7. tammikuuta 2022, Ethereumin perustaja Vitalik Buterin varoitti lohkoketjujen välisten siltojen turvallisuudesta. Hän väitti ennalta, että varojen yhdistäminen lohkoketjujen välillä ei koskaan saisi samoja takeita kuin pysyminen yhdessä lohkoketjussa. Hän oli oikeassa.
Omaisuuden turvallista vaihdettavuutta lohkoketjujen välillä ei taata. Tarkemmin sanottuna kukaan ei voi "lähettää" tai "sillata" omaisuutta toiseen lohkoketjuun. Sen sijaan omaisuus talletetaan, lukitaan tai poltetaan yhteen ketjuun. sitten hyvitetään, avataan tai lyödään toiseen ketjuun.
Mikä pahempaa, lohkoketjut eivät pääse käsiksi ketjun ulkopuoliseen tietoon. Mikään lohkoketju ei voi natiivisti varmistaa, että mikä tahansa usean lohkoketjun omaisuus on "sillattu". Parhaimmillaan kolmannen osapuolen oraakkelit todistavat ketjun ulkopuolisten tietojen todenmukaisuuden ja tulkitsevat tiedot ketjun sisäistä käyttöä varten. Tämä tuo kuitenkin ensimmäisen luottamuksen kerroksen siltausprosessiin: luottamuksen tietooraakkeleihin. Seuraava luottamuskerros on huoltajat.
Tyypillisesti siltaus tapahtuu tallettamalla yksi omaisuus säilyttäjälle ja vastaanottamalla "pakattu" versio kyseisestä omaisuudesta toisessa lohkoketjussa olevalta säilyttäjältä. Käyttäjän tulee luottaa säilytykseen sekä alkuperäisen omaisuuden säilyttämiseen että pakatun omaisuuden vapauttamiseen.
Joskus tämä säilytysyhteisö voi olla DAO:n tai älykkään sopimuksen muodossa. Joka tapauksessa - olipa kyseessä DAO tai yrityskokonaisuus, kuten BitGo (maailman suurin kääritty omaisuus, kääritty bitcoin) — silta muodostaa useita luottamustasoja.
Jatkossa seuraava luottamustaso on vaihdettavuus ja hintapariteetti. Yksinkertaisesti sanottuna ei riitä, että olet saanut siltaomaisuuden. Käyttäjän on lisäksi jatkettava luottamusta siihen, että hän pystyy palauttamaan kyseisen omaisuuden tulevaisuudessa 1-1-periaatteella. Yhden alkuperäisen sisällön on oltava yhtä kuin yksi kääritty sisältö. Tämä on hintapariteettiriski.
Silloitetun omaisuuden on vähintään säilytettävä pariteetti alkuperäisen sisällön kanssa. Tällä tavalla käyttäjä siis luottaa siltausprosessiin, ei vain vaihtohetkellä, vaan myös niin kauan, kun hän käyttää käärettyä omaisuutta tulevaisuudessa.
Yhteenvetona voidaan todeta, että kaikki omaisuuden tietoturvariskit lisääntyvät eksponentiaalisesti silloitettujen (käärittyjen) vastineidensa osalta.
Oletko huolissasi siitä, että Tether Limited ei lunasta yhtä USDT:tä 1 dollarilla? Siirrä sama USDT lohkoketjuun, jota Tether Limited ei tue, ja riskisi ovat moninkertaistuneet säilyttäjä(e)llä, älykkäillä sopimuksilla, likviditeetillä, hintapariteetilla ja ennen kaikkea sillä, eikö silta pala ennen kuin sinun täytyy palata takaisin turvallisuutta.
Tietyllä tavalla lohkoketjujen väliset sillat ovat kuin madonreikiä: ne kuljettavat materiaalia avaruuden poikki, mutta muodostuvat ja tuhoutuvat spontaanisti.
Itse asiassa Wormhole on maailman parhaiten kirjoitetun sillan nimi, joka yhdistää Ethereumin ja Solanan lohkoketjut. Se oli hakkeroitu - kuten monet sillat. Alla on luettelo.
Moniketjuinen hyödyntäminen 19
hyökkääjät varasti 3 miljoonaa dollaria Multichain cross-blockchain -sillan hyväksikäytössä vuoden alussa. Multichain julkaisi alustavan viestin, joka sai käyttäjät siihen kysymys olivatko heidän varat turvassa. Se varoitti käyttäjät voivat poistaa tunnukset WETH, MATIC, AVAX, PERI, OMT ja WBNB alustallaan koskevista älykkäistä sopimuksista.
Moniketju myöhemmin sanoi yksi hyökkääjä palautti 259 hyökkäyksessä varastettua ETH:ta. Lieka jäädytti USDT hyväksikäyttöön linkitetyistä osoitteista.
Qubitin hyväksikäyttö 27. tammikuuta 2022
Qubit Finance menetetty 206,809 80 BNB (27 miljoonaa dollaria) QBridgen hyväksikäytössä 2022. tammikuuta XNUMX. Projekti rakensi protokollansa Binance Chainille.
Hyökkäys loi vilpillisesti 77,162 XNUMX qXETH:tä, jonka hyökkääjät saattoivat lunastaa BNB-tokeneiksi. Qubit tarjoutui neuvottelemaan hyökkääjän kanssa varojen takaisin saamiseksi.
Madonreiän hyväksikäyttö 2. helmikuuta 2022
Hyökkääjät lyöivät vilpillisesti 120,000 2 käärittyä ETH:ta Solanan lohkoketjuun Wormhole-sillan avulla 2022. helmikuuta XNUMX. He loivat väärennetyn allekirjoitustilin vahvistaakseen tapahtumansa.
Paradigman tutkija käänsi hyökkäyksen ja totesi, että Wormhole ei ollut onnistunut toteuttamaan vankempaa validointiprotokollaa huoltajiensa allekirjoituksille.
Meter.io:n Meter Passport -hyökkäys 5
Meter.io:n Meter Passport -silta menetetty 4.4 miljoonaa dollaria hyväksikäytössä 5. helmikuuta 2022. Hyödyntämisen kohteena oli Moonriverin älykäs sopimusalusta Polkadotin Kusama-verkossa. Hyökkääjät varastivat BNB:n ja käärivät ETH:n ja heittivät sitten BNB:n hajautettuun UniSwap-pörssiin.
Tämä hyväksikäyttö aiheutti BNB:n hinnan romahduksen, mikä antoi muille henkilöille mahdollisuuden saada halpoja BNB:tä ja käyttää sitä lainojen vakuutena sellaisilla alustoilla kuin Hundred Crisis. Lainat aiheuttivat toimitusongelmia asianomaisille lainasovelluksille.
Ronin-sillan hyväksikäyttö 29. maaliskuuta 2022
hyökkääjät varasti 173,600 25.5 ETH:ta ja 600 miljoonaa USDC (noin 29 miljoonaa dollaria) Ronin-sillalta 2022. maaliskuuta XNUMX. Hyödyntämiseen sisältyi validointisolmujen yksityisten avainten saaminen. Ronin-sillan kehittäjät pysäyttivät talletukset ja nostot, kunnes tutkijoilla oli mahdollisuus selvittää, mitä tapahtui.
Kehittäjät rakensivat Axie Infinity -pelin Ethereumin Ronin-sivuketjun säästääkseen maksuissa. Valitettavasti he vaaransivat turvallisuuden.
WonderHero hyödyntää 7. huhtikuuta 2022
Wonder Hero löysi sen sillan hyväksikäyttö 7. huhtikuuta 2022, jolloin sen alkuperäisen WND-tunnuksen arvo putosi yllättäen 50 %. Se menetti hyökkäyksessä 300,000 XNUMX dollaria WND-tokeneina.
WonderHero keskeytti verkkosivustonsa, pelinsä, siltansa, talletuksensa ja kotiutuksensa tutkiessaan. Se käynnisti pelin, markkinapaikan ja tuottojärjestelmän uudelleen. Siitä lähtien WonderHero posted analyysi, joka vahvistaa, että sen Binance-silta oli vaarantunut.
Harmony Onen Horizon Bridge -silta 23. kesäkuuta 2022
Harmony Onen Horizon Bridge menetti 100 miljoonaa dollaria hyväksikäytössä 23. kesäkuuta 2022. Sen tiimi sanoi se teki yhteistyötä lainvalvontaviranomaisten ja oikeuslääketieteen asiantuntijoiden kanssa tutkiakseen hyväksikäyttöä. Varastettujen varojen vastaanottamiseen käytetty osoite sai "Horizon Bridge Exploiter” etiketti Etherscanissa. Horizon Bridge Exploiterilla on tällä hetkellä hieman yli 93,000 XNUMX dollaria rahakkeita.
ChainSwap-hyödyntäminen 10. heinäkuuta 2022
ChainSwap menetti 20 miljoonaa WILD-merkkiä hyväksikäytössä 10. heinäkuuta 2022. Wilder World käyttää WILDiä alkuperäisenä tunnuksenaan. Pseudonyymi Twitter-käyttäjä ja Wilder Worldin "kansalainen" huomasin ChainSwap-hyödyntäminen 10. heinäkuuta 2022. Hyökkäys vaikutti myös Antimatter-, Optionroom-, Umbrellabank-, Nord-, Razor-, Peri-, Unido-, Oro-, Vortex-, Blank- ja Unifarm-tokeneihin.
ChainSwap jäädytti Ethereum-Binance Smart Chain -sillansa tutkiessaan.
Ennen tätä tapausta ChainSwap kärsi toinen hyökkäys, jossa se menetti 800,000 2 dollaria rahakkeina XNUMX. heinäkuuta. Se onnistui kompensoimaan osan tappioista tuossa hyökkäyksessä.
Nomad exploit 2. elokuuta 2022
hyökkääjät varasti 190 miljoonaa dollaria tokeneita hyödyntämällä Nomadin älykkään sopimuksen haavoittuvuutta 2. elokuuta 2022. Kun älykkään sopimuksen hyödyntämismenetelmä tuli julkisuuteen, joukkohyökkäys vei huomattavan määrän rahaa.
Andressen Horowitzin CISO ehdotti että jotkut ryöstäjät saattoivat olla "valkohattuisia" riistäjiä, jotka pyrkivät pitämään rahat poissa pahantahtoisten toimijoiden käsistä. Nomad sanoi se työskenteli lainvalvontaviranomaisten ja yksityisten turvallisuusyritysten kanssa tutkiakseen ja kiitti valkohattu toimijoita aloitteesta varojen suojaamiseksi.
Saat lisätietoja uutisista seuraamalla meitä Twitter ja Google Uutiset tai kuuntele tutkivaa podcastiamme Innovoitu: Blockchain City.
Lähde: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/