aktíva sa exponenciálne znásobujú pre ich premostené (zabalené) náprotivky.
Máte obavy z toho, že spoločnosť Tether Limited nevymení jeden USDT za 1 USD? Premostite ten istý USDT na blockchain, ktorý spoločnosť Tether Limited nepodporuje, a vaše riziká sa znásobili custodianom (správcami), inteligentnými zmluvami, likviditou, cenovou paritou a predovšetkým tým, či most nezhorí skôr, ako budete musieť prejsť späť na bezpečnosť.
Svojím spôsobom sú cross-blockchain mosty ako červie diery: prenášajú materiál cez priestor, ale vytvárajú sa a ničia spontánne.
V skutočnosti je Wormhole názov svetovo najlepšie kapitalizovaného mosta, ktorý spája blockchainy Ethereum a Solana. To bolo Nabúral — ako mnohé mosty. Nižšie je uvedený zoznam.
Multichain exploit 19. januára 2022
útočníci ukradol 3 milióny dolárov za využitie multichainového cross-blockchainového mosta začiatkom roka. Multichain vydal počiatočnú správu, ktorá spôsobila používateľom otázka či sú ich prostriedky v bezpečí. to Varoval aby používatelia stiahli tokeny WETH, MATIC, AVAX, PERI, OMT a WBNB z dotknutých inteligentných zmlúv na svojej platforme.
Viacreťazcové neskôr povedal jeden útočník vrátil 259 ETH ukradnutých pri útoku. pripútať zmrazil USDT na adresách spojených s exploitom.
Využitie Qubit 27. januára 2022
Qubit Finance stratený 206,809 80 BNB (27 miliónov dolárov) pri využívaní QBridge 2022. januára XNUMX. Projekt postavil svoj protokol na Binance Chain.
Exploit podvodne vyťažil 77,162 XNUMX qXETH, ktoré mohli útočníci vymeniť za tokeny BNB. Qubit sa ponúkol, že bude s útočníkom vyjednávať a získať späť prostriedky.
Využitie červej diery 2. februára 2022
Útočníci podvodne vytlačili 120,000 2 zabalených ETH na Solanovom blockchaine pomocou mosta Wormhole 2022. februára XNUMX. Vytvorili sfalšovaný podpisový účet na overenie svojich transakcií.
Výskumník Paradigm reverzne skonštruoval útok a zistil, že Wormhole nedokázal implementovať robustnejší overovací protokol pre svoje podpisy strážcov.
Využitie Meter Passport spoločnosti Meter.io 5. februára 2022
Most Meter Passport od Meter.io stratený 4.4 milióna dolárov v exploite 5. februára 2022. Exploat sa zameral na platformu inteligentnej zmluvy Moonriver v sieti Kusama spoločnosti Polkadot. Útočníci ukradli BNB a zabalili ETH a potom BNB vyhodili na decentralizovanú burzu UniSwap.
Toto zneužitie spôsobilo prepad ceny BNB, čo umožnilo iným jednotlivcom vybrať si lacnú BNB a použiť ju ako záruku na pôžičky na platformách ako Hundred Crisis. Pôžičky spôsobili problémy s dodávkami pre dotknuté úverové aplikácie.
Využitie Ronin Bridge 29. marca 2022
útočníci ukradol 173,600 25.5 ETH a 600 milióna USDC (približne 29 miliónov USD) z mosta Ronin 2022. marca XNUMX. Toto zneužitie zahŕňalo získanie prístupu k súkromným kľúčom uzlov validátora. Vývojári mosta Ronin zastavili vklady a výbery, kým vyšetrovatelia nemali šancu zistiť, čo sa stalo.
Vývojári vytvorili vedľajší reťazec Ronin Ethereum hry Axie Infinity, aby ušetrili na poplatkoch. Bohužiaľ ohrozili bezpečnosť.
WonderHero exploit 7. apríla 2022
zázračný hrdina objavil zneužitie svojho mosta 7. apríla 2022, keď hodnota jeho natívneho tokenu WND nečakane klesla o 50 %. Pri útoku prišla o 300,000 XNUMX dolárov v tokenoch WND.
WonderHero počas vyšetrovania pozastavil svoju webovú stránku, hru, most, vklady a výbery. Reštartovalo to hru, trhovisko a systém výnosov. Odvtedy WonderHero posted analýzu potvrdzujúcu, že jeho most Binance bol napadnutý.
Využitie Harmony One's Horizon Bridge 23. júna 2022
Harmony One's Horizon Bridge stratil 100. júna 23 pri exploite 2022 miliónov dolárov. Jeho tím povedal pri vyšetrovaní zneužitia spolupracovala s orgánmi činnými v trestnom konaní a forenznými expertmi. Na adresu, ktorá bola použitá na prijímanie ukradnutých prostriedkov, bol doručený „Horizon Bridge Exploiter“ štítok na Etherscan. Horizon Bridge Exploiter v súčasnosti drží niečo cez 93,000 XNUMX dolárov v tokenoch.
Prečítajte si viac: Cross-blockchainové mosty sa neustále lámu, pretože krypto startup Nomad hackol za 190 miliónov dolárov
Využívanie funkcie ChainSwap 10. júla 2022
ChainSwap stratil 20 miliónov WILD tokenov pri exploite 10. júla 2022. Wilder World používa WILD ako svoj pôvodný token. Pseudonymný používateľ Twitteru a „občan“ Wilder World všimol exploit ChainSwap 10. júla 2022. Exploat sa dotkol aj tokenov Antihmota, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank a Unifarm.
ChainSwap zmrazil svoj most Ethereum-Binance Smart Chain počas vyšetrovania.
Pred týmto incidentom, ChainSwap utrpel ďalší exploit, v ktorom 800,000. júla stratil 2 XNUMX dolárov v tokenoch. Podarilo sa mu získať späť niektoré zo strát v tomto útoku.
Nomad exploit 2. augusta 2022
útočníci ukradol 190 miliónov dolárov v tokenoch využitím zraniteľnosti v inteligentnej zmluve Nomad 2. augusta 2022. Keď sa metóda používaná na využívanie inteligentnej zmluvy stala verejnou, masový útok odčerpal značné množstvo peňazí.
CISO Andressena Horowitza navrhol že niektorí lupiči mohli byť vykorisťovateľmi „bieleho klobúka“, ktorých cieľom bolo udržať peniaze z rúk hanebných hercov. Nomád povedal pri vyšetrovaní spolupracovala s orgánmi činnými v trestnom konaní a súkromnými bezpečnostnými spoločnosťami poďakoval herci v bielom klobúku za to, že prevzali iniciatívu na ochranu finančných prostriedkov.
Pre viac informovaných noviniek nás sledujte Twitter a Správy Google alebo si vypočujte náš investigatívny podcast Inovované: Blockchain City.
Zdroj: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/