Хакерите украдоа 1.4 милијарди долари оваа година користејќи крипто мостови

Крипто-инвеститорите беа тешко погодени оваа година од хакери и измами. Една од причините е тоа што сајбер-криминалците најдоа особено корисен пат за да стигнат до нив: мостови.

Блокчејн мостовите, кои слабо ги поврзуваат мрежите за да овозможат брза размена на токени, добиваат на популарност како начин за трансакции на крипто корисниците. Но, при нивното користење, крипто ентузијастите ја заобиколуваат централизираната размена и користат систем кој во голема мера е незаштитен.

Вкупно околу 1.4 милијарди долари се изгубени поради прекршувањата на овие мостови со вкрстени синџири од почетокот на годината, според бројките од фирмата за блокчејн аналитика Chainalysis. Најголемиот сингл настан беше рекорден товар од 615 милиони долари грабнат од Ronin, мост што ја поддржува популарната незаменлива токен игра Axie Infinity, која им овозможува на корисниците да заработуваат додека играат.

Исто така, имаше и Украдени 320 милиони долари од Wormhole, крипто мост поддржан од фирмата за трговија со висока фреквенција на Волстрит Jump Trading. Во јуни, мостот Хоризонт на Хармонија претрпе напад од 100 милиони долари. И минатата недела, речиси 200 милиони долари беа запленети од хакери во прекршување насочено кон Номад.

„Мостовите на блокчејн станаа ниско овошје за сајбер-криминалците, со крипто средства вредни милијарди долари заклучени во нив“, рече Том Робинсон, ко-основач и главен научник во фирмата за блокчејн аналитика Elliptic, во интервјуто. „Овие мостови беа пробиени од хакери на различни начини, што сугерира дека нивното ниво на безбедност не е во чекор со вредноста на средствата што ги поседуваат“.

Експлоатирањата на мостот се случуваат со неверојатна брзина, имајќи предвид дека тоа е толку нов феномен. Според податоците на Chainalysis, украдената сума при кражби на мостови изнесува 69% од средствата украдени во хакерите поврзани со крипто досега во 2022 година.

Мостот е парче софтвер што му овозможува на некој да испраќа токени од една блокчејн мрежа и да ги прима на посебен синџир. Блокчејновите се дистрибуирани книговодствени системи кои ги поткрепуваат различните криптовалути.

Кога менувате токен од еден синџир на друг - како кога испраќате некои етер од ethereum до мрежата solana - инвеститорот ги депонира токените во паметен договор, парче код на блокчејнот што овозможува договорите да се извршуваат автоматски без човечка интервенција.

Тој крипто потоа се „кова“ на нов блокчејн во форма на таканаречен завиткан токен, што претставува барање за оригиналните етер монети. Тогаш токенот може да се тргува на нова мрежа. Тоа може да биде корисно за инвеститорите кои користат ethereum, кој стана познат по ненадејните скокови во таксите и подолго време на чекање кога мрежата е зафатена.

„Тие обично имаат огромни суми пари“, рече Адријан Хетман, технолошки лидер во фирмата за крипто безбедност Immunefi. „Тие суми на пари, и колку сообраќај поминува низ мостовите, се многу примамлива точка на напад“.

Ранливоста на мостовите може делумно да се проследи до невешт инженеринг.

На пример, хакирањето на мостот Хоризонт на Хармонија беше возможно поради ограничениот број валидатори кои беа потребни за одобрување трансакции. Хакерите требаше да компромитираат само две од вкупно пет сметки за да ги добијат лозинките неопходни за повлекување средства.

Слична ситуација се случи и со Ронин. На хакерите им требаше само да убедат пет од девет валидатори на мрежата да ги предадат своите приватни клучеви за да добијат пристап до крипто заклучени во системот.

Во случајот на Номад, мостот беше многу поедноставен за манипулација на хакерите. Напаѓачите можеа да внесат каква било вредност во системот и потоа да ги повлечат средствата, дури и ако немаше доволно средства депонирани на мостот. Ним не им требаа никакви програмски вештини, а нивните подвизи ги наведоа копирачите да се натрупаат, што доведе до осмата најголема кражба на крипто на сите времиња, според Elliptic.

Номад е нудење на хакери награда до 10% за враќање на корисничките средства и вели дека ќе се воздржи од спроведување правна постапка против сите хакери кои ќе вратат 90% од средствата што ги зеле.

Номад изјави за CNBC дека е „посветен да ја одржува својата заедница ажурирана додека дознава повеќе“ и „ги цени сите оние кои дејствуваа брзо за да ги заштитат средствата“.

Мостовите се суштинска алатка во индустријата за децентрализирани финансии (DeFi), која е алтернатива на крипто за банкарскиот систем.

Со DeFi, наместо централизираните играчи да ги повикуваат снимките, размената на пари се управува со програмабилно парче код наречено паметен договор. Овој договор е напишан на јавен блокчејн, како на пр ethereum or солана, и се извршува кога се исполнети одредени услови, со што се негира потребата од централен посредник. 

„Не можеме едноставно да ги преместиме тие средства“, рече Хетман. „Затоа ни се потребни блокчејн мостови“.

Како што просторот DeFi продолжува да се развива, програмерите ќе треба да ги направат блокчејновите интероперабилни за да обезбедат дека средствата и податоците можат непречено да течат помеѓу мрежите.

„Без нив, средствата се заклучени на матичните синџири“, рече Остон Бунсен, ко-основач на QuikNode, кој обезбедува блокчејн инфраструктура за програмерите и компаниите.

Но, тие се ризични.

„Тие практично не се управувани“, рече Дејвид Карлајл, шеф за регулаторни работи во Elliptic. Тие се „многу ранливи на хакирање или на користење во злосторства како перење пари“.

Криминалците пренеле незаконски стекнати добивки во вредност од најмалку 540 милиони долари преку мостот наречен РенБриџ од 2020 година, според ново истражување што Елиптик и го обезбеди на CNBC.

„Едно големо прашање е дали мостовите ќе станат предмет на регулација, бидејќи тие делуваат многу како крипто размена, кои се веќе регулирани“, рече Карлајл.

Оваа недела Канцеларијата за контрола на странски средства на Министерството за финансии на САД, или OFAC, најави санкции против Торнадо Кеш, популарен миксер за криптовалути, кој им забранува на Американците да ја користат услугата. Мешачите се алатки кои ги спојуваат токените на корисникот со базен од други средства за да ги прикријат идентитетите на вклучените поединци и субјекти.

Карлајл рече дека станува очигледно дека „американските регулатори се подготвени да тргнат по DeFi услугите што ја олеснуваат недозволената активност“.

Види: Адријан Хетман од Immunefi објаснува како хакерите украле 200 милиони долари