7. januarja 2022 soustanovitelj Ethereuma Vitalik Buterin Opozoril o varnosti mostov med verigami blokov. Previdno je trdil, da premostitvena sredstva med verigami blokov nikoli ne bodo uživala enakih jamstev kot bivanje znotraj ene verige blokov. Imel je prav.
Varna zamenljivost sredstev med verigami blokov ni zagotovljena. Če smo natančni, nihče ne more dejansko "pošljati" ali "premostiti" sredstva v drugo verigo blokov. Namesto tega se sredstva deponirajo, zaklenejo ali zažgejo v eni verigi; nato pripisan, odklenjen ali kovan v drugi verigi.
Še huje, verige blokov ne morejo dostopati do informacij zunaj verige. Nobena veriga blokov ne more izvorno preveriti, ali je katero koli sredstvo z več verigami blokov »premostito«. V najboljšem primeru oraklji tretjih oseb potrdijo resničnost informacij zunaj verige in razlagajo te podatke za uporabo v verigi. Vendar pa to uvaja prvo plast zaupanja v premostitveni proces: zaupanje v podatkovne oraklje. Naslednja plast zaupanja so skrbniki.
Običajno se premostitev izvede tako, da se eno sredstvo deponira pri skrbniku in od skrbnika v drugi verigi blokov prejme "zavito" različico tega sredstva. Uporabnik mora zaupati skrbniku, da bo varoval izvirno sredstvo in sprostil zavito sredstvo.
Včasih je lahko ta skrbnik v obliki DAO ali pametne pogodbe. V vsakem primeru – ne glede na to, ali je DAO ali pravni subjekt, kot je BitGo (skrbnik svetovnega Največji zavito sredstvo, zaviti bitcoin) — premostitev uvaja več ravni zaupanja.
Nadaljujemo, naslednja raven zaupanja je zamenljivost in cenovna pariteta. Preprosto povedano, ni dovolj, da ste prejeli mostno sredstvo. Uporabnik mora poleg tega še naprej zaupati, da bo lahko to sredstvo premostil nazaj v prihodnosti po načelu 1 za 1. Eno izvirno sredstvo mora biti enako enemu zavitemu sredstvu. To je tveganje paritete cene.
Premostitveno sredstvo mora vzdrževati vsaj pariteto z izvirnim sredstvom. Torej na ta način uporabnik zaupa procesu premostitve ne samo v trenutku zamenjave, ampak tudi tako dolgo, dokler bo v prihodnosti uporabljal zavito sredstvo.
Če povzamemo, se vsa varnostna tveganja sredstva eksponentno pomnožijo za njihove premostitvene (ovite) dvojnike.
Vas skrbi, da Tether Limited ne bo unovčil enega USDT za 1 USD? Premostite ta isti USDