Dana 7. siječnja 2022., suosnivač Ethereuma Vitalik Buterin Upozorio o sigurnosti cross-blockchain mostova. Predviđeno je tvrdio da premošćivanje imovine preko blockchaina nikada neće uživati ista jamstva kao ostanak unutar jednog blockchaina. Bio je u pravu.
Sigurna konvertibilnost imovine između lanaca blokova nije zajamčena. Da budemo precizni, nitko zapravo ne može "poslati" niti "premostiti" sredstvo u drugi blockchain. Umjesto toga, imovina se pohranjuje, zaključava ili spaljuje na jednom lancu; zatim se pripisuje, otključava ili kuje na drugom lancu.
Što je još gore, lanci blokova ne mogu pristupiti informacijama izvan lanca. Nijedan blockchain ne može izvorno potvrditi da je bilo koja imovina s više blokova "premoštena". U najboljem slučaju, proročanstva treće strane potvrđuju istinitost informacija izvan lanca i tumače te podatke za upotrebu u lancu. Međutim, ovo uvodi prvi sloj povjerenja u proces premošćivanja: povjerenje u proročanstva podataka. Sljedeći sloj povjerenja su skrbnici.
Obično se premošćivanje događa polaganjem jedne imovine kod skrbnika i primanjem "zamotane" verzije te imovine od skrbnika na drugom lancu blokova. Korisnik mora vjerovati skrbniku da će čuvati izvornu imovinu i osloboditi zamotanu imovinu.
Ponekad ovaj skrbnik može biti u obliku DAO ili pametnog ugovora. U svakom slučaju — bez obzira radi li se o DAO-u ili korporativnom entitetu poput BitGoa (skrbnika svjetskih najveći zamotana imovina, zamotani bitcoin) — premošćivanje uvodi nekoliko slojeva povjerenja.
Nastavljajući, sljedeći sloj povjerenja je konvertibilnost i paritet cijena. Jednostavno rečeno, nije dovoljno primiti imovinu mosta. Korisnik dodatno mora nastaviti vjerovati da će moći premostiti tu imovinu u budućnosti po principu 1-za-1. Jedan originalni materijal mora biti jednak jednom zamotanom materijalu. Ovo je rizik pariteta cijene.
U najmanju ruku, premošteno sredstvo mora održavati paritet s izvornim sredstvom. Dakle, na ovaj način, korisnik vjeruje procesu premošćivanja ne samo u trenutku zamjene, već i sve dok u budućnosti koristi omotano sredstvo.
Ukratko, svi sigurnosni rizici imovine eksponencijalno se množe za svoje premoštene (omotane) dvojnike.
Zabrinuti ste zbog toga što Tether Limited ne može iskoristiti jedan USDT za 1 USD? Premostite taj isti USDT na blockchain koji Tether Limited ne podržava i vaši su se rizici umnožili skrbnikom(ima), pametnim ugovorima, likvidnošću, paritetom cijena i, najviše od svega, hoće li most izgorjeti prije nego što se budete morali vratiti na sigurnost.
Na neki način, cross-blockchain mostovi su poput crvotočina: oni prenose materijal kroz svemir, ali se formiraju i uništavaju spontano.
Zapravo, Crvotočina je naziv mosta s najvećim kapitaliziranjem na svijetu, koji povezuje blockchaine Ethereuma i Solane. Bilo je hakirana — kao i mnogi mostovi. Ispod je popis.
Multichain exploit 19. siječnja 2022
napadači ukrao 3 milijuna dolara u eksploataciji Multichain cross-blockchain mosta početkom godine. Multichain je izdao početne poruke koje su dovele korisnike do pitanje jesu li njihova sredstva sigurna. To Upozorio korisnicima da povuku tokene WETH, MATIC, AVAX, PERI, OMT i WBNB iz pogođenih pametnih ugovora na svojoj platformi.
Multichain kasnije , rekao je jedan je napadač vratio 259 ETH ukradenih u napadu. Lanac smrznuti se USDT na adresama povezanim s iskorištavanjem.
Qubit exploit 27. siječnja 2022
Qubit financije izgubljen 206,809 80 BNB (27 milijuna dolara) u eksploataciji QBridgea 2022. siječnja XNUMX. Projekt je izgradio svoj protokol na Binance Chainu.
Eksploatacija je lažno iskovala 77,162 qXETH, koje su napadači mogli zamijeniti za BNB tokene. Qubit je ponudio pregovore s napadačem kako bi povratio sredstva.
Wormhole exploit 2. veljače 2022
Napadači su 120,000. veljače 2. prijevarom iskovali 2022 XNUMX zamotanih ETH-a na Solanin blockchain koristeći Wormhole most. Stvorili su lažni potpisni račun za potvrdu svojih transakcija.
