De ce hackerii continuă să exploateze podurile cross-blockchain

Pe 7 ianuarie 2022, cofondatorul Ethereum Vitalik Buterin a avertizat despre securitatea podurilor cross-blockchain. El a susținut în mod predictiv că realizarea de punți între activele blockchain-urilor nu s-ar bucura niciodată de aceleași garanții ca și a rămâne într-un singur blockchain. El a avut dreptate.

Convertibilitatea în siguranță a activelor între blockchain nu este garantată. Pentru a fi precis, nimeni nu poate „trimite” sau „pune” un activ către un alt blockchain. În schimb, activele sunt depuse, blocate sau arse pe un lanț; apoi creditat, deblocat sau bătut pe al doilea lanț.

Mai rău, blockchain-urile nu pot accesa informațiile din afara lanțului. Niciun blockchain nu poate verifica în mod nativ că orice activ multi-blockchain este „conectat”. În cel mai bun caz, oracolele terțe atestă veridicitatea informațiilor în afara lanțului și interpretează acele date pentru utilizare în lanț. Cu toate acestea, aceasta introduce primul nivel de încredere în procesul de legătură: încrederea în oracolele de date. Următorul nivel de încredere este custozii.

De obicei, legătura are loc prin depunerea unui activ la un custode și primirea unei versiuni „împachetate” a acelui activ de la custode pe al doilea blockchain. Utilizatorul trebuie să aibă încredere în custode, atât pentru a păstra în siguranță bunul original, cât și pentru a elibera bunul împachetat.

Uneori, acest custode poate lua forma unui DAO sau a unui contract inteligent. În orice caz, fie că este un DAO sau o entitate corporativă precum BitGo (depozitul lumii cea mai mare activ împachetat, împachetat bitcoin) — punerea în punte introduce mai multe straturi de încredere.

Continuând, următorul nivel de încredere este convertibilitatea și paritatea prețurilor. Mai simplu spus, nu este suficient să fi primit un activ de punte. În plus, un utilizator trebuie să continue să aibă încredere în faptul că va putea restabili acel activ în viitor pe o bază de 1 pentru 1. Un activ original trebuie să fie egal cu un material împachetat. Acesta este riscul de paritate a prețurilor.

Cel puțin, activul conectat trebuie să mențină paritatea cu activul inițial. Deci, în acest fel, utilizatorul are încredere în procesul de conectare nu doar în momentul schimbului, ci și atâta timp cât folosește un activ împachetat în viitor.

În rezumat, toate riscurile de securitate ale unui activ se înmulțesc exponențial pentru omologii lor cu punte (împachetat).

Vă îngrijorează faptul că Tether Limited nu va răscumpăra un USDT pentru 1 USD? Conectează același USDT cu un blockchain care nu este acceptat de Tether Limited, iar riscurile tale s-au multiplicat cu custode(i), contracte inteligente, lichiditate, paritatea prețurilor și, mai ales, dacă puntea nu se va arde înainte de a trebui să treci înapoi la Siguranță.

Într-un fel, punțile cross-blockchain sunt ca niște găuri de vierme: transportă material prin spațiu, dar se formează și se anihilează spontan.

De fapt, Wormhole este numele celui mai bine capitalizat pod din lume, care leagă blockchain-urile Ethereum și Solana. Era tocat — la fel ca multe poduri. Mai jos este o listă.

Exploatare multichain pe 19 ianuarie 2022

atacatorii furat 3 milioane USD într-o exploatare a podului Multichain cross-blockchain la începutul anului. Multichain a emis mesaje inițiale care i-au determinat pe utilizatori întrebare dacă fondurile lor erau în siguranță. Aceasta a avertizat utilizatorii să retragă jetoanele WETH, MATIC, AVAX, PERI, OMT și WBNB din contractele inteligente afectate de pe platforma sa.

Multichain mai târziu a spus un atacator a returnat 259 ETH furate în atac. Pripon înghețat USDT pentru adresele legate de exploit.

Exploatare Qubit pe 27 ianuarie 2022

Finanțe Qubit pierdut 206,809 BNB (80 milioane USD) într-un exploit al QBridge pe 27 ianuarie 2022. Proiectul și-a construit protocolul pe Binance Chain.

Exploatarea a bătut în mod fraudulos 77,162 qXETH, pe care atacatorii le-ar putea răscumpăra pentru jetoane BNB. Qubit s-a oferit să negocieze cu atacatorul pentru a recâștiga fondurile.

Qubit încearcă să stabilească contactul cu un hacker.

Exploatare Wormhole pe 2 februarie 2022

Atacatorii au bătut în mod fraudulos 120,000 de ETH împachetate pe blockchain-ul Solana folosind podul Wormhole pe 2 februarie 2022. Au creat un cont de semnătură falsificat pentru a-și valida tranzacțiile.

Un cercetător de la Paradigm a efectuat o inginerie inversă a atacului și a stabilit că Wormhole nu a reușit să implementeze un protocol de validare mai robust pentru semnăturile sale de gardian.

tl;dr – Wormhole nu a validat în mod corespunzător toate conturile de intrare, ceea ce i-a permis atacatorului să falsifice semnăturile gardienilor și să bată 120,000 de ETH pe Solana, dintre care 93,750 au adus înapoi la Ethereum.
- samczsun (@samczsun) 3 Februarie 2022

Un cercetător explică pierderea de mai multe sute de milioane de dolari a Wormhole.

