7. januara 2022. suosnivač Ethereuma Vitalik Buterin upozorio o sigurnosti cross-blockchain mostova. On je pronicljivo tvrdio da premošćivanje sredstava preko blockchaina nikada neće uživati iste garancije kao ostanak unutar jednog blockchaina. Bio je u pravu.
Sigurna konvertibilnost sredstava između blockchaina nije zajamčena. Da budemo precizni, niko zapravo ne može „poslati“ niti „premostiti“ sredstvo na drugi blockchain. Umjesto toga, sredstva se deponuju, zaključavaju ili spaljuju na jednom lancu; zatim pripisan, otključan ili kovan na drugom lancu.
Još gore, blockchains ne mogu pristupiti informacijama izvan lanca. Nijedan blockchain ne može izvorno potvrditi da je bilo koja multi-blockchain imovina “premoštena”. U najboljem slučaju, proročanstva treće strane potvrđuju istinitost informacija izvan lanca i tumače te podatke za upotrebu na lancu. Međutim, ovo uvodi prvi sloj povjerenja u proces premošćavanja: povjerenje u proročišta podataka. Sljedeći sloj povjerenja su skrbnici.
Tipično, premošćivanje se dešava deponovanjem jednog sredstva kod čuvara i primanjem „upakovane“ verzije tog sredstva od čuvara na drugom blockchainu. Korisnik mora vjerovati skrbniku da će sigurno čuvati originalno sredstvo i osloboditi umotano sredstvo.
Ponekad ovaj skrbnik može biti u obliku DAO-a ili pametnog ugovora. U svakom slučaju — bilo da je DAO ili korporativni entitet kao što je BitGo (čuvar svjetskih najveći omotana imovina, zamotan bitcoin) — premošćavanje uvodi nekoliko slojeva povjerenja.
Nastavljajući, sljedeći sloj povjerenja je konvertibilnost i paritet cijena. Jednostavnije rečeno, nije dovoljno dobiti sredstvo za premošćivanje. Korisnik dodatno mora i dalje vjerovati da će moći premostiti tu imovinu u budućnosti na bazi 1-za-1. Jedan originalni materijal mora biti jednak jednom umotanom materijalu. Ovo je rizik pariteta cijena.
U najmanju ruku, premošteno sredstvo mora održati paritet sa originalnim sredstvom. Dakle, na ovaj način korisnik ima povjerenje u proces premošćavanja ne samo u trenutku zamjene, već i sve dok koristi omotano sredstvo u budućnosti.
Ukratko, svi sigurnosni rizici sredstva eksponencijalno se umnožavaju za njihove premoštene (umotane) kolege.
Zabrinuti ste zbog toga što Tether Limited neće otkupiti jedan USDT za 1 USD? Premostite taj isti USDT na blockchain koji nije podržan od strane Tether Limited i vaši rizici su se pomnožili sa skrbnikom(ima), pametnim ugovorima, likvidnošću, paritetom cijena, i prije svega, da li most neće izgorjeti prije nego što se morate vratiti na sigurnost.
Na neki način, cross-blockchain mostovi su poput crvotočina: prenose materijal kroz svemir, ali se spontano formiraju i uništavaju.
U stvari, Wormhole je naziv mosta sa najvećim kapitalom na svijetu, koji povezuje blokove Ethereuma i Solane. Bilo je hakovan — kao i mnogi mostovi. Ispod je lista.
Multichain exploit 19. januara 2022
Napadači ukrao 3 miliona dolara u eksploataciji Multichain cross-blockchain mosta početkom godine. Multichain je izdao početnu poruku koja je navela korisnike da pitanje da li su njihova sredstva sigurna. To upozorio korisnici da povuku tokene WETH, MATIC, AVAX, PERI, OMT i WBNB iz pogođenih pametnih ugovora na svojoj platformi.
Multichain kasnije rekao jedan napadač je vratio 259 ETH ukradenih u napadu. Tether zamrznula USDT na adresama povezanim sa eksploatacijom.
Qubit exploit 27. januara 2022
Qubit Finance izgubljen 206,809 BNB (80 miliona dolara) u eksploataciji QBridge-a 27. januara 2022. Projekat je izgradio svoj protokol na Binance Chain-u.
Eksploatacija je na prevaru iskovala 77,162 qXETH, koje su napadači mogli otkupiti za BNB tokene. Qubit je ponudio da pregovara sa napadačem kako bi povratio sredstva.
