Зошто хакерите продолжуваат да ги искористуваат мостовите со вкрстени блокчејн?

На 7 јануари 2022 година, ко-основачот на Ethereum, Виталик Бутерин предупреди за безбедноста на вкрстените блокчејн мостови. Тој претпазливо тврдеше дека премостувањето на средствата преку блокчејн никогаш нема да ги ужива истите гаранции како да останете во еден блокчејн. Тој беше во право.

Сигурната конвертибилност на средствата помеѓу блокчејновите не е загарантирана. Да бидеме прецизни, никој всушност не може да „испрати“ ниту да „премости“ средство на друг блокчејн. Наместо тоа, средствата се депонираат, заклучуваат или согоруваат на еден синџир; потоа се кредитираат, отклучуваат или се коваат на вториот синџир.

Уште полошо, блокчејновите не можат да пристапат до информации надвор од синџирот. Ниту еден блокчејн не може природно да потврди дека било кое средство со повеќе блокчејн е „премостено“. Во најдобар случај, пророците од трета страна ја потврдуваат вистинитоста на информациите надвор од синџирот и ги толкуваат тие податоци за употреба во синџир. Сепак, ова го воведува првиот слој на доверба во процесот на премостување: доверба во пророштвата за податоци. Следниот слој на доверба се чуварите.

Вообичаено, премостувањето се случува со депонирање на едно средство кај чувар на имот и добивање на „завиткана“ верзија на тоа средство од чуварот на вториот блокчејн. Корисникот мора да му верува на чуварот и да го чува оригиналното средство и да го ослободи завитканото средство.

Понекогаш, овој чувар може да има форма на DAO или паметен договор. Во секој случај - дали DAO или корпоративен ентитет како BitGo (чувар на светот најголемиот завиткано средство, завиткан биткоин) — премостувањето воведува неколку слоеви на доверба.

Продолжувајќи, следниот слој на доверба е конвертибилноста и паритетот на цената. Едноставно кажано, не е доволно да се има добиено средство за мост. Корисникот мора дополнително да продолжи да верува дека ќе може да го премости тоа средство назад во иднина на основа 1-за-1. Едно оригинално средство мора да биде еднакво на едно завиткано средство. Ова е ризик за паритет на цените.

Во најмала рака, премостеното средство мора да одржува паритет со оригиналното средство. Така, на овој начин, корисникот има доверба во процесот на премостување не само во моментот на замена, туку и онолку долго колку што користи завиткано средство во иднина.

Накратко, сите безбедносни ризици на средството се множат експоненцијално за нивните премостени (завиткани) колеги.

Загрижени сте поради тоа што Tether Limited не откупува еден USDT за 1 $? Премостете го истиот USDT на блокчејн кој не е поддржан од Tether Limited и вашите ризици се помножија со чувар(и), паметни договори, ликвидност, паритет на цените и најмногу од сè, дали мостот нема да изгори пред да треба да се вратите назад до безбедноста.

На некој начин, вкрстените мостови се како црви дупки: тие пренесуваат материјал низ вселената, но тие се формираат и се уништуваат спонтано.

Всушност, Wormhole е името на најдобро капитализираниот мост во светот, кој ги поврзува блокчените на Ethereum и Solana. Беше пробиени - како и многу мостови. Подолу е листа.

Multichain експлоатација на 19 јануари 2022 година

Напаѓачи украле 3 милиони долари во експлоатација на Multichain cross-blockchain мостот на почетокот на годината. Multichain издаде првични пораки што ги натера корисниците да прашање дали нивните средства биле безбедни. Тоа предупреди корисниците да ги повлечат токените WETH, MATIC, AVAX, PERI, OMT и WBNB од засегнатите паметни договори на неговата платформа.

Повеќе синџир подоцна рече еден напаѓач вратил 259 ETH украдени во нападот. Тетер замрзна USDT на адресите поврзани со експлоатацијата.

Qubit експлоатација на 27 јануари 2022 година

Кјубит финансии изгубени 206,809 BNB (80 милиони долари) во експлоатација на QBridge на 27 јануари 2022 година. Проектот го изгради својот протокол на Binance Chain.

Експлоатот со измама склопил 77,162 qXETH, кои напаѓачите можеле да ги откупат за BNB токени. Кубит се понуди да преговара со напаѓачот за да ги врати средствата.

Qubit се обидува да воспостави контакт со хакер.

Wormhole exploit на 2 февруари 2022 година

Напаѓачите со измама исковале 120,000 завиткани ETH на блокчејнот на Солана користејќи го мостот Wormhole на 2 февруари 2022 година. Тие создадоа лажна сметка за потпис за да ги потврдат нивните трансакции.

Истражувач на парадигмата го направи обратно инженерството на нападот и утврди дека Wormhole не успеал да имплементира поцврст протокол за валидација за неговите потписи за чувари.

tl;dr – Wormhole не ги потврди правилно сите влезни сметки, што му дозволи на напаѓачот да ги измами потписите на старателот и да наметне 120,000 ETH на Солана, од кои тие премостија 93,750 назад кон Ethereum.
- samczsun (@samczsun) Февруари 3, 2022

Истражувач ја објаснува загубата на Wormhole од стотина милиони долари.

Експлоатација на Meter Passport на Meter.io на 5 февруари 2022 година

Meter.io's Meter Passport мост изгубени 4.4 милиони долари во експлоатација на 5 февруари 2022 година. Искористувањето беше насочено кон платформата за паметни договори Moonriver на мрежата Кусама на Polkadot. Напаѓачите го украле BNB и го завиткале ETH, а потоа го фрлиле BNB на децентрализираната размена UniSwap.

Оваа експлоатација предизвика драстичен пад на цената на BNB што им овозможи на другите поединци да купат евтина BNB и да ја користат како колатерал за заеми на платформи како Hundred Crisis. Заемите предизвикаа проблеми со снабдувањето на погодените апликации за заем.

1. Околу 6:XNUMX часот по Пацифик, идентификувавме дека некој може да ја искористи ранливоста на мостот за да намета голема количина токени BNB и WETH и ја исцрпи резервата на мостот за BNB на WETH.
— ⚡️Meter.io⚡️ (@Meter_IO) Февруари 5, 2022

Завитканиот Ethereum не е исто што и Ethereum.

Експлоатација на мостот Ронин на 29 март 2022 година

Напаѓачи украле 173,600 ETH и 25.5 милиони USDC (околу 600 милиони американски долари) од мостот Ронин на 29 март 2022 година. Искористувањето вклучуваше добивање пристап до приватните клучеви на јазлите за валидација. Програмерите на мостот Ронин ги запреа депозитите и повлекувањата се додека иследниците немаа шанса да утврдат што се случило.

Програмерите го изградија страничниот синџир на Ronin на играта Axie Infinity на Ethereum за да заштедат на такси. За жал, тие направија компромиси за безбедноста.

Не можете да го измислите ова
Хакер украде 600 милиони долари во ETH од блокчејнот Ronin, кој е во основата на Axie
Хакерот потоа оди кратко Ronin & AXS (Axie токен) знаејќи штом ќе се објави вест дека токените ќе паднат
Но, НИКОЈ не забележува и тие се ликвидираат кратко пред да се појават вести
- Ерик Голден ??? (@ericgoldenx) Март 29, 2022

Таканаречената игра „игра за заработка“ на Axie Infinity изгуби 600 милиони долари од парите на своите корисници.

WonderHero експлоатација на 7 април 2022 година

ВондерХерој Откриени експлоатација на неговиот мост на 7 април 2022 година, кога вредноста на неговиот мајчин WND токен неочекувано падна за 50%. Во нападот изгуби 300,000 долари во WND токени.

WonderHero ја паузираше својата веб-страница, игра, мост, депозити и повлекувања додека истражуваше. Ги рестартираше играта, пазарот и системот за принос. Оттогаш, WonderHero испратени анализа која потврдува дека неговиот Binance мост е компромитиран.

Експлоатација на Horizon Bridge на Harmony One на 23 јуни 2022 година

Horizon Bridge на Harmony One изгуби 100 милиони долари во експлоатација на 23 јуни 2022 година. Нејзиниот тим рече работеше со органите за спроведување на законот и експертите за форензика за да го истражат искористувањето. Адресата што се користела за примање на украдените средства добила „Експлоататор на мостот Хоризонт” етикета на Etherscan. Horizon Bridge Exploiter моментално има нешто повеќе од 93,000 долари во токени.

1/ Тимот на Хармонија идентификуваше кражба што се случила утрово на мостот Хоризонт во вредност од околу. 100 милиметри долари. Почнавме да работиме со националните власти и форензичарите за да го идентификуваме виновникот и да ги извадиме украдените средства.
Повеќе ?
- Хармонија? (@harmonyprotocol) Јуни 23, 2022

Хакери украле 100 милиони долари од вкрстениот блокчејн мост на Harmony ONE.

Прочитајте повеќе за: Вкрстените блокчејн мостови продолжуваат да се кршат додека крипто стартапот Nomad беше хакиран за 190 милиони долари

ChainSwap експлоатација на 10 јули 2022 година

ChainSwap изгуби 20 милиони WILD токени во експлоатација на 10 јули 2022 година. Wilder World го користи WILD како свој мајчин токен. Псевдонимен корисник на Твитер и „граѓанин“ на Вајлдер Ворлд забележав експлоатацијата ChainSwap на 10 јули 2022 година. Искористувањето влијаеше и на Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank и Unifarm токени.

ChainSwap го замрзна својот Ethereum-Binance Smart Chain мост додека истражуваше.

Пред овој инцидент, ChainSwap страдаше уште еден експлоат во кој изгуби 800,000 долари во токени на 2 јули. Успеа да надомести дел од тие загуби во тој напад.

Номад експлоатација на 2 август 2022 година

Напаѓачи украле 190 милиони долари во токени со искористување на ранливоста во паметниот договор на Номад на 2 август 2022 година. Откако методот што се користеше за искористување на паметниот договор стана јавен, масовниот напад одзема значителна сума пари.

CISO на Андресен Хоровиц предложи дека некои ограбувачи можеби биле експлоататори на „белата капа“ со цел да ги задржат парите подалеку од рацете на злобните актери. Номад рече работеше со органите на прогонот и приватните безбедносни фирми за да се истражи и се заблагодари актерите од белата капа за преземање иницијатива за заштита на средствата.

За повеќе информирани вести, следете не Twitter Google News или слушајте го нашиот истражувачки подкаст Иновирани: Blockchain City.

Извор: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/