Istraživač Paradigma izvršio je obrnuti inženjering napada i utvrdio da Crvotočina nije uspjela implementirati robusniji protokol provjere valjanosti za svoje potpise skrbnika.
Meter.io's Meter Passport exploit 5. veljače 2022
Meter.io's Meter Passport most izgubljen 4.4 milijuna dolara u eksploataciji 5. veljače 2022. Eksploatacija je bila usmjerena na platformu pametnih ugovora Moonriver na Polkadotovoj mreži Kusama. Napadači su ukrali BNB i zamotali ETH, a zatim bacili BNB na decentraliziranu burzu UniSwap.
Ova eksploatacija uzrokovala je strmoglavi pad cijena BNB-a što je drugim pojedincima omogućilo da dohvate jeftini BNB i koriste ga kao kolateral za zajmove na platformama kao što je Hundred Crisis. Zajmovi su uzrokovali probleme s opskrbom zahvaćenih aplikacija za zajam.
Eksploatacija mosta Ronin 29. ožujka 2022
napadači ukrao 173,600 25.5 ETH i 600 milijuna USDC (oko 29 milijuna dolara) s mosta Ronin 2022. ožujka XNUMX. Iskorištavanje je uključivalo dobivanje pristupa privatnim ključevima čvorova validatora. Razvojni inženjeri mosta Ronin zaustavili su uplate i isplate dok istražitelji nisu imali priliku utvrditi što se dogodilo.
Razvojni programeri izgradili su bočni lanac Ronin igre Axie Infinity za Ethereum kako bi uštedjeli na naknadama. Nažalost, ugrozili su sigurnost.
WonderHero exploit 7. travnja 2022
čudesni junak otkrio eksploataciju svog mosta 7. travnja 2022., kada je vrijednost njegovog izvornog WND tokena neočekivano pala za 50%. U napadu je izgubio 300,000 dolara u WND tokenima.
WonderHero je pauzirao svoju web stranicu, igru, most, depozite i isplate dok je istraživao. Ponovno je pokrenuo igru, tržište i sustav prinosa. Od tada, WonderHero objavio analiza koja potvrđuje da je njegov Binance most bio ugrožen.
Iskorištavanje Horizon Bridgea Harmony One 23. lipnja 2022
Horizon Bridge tvrtke Harmony One izgubio je 100 milijuna dolara u eksploataciji 23. lipnja 2022. Njegov tim , rekao je surađivala je s tijelima za provođenje zakona i forenzičkim stručnjacima na istraživanju iskorištavanja. Adresa korištena za primanje ukradenih sredstava dobila je "Horizon Bridge Exploiter” na Etherscanu. Horizon Bridge Exploiter trenutno drži nešto više od 93,000 dolara u tokenima.
Pročitajte više: Cross-blockchain mostovi nastavljaju se lomiti dok je kripto startup Nomad hakiran za 190 milijuna dolara
ChainSwap exploit 10. srpnja 2022
ChainSwap je izgubio 20 milijuna WILD tokena u eksploataciji 10. srpnja 2022. Wilder World koristi WILD kao izvorni token. Pseudonimni korisnik Twittera i "građanin" Divljeg svijeta primijetio ChainSwap exploit 10. srpnja 2022. Exploat je također utjecao na Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank i Unifarm tokene.
ChainSwap je zamrznuo svoj Ethereum-Binance Smart Chain bridge dok je istraživao.
Prije ovog incidenta, ChainSwap patio još jedan podvig u kojem je 800,000. srpnja izgubio 2 dolara u tokenima. Uspio je nadoknaditi neke od tih gubitaka u tom napadu.
Nomad exploit 2. kolovoza 2022
napadači ukrao 190 milijuna dolara u tokenima iskorištavanjem ranjivosti u Nomadovom pametnom ugovoru 2. kolovoza 2022. Nakon što je metoda korištena za iskorištavanje pametnog ugovora postala javna, masovni napad iscrpio je znatan iznos novca.
CISO Andressena Horowitza predložio da su neki pljačkaši mogli biti izrabljivači "bijelih šešira" s ciljem da novac ne dospije u ruke zlih aktera. Nomad , rekao je surađivala je s policijom i privatnim zaštitarskim tvrtkama na istrazi i zahvalio glumci s bijelim šeširima za preuzimanje inicijative za zaštitu sredstava.
Za više informacija, pratite nas Twitter i Google vijesti ili poslušajte naš istraživački podcast Inovirano: Blockchain City.
Izvor: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/