Eksploatacija crvotočine 2. februara 2022
Napadači su 120,000. februara 2. na prevaru iskovali 2022 umotanih ETH na Solanin blockchain koristeći Wormhole bridge. Napravili su lažni račun s potpisom kako bi potvrdili svoje transakcije.
Istraživač Paradigme je izvršio reverzni inženjering napada i utvrdio da Wormhole nije uspio implementirati robusniji protokol validacije za svoje potpise čuvara.
Meter.io-ov Meter Passport eksploatacija 5. februara 2022
Meter.io-ov Meter Passport most izgubljen 4.4 miliona dolara u eksploataciji 5. februara 2022. Eksploatacija je bila usmjerena na platformu pametnih ugovora Moonriver na Polkadot-ovoj Kusama mreži. Napadači su ukrali BNB i umotali ETH, a zatim bacili BNB na decentralizovanu berzu UniSwap.
Ova eksploatacija izazvala je pad cijena BNB-a koji je omogućio drugim pojedincima da pokupe jeftinu BNB i koriste je kao kolateral za kredite na platformama poput Hundred Crisis. Zajmovi su izazvali probleme u opskrbi zahvaćenih kreditnih aplikacija.
Eksploatacija Ronin mosta 29. marta 2022
Napadači ukrao 173,600 ETH i 25.5 miliona USDC (oko 600 miliona dolara) sa Ronin mosta 29. marta 2022. Eksploatacija je uključivala dobijanje pristupa privatnim ključevima čvorova validatora. Programeri Ronin mosta zaustavili su depozite i povlačenja dok istražitelji nisu imali priliku da utvrde šta se dogodilo.
Programeri su napravili bočni lanac Ronin igre Axie Infinity Ethereum kako bi uštedjeli na naknadama. Nažalost, ugrozili su sigurnost.
WonderHero eksploatacija 7. aprila 2022
Wonder Hero otkrili eksploataciju njegovog mosta 7. aprila 2022., kada je vrijednost njegovog izvornog WND tokena neočekivano pala za 50%. Izgubio je 300,000 dolara u WND tokenima u napadu.
WonderHero je pauzirao svoju web stranicu, igru, bridge, depozite i isplate dok je istraživao. Ponovo je pokrenuo igru, tržište i sistem prinosa. Od tada, WonderHero objavljeno analizu koja potvrđuje da je njegov Binance most kompromitovan.
Eksploatacija Harmony One Horizon Bridgea 23. juna 2022
Horizon Bridge Harmony One izgubio je 100 miliona dolara u eksploataciji 23. juna 2022. Njegov tim rekao radilo je sa organima za provođenje zakona i forenzičkim stručnjacima na istrazi eksploatacije. Adresa korištena za primanje ukradenih sredstava dobila je “Horizon Bridge Exploiter” oznaka na Etherscanu. Horizon Bridge Exploiter trenutno drži nešto više od 93,000 dolara u tokenima.
Čitaj više: Mostovi unakrsnih blokova i dalje se lome dok je kripto startup Nomad hakirao za 190 miliona dolara
ChainSwap exploit 10. jula 2022
ChainSwap je izgubio 20 miliona WILD tokena u eksploataciji 10. jula 2022. Wilder World koristi WILD kao svoj izvorni token. Pseudonimni korisnik Twittera i "građanin" Wilder Worlda primetio eksploatacija ChainSwap 10. jula 2022. Eksploatacija je takođe uticala na tokene Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank i Unifarm.
ChainSwap je zamrznuo svoj Ethereum-Binance Smart Chain most dok je istraživao.
Prije ovog incidenta, ChainSwap patila još jedan eksploat u kojem je izgubio 800,000 dolara u tokenima 2. jula. Uspio je nadoknaditi neke od tih gubitaka u tom napadu.
Nomad eksploatacija 2. avgusta 2022
Napadači ukrao 190 miliona dolara u tokenima iskorištavanjem ranjivosti u Nomadovom pametnom ugovoru 2. avgusta 2022. Kada je metoda korištena za iskorišćavanje pametnog ugovora postala javna, masovni napad je izvukao znatnu količinu novca.
CISO Andressena Horowitza predložio da su neki pljačkaši mogli biti eksploatatori "bijelih šešira" koji imaju za cilj da zadrže novac iz ruku podlih aktera. Nomad rekao radilo je sa organima za sprovođenje zakona i privatnim bezbednosnim firmama na istrazi i thanked akteri bijelih šešira zbog preuzimanja inicijative za zaštitu fondova.
Za detaljnije vijesti, pratite nas cvrkut i Google vesti ili poslušajte naš istraživački podcast Inovirano: Blockchain City.
Izvor: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/