Hackeri tento rok ukradli 1.4 miliardy dolárov pomocou krypto mostov

Krypto investori boli tento rok tvrdo zasiahnutí hackermi a podvodmi. Jedným z dôvodov je, že kyberzločinci našli obzvlášť užitočnú cestu, ako sa k nim dostať: mosty.

Blockchainové mosty, ktoré jemne spájajú siete, aby umožnili rýchlu výmenu tokenov, si získavajú na popularite ako spôsob transakcií používateľov kryptomien. Pri ich používaní však nadšenci kryptomien obchádzajú centralizovanú burzu a používajú systém, ktorý je z veľkej časti nechránený.

Podľa údajov od firmy Chainalysis, ktorá sa zaoberá analýzou blockchainu, sa od začiatku roka stratilo v dôsledku porušení týchto krížových mostov celkovo približne 1.4 miliardy dolárov. Najväčším samostatným podujatím bol rekordných 615 miliónov dolárov vytrhnuté z Roninu, mosta podporujúceho populárnu nezameniteľnú tokenovú hru Axie Infinity, ktorá používateľom umožňuje zarábať peniaze pri hraní.

Tam bol tiež 320 miliónov dolárov ukradnutých z Wormhole, kryptomost, za ktorým stojí vysokofrekvenčná obchodná firma Jump Trading z Wall Street. V júni utrpel most Harmony's Horizon útok 100 miliónov dolárov. A minulý týždeň, takmer 200 miliónov dolárov zabavili hackeri pri porušení zameranom na Nomad.

„Blockchainové mosty sa stali nízko visiacim ovocím pre kyberzločincov, v ktorých sú zamknuté krypto aktíva v hodnote miliárd dolárov,“ povedal Tom Robinson, spoluzakladateľ a hlavný vedec blockchainovej analytickej firmy Elliptic v rozhovore. "Tieto mosty boli prelomené hackermi rôznymi spôsobmi, čo naznačuje, že ich úroveň zabezpečenia nedržala krok s hodnotou aktív, ktoré vlastnia."

K vykorisťovaniu mosta dochádza pozoruhodným tempom, vzhľadom na to, že ide o taký nový fenomén. Podľa údajov Chainalysis predstavuje množstvo ukradnutých pri lúpežiach mostov 69 % finančných prostriedkov ukradnutých pri hackoch súvisiacich s kryptomenami v roku 2022.

Most je softvér, ktorý umožňuje niekomu posielať tokeny z jednej blockchainovej siete a prijímať ich v samostatnom reťazci. Blockchainy sú distribuované účtovné systémy, ktoré sú základom rôznych kryptomien.

Pri výmene tokenu z jedného reťazca do druhého – ako pri posielaní niektorých éter z etherea do siete solana – investor vloží tokeny do inteligentnej zmluvy, kúsku kódu na blockchaine, ktorý umožňuje automatické vykonávanie dohôd bez ľudského zásahu.

Táto kryptomena sa potom „vyrazí“ na nový blockchain vo forme takzvaného zabaleného tokenu, ktorý predstavuje nárok na pôvodné éterové mince. Token sa potom môže obchodovať v novej sieti. To môže byť užitočné pre investorov používajúcich ethereum, ktoré sa stalo notoricky známym náhlym nárastom poplatkov a dlhšími čakacími dobami, keď je sieť zaneprázdnená.

„Zvyčajne držia obrovské množstvo peňazí,“ povedal Adrian Hetman, technický vedúci v krypto bezpečnostnej firme Immunefi. "Tieto sumy peňazí a to, koľko dopravy prechádza cez mosty, sú veľmi lákavým bodom útoku."

Zraniteľnosť mostov možno čiastočne pripísať nedbalému inžinierstvu.

Hack na Harmony's Horizon bridge bol napríklad možný kvôli obmedzenému počtu validátorov, ktoré boli potrebné na schvaľovanie transakcií. Hackerom stačilo kompromitovať dva z celkovo piatich účtov, aby získali heslá potrebné na výber prostriedkov.

