Hakeri su ove godine ukrali 1.4 milijarde dolara koristeći kriptomostove

Kripto investitori su ove godine teško pogođeni hakiranjem i prijevarama. Jedan od razloga je taj što su kibernetički kriminalci pronašli posebno koristan način da dođu do njih: mostove.

Blockchain mostovi, koji tanko povezuju mreže kako bi omogućili brzu razmjenu tokena, postaju sve popularniji kao način na koji korisnici kripto transakcija obavljaju transakcije. No, koristeći ih, kripto entuzijasti zaobilaze centraliziranu razmjenu i koriste sustav koji je uglavnom nezaštićen.

Ukupno je oko 1.4 milijarde dolara izgubljeno zbog proboja na tim međulančanim mostovima od početka godine, prema brojkama analitičke tvrtke Chainalysis za blockchain. Najveći pojedinačni događaj bio je rekordnih 615 milijuna dolara otet od Ronina, mosta koji podržava popularnu nezamjenjivu tokensku igru ​​Axie Infinity, koja korisnicima omogućuje da zarađuju novac dok igraju.

Postojao je i 320 milijuna dolara ukradeno iz Crvotočine, kripto most iza kojeg stoji Wall Street tvrtka za visokofrekventno trgovanje Jump Trading. U lipnju je Harmonyjev most Horizon pretrpio napad vrijedan 100 milijuna dolara. I prošli tjedan, hakeri su zaplijenili gotovo 200 milijuna dolara u napadu koji je ciljao na Nomada.

"Blockchain mostovi postali su plod za kibernetičke kriminalce, s milijardama dolara vrijednom kripto imovinom zaključanom unutar njih", rekao je Tom Robinson, suosnivač i glavni znanstvenik u analitičkoj tvrtki za blockchain Elliptic, u intervjuu. "Hakeri su probili ove mostove na razne načine, što sugerira da njihova razina sigurnosti nije ukorak s vrijednošću imovine koju posjeduju."

Eksploatacije mostova događaju se nevjerojatnom brzinom, s obzirom na to da se radi o tako novom fenomenu. Prema podacima Chainalysisa, iznos ukraden u pljačkama mostova čini 69% sredstava ukradenih u hakiranju povezanih s kripto do sada tijekom 2022.

Most je dio softvera koji omogućuje nekome da pošalje tokene iz jedne blockchain mreže i primi ih na zasebnom lancu. Blockchaini su sustavi distribuiranih knjiga koji podupiru različite kriptovalute.

Prilikom zamjene tokena iz jednog lanca u drugi — kao kod slanja nekih eter od ethereuma do mreže solana — investitor polaže tokene u pametni ugovor, dio koda na lancu blokova koji omogućuje automatsko izvršavanje sporazuma bez ljudske intervencije.

Ta se kripto zatim "kuje" na novom blockchainu u obliku takozvanog zamotanog tokena, koji predstavlja pravo na izvorne ether kovanice. Tokenom se zatim može trgovati na novoj mreži. To može biti korisno za investitore koji koriste ethereum, koji je postao poznat po iznenadnim porastima naknada i duljim vremenima čekanja kada je mreža zauzeta.

"Oni obično drže ogromne količine novca", rekao je Adrian Hetman, tehnički voditelj u tvrtki za kripto sigurnost Imunefi. "Te količine novca i koliko prometa prolazi kroz mostove vrlo su primamljiva točka napada."

Ranjivost mostova može se djelomično pripisati neurednom projektiranju.

Hakiranje na Harmonyjevom mostu Horizon, na primjer, bilo je moguće zbog ograničenog broja validatora koji su bili potrebni za odobravanje transakcija. Hakeri su trebali kompromitirati samo dva od ukupno pet računa kako bi dobili lozinke potrebne za podizanje sredstava.

Slična situacija dogodila se i s Roninom. Hakeri su samo trebali uvjeriti pet od devet validatora na mreži da predaju svoje privatne ključeve kako bi dobili pristup kriptografiji zaključanoj unutar sustava.

U Nomadovom slučaju, hakerima je mostom bilo mnogo jednostavnije manipulirati. Napadači su mogli unijeti bilo koju vrijednost u sustav i zatim povući sredstva, čak i ako nije bilo dovoljno sredstava pohranjenih u mostu. Nisu im trebale nikakve programerske vještine, a njihovi podvizi doveli su do gomilanja kopija, što je dovelo do osme najveće krađe kriptovaluta svih vremena, prema Ellipticu.

Nomad je nudeći hakere nagradu do 10% za vraćanje sredstava korisnika i kaže da će se suzdržati od pokretanja pravnih postupaka protiv svih hakera koji vrate 90% imovine koju su uzeli.

Nomad je za CNBC rekao da je “predan ažuriranju svoje zajednice kako sazna više” i “cijeni sve one koji su brzo djelovali kako bi zaštitili sredstva”.

Mostovi su bitan alat u industriji decentraliziranih financija (DeFi), što je kripto alternativa bankarskom sustavu.

S DeFi-jem, umjesto da centralizirani igrači odlučuju, razmjenama novca upravlja programabilni dio koda koji se zove pametni ugovor. Ovaj ugovor je napisan na javnom blockchainu, kao što je ethereum or solarij, i izvršava se kada su ispunjeni određeni uvjeti, negirajući potrebu za središnjim posrednikom. 

"Ne možemo jednostavno premjestiti tu imovinu", rekao je Hetman. "Zato su nam potrebni blockchain mostovi."

Kako se DeFi prostor nastavlja razvijati, programeri će morati učiniti lance blokova interoperabilnim kako bi osigurali neometani protok imovine i podataka između mreža.

"Bez njih, imovina je zaključana na izvornim lancima", rekao je Auston Bunsen, suosnivač QuikNodea, koji pruža blockchain infrastrukturu programerima i tvrtkama.

Ali oni su rizični.

"Njima se zapravo ne upravlja", rekao je David Carlisle, voditelj regulatornih poslova u Elliptiku. Oni su "vrlo osjetljivi na hakiranje ili na korištenje u zločinima poput pranja novca."

Kriminalci su od 540. prenijeli nezakonito stečenu dobit u vrijednosti od najmanje 2020 milijuna dolara preko mosta zvanog RenBridge, prema novo istraživanje koje je Elliptic dostavio CNBC-u.

"Jedno od glavnih pitanja je hoće li mostovi postati predmet regulacije, budući da djeluju poput kripto razmjena, koje su već regulirane", rekao je Carlisle.

Ovaj tjedan Ured za kontrolu strane imovine Ministarstva financija SAD-a, ili OFAC, najavio sankcije protiv Tornado Casha, popularni mikser kriptovaluta, zabranjujući Amerikancima korištenje usluge. Mikseri su alati koji spajaju korisničke tokene s skupom drugih sredstava kako bi prikrili identitete uključenih pojedinaca i entiteta.

Carlisle je rekao da postaje očito da su “američka regulatorna tijela spremna krenuti na DeFi usluge koje omogućuju nezakonite aktivnosti.”

GLEDATI: Adrian Hetman iz Immunefija objašnjava kako su hakeri ukrali 200 milijuna dolara