Exploatarea Meter Passport de la Meter.io pe 5 februarie 2022

Podul Meter Passport de la Meter.io pierdut 4.4 milioane USD într-un exploit pe 5 februarie 2022. Exploatarea a vizat platforma de contract inteligent Moonriver din rețeaua Kusama a Polkadot. Atacatorii au furat BNB și au împachetat ETH și apoi au aruncat BNB-ul pe schimbul descentralizat UniSwap.

Acest exploat a provocat o scădere a prețului BNB, care a permis altor persoane să obțină BNB ieftin și să-l folosească drept garanție pentru împrumuturi pe platforme precum Hundred Crisis. Împrumuturile au cauzat probleme de aprovizionare pentru aplicațiile de împrumut afectate.

1. În jurul orei 6 dimineața, ora Pacificului, am identificat că cineva a putut profita de o vulnerabilitate a podului pentru a bate o cantitate mare de jetoane BNB și WETH și a epuizat rezerva de pod pentru BNB pe WETH.
— ⚡️Meter.io⚡️ (@Meter_IO) 5 Februarie 2022

Wrapped Ethereum nu este același lucru cu Ethereum.

Exploatare Podul Ronin pe 29 martie 2022

atacatorii furat 173,600 ETH și 25.5 milioane USDC (aproximativ 600 milioane USD) de la podul Ronin pe 29 martie 2022. Exploatarea a implicat obținerea accesului la cheile private ale nodurilor validatoare. Dezvoltatorii podului Ronin au oprit depunerile și retragerile până când anchetatorii au avut șansa de a determina ce s-a întâmplat.

Dezvoltatorii au creat jocul Axie Infinity Ethereum's Ronin sidechain pentru a economisi taxe. Din păcate, au compromis securitatea.

Nu poți inventa asta
Hacker fură 600 de milioane de dolari în ETH de la blockchain-ul Ronin, care stă la baza lui Axie
Hackerul trece apoi pe scurt Ronin și AXS (jetonul Axie) știind, de îndată ce apar știri, că tokenurile vor scădea
Dar NIMENI nu observă și ei sunt lichidați în scurt timp înainte de apariția știrilor
— Eric Golden ??? (@ericgoldenx) Martie 29, 2022

Așa-numitul joc „play to earn” al lui Axie Infinity a pierdut 600 de milioane de dolari din banii utilizatorilor săi.

Exploata WonderHero pe 7 aprilie 2022

erou minune a descoperit o exploatare a podului său pe 7 aprilie 2022, când valoarea jetonului său nativ WND a scăzut în mod neașteptat cu 50%. A pierdut 300,000 USD în jetoane WND în atac.

WonderHero și-a întrerupt site-ul, jocul, bridge-ul, depunerile și retragerile în timp ce investiga. A repornit jocul, piața și sistemul de randament. De atunci, WonderHero postat o analiză care confirmă că podul său Binance a fost compromis.

Exploatarea Harmony One's Horizon Bridge pe 23 iunie 2022

Harmony One's Horizon Bridge a pierdut 100 de milioane de dolari într-un exploit pe 23 iunie 2022. Echipa sa a spus lucra cu autoritățile de aplicare a legii și experți în criminalistică pentru a investiga exploatarea. Adresa folosită pentru a primi fondurile furate a primit un „Horizon Bridge Exploiter” pe Etherscan. Horizon Bridge Exploiter deține în prezent puțin peste 93,000 USD în jetoane.

1/ Echipa Harmony a identificat un furt survenit în această dimineață pe podul Horizon în valoare de cca. 100 de milioane de dolari. Am început să lucrăm cu autoritățile naționale și cu specialiști criminaliști pentru a identifica vinovatul și a recupera fondurile furate.
Mai Mult ?
— Armonia? (@harmonyprotocol) 23 Iunie, 2022

Hackerii fură 100 de milioane de dolari de pe podul cross-blockchain al Harmony ONE.

Citeşte mai mult: Punțile cross-blockchain continuă să se rupă pe măsură ce startup-ul cripto Nomad a piratat pentru 190 de milioane de dolari

Exploatare ChainSwap pe 10 iulie 2022

ChainSwap a pierdut 20 de milioane de jetoane WILD într-un exploit pe 10 iulie 2022. Wilder World folosește WILD ca simbol nativ. Un utilizator pseudonim de Twitter și „cetățean” din Wilder World a observat exploit-ul ChainSwap din 10 iulie 2022. Exploatarea a afectat și jetoanele Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank și Unifarm.

ChainSwap și-a înghețat puntea Ethereum-Binance Smart Chain în timp ce investiga.

Înainte de acest incident, ChainSwap a suferit un alt exploit în care a pierdut 800,000 USD în jetoane pe 2 iulie. A reușit să recupereze o parte din acele pierderi în acel atac.

Exploata Nomad pe 2 august 2022

atacatorii furat 190 de milioane de dolari în jetoane prin exploatarea unei vulnerabilități din contractul inteligent al lui Nomad din 2 august 2022. Odată ce metoda folosită pentru exploatarea contractului inteligent a devenit publică, un atac în masă a scurs o sumă considerabilă din bani.

CISO al lui Andressen Horowitz sugerat că unii jefuitori ar fi putut fi exploatatori de „pălărie albă” cu scopul de a ține banii departe de mâinile actorilor nefericiți. Nomad a spus lucra cu firmele de aplicare a legii și de securitate privată pentru a investiga și mulțumit actorii pălărie albă pentru că au luat inițiativa de a proteja fondurile.

Pentru știri mai informate, urmăriți-ne pe Twitter și Știri Google sau ascultați podcastul nostru de investigație Inovat: Blockchain City.

Sursa: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/