Podobná situácia nastala aj s Roninom. Hackerom stačilo presvedčiť päť z deviatich overovateľov v sieti, aby odovzdali svoje súkromné ​​kľúče, aby získali prístup ku kryptomenám uzamknutým v systéme.

V prípade Nomada bolo pre hackerov oveľa jednoduchšie manipulovať s mostom. Útočníci boli schopní zadať do systému akúkoľvek hodnotu a následne vybrať prostriedky, aj keď na moste nebolo uložené dostatočné množstvo aktív. Nepotrebovali žiadne programátorské zručnosti a ich činy viedli k tomu, že sa kopili napodobeniny, čo podľa Ellipticu viedlo k ôsmej najväčšej krádeži kryptomien všetkých čias.

Nomád je ponuka hackerov odmenu vo výške až 10 % na získanie finančných prostriedkov používateľov a tvrdí, že sa zdrží súdneho konania proti hackerom, ktorí vrátia 90 % aktív, ktoré vzali.

Nomad povedal CNBC, že „je odhodlaný udržiavať svoju komunitu aktualizovanú, keď sa dozvie viac“ a „oceňuje všetkých, ktorí konali rýchlo, aby ochránili finančné prostriedky“.

Mosty sú základným nástrojom v sektore decentralizovaných financií (DeFi), ktorý je alternatívou kryptobanky k bankovému systému.

S DeFi namiesto toho, aby centralizovaní hráči volali, sú výmeny peňazí riadené programovateľným kúskom kódu nazývaným smart kontrakt. Táto zmluva je napísaná na verejnom blockchaine, ako napr ethereum or Solanaa vykoná sa, keď sú splnené určité podmienky, čím sa neguje potreba centrálneho sprostredkovateľa. 

"Nemôžeme jednoducho presunúť tieto aktíva," povedal Hetman. "Preto potrebujeme blockchainové mosty."

Keďže priestor DeFi sa neustále vyvíja, vývojári budú musieť zabezpečiť interoperabilitu blockchainov, aby sa zabezpečilo, že aktíva a dáta budú môcť medzi sieťami plynulo prúdiť.

„Bez nich sú aktíva zablokované na natívnych reťazcoch,“ povedal Auston Bunsen, spoluzakladateľ spoločnosti QuikNode, ktorá poskytuje vývojárom a spoločnostiam blockchainovú infraštruktúru.

Ale sú riskantné.

"Sú fakticky bez kontroly," povedal David Carlisle, vedúci regulačných záležitostí v Elliptic. Sú „veľmi zraniteľné voči hackerom alebo zneužitiu pri zločinoch, ako je pranie špinavých peňazí“.

Zločinci previedli od roku 540 nezákonne získané zisky v hodnote najmenej 2020 miliónov dolárov cez most s názvom RenBridge, podľa nový výskum ktoré Elliptic poskytol CNBC.

„Jednou z hlavných otázok je, či sa mosty stanú predmetom regulácie, keďže fungujú podobne ako kryptoburzy, ktoré sú už regulované,“ povedal Carlisle.

Tento týždeň Úrad pre kontrolu zahraničných aktív Ministerstva financií USA (OFAC) oznámila sankcie proti Tornado Cash, populárny mixér kryptomien, ktorý zakazuje Američanom používať službu. Mixéry sú nástroje, ktoré spájajú tokeny používateľa so súborom iných prostriedkov, aby sa skryla identita zúčastnených jednotlivcov a subjektov.

Carlisle povedal, že začína byť zrejmé, že "americké regulačné orgány sú pripravené ísť po službách DeFi, ktoré uľahčujú nezákonnú činnosť."

WATCH: Adrian Hetman z Immunefi vysvetľuje, ako hackeri ukradli 200 miliónov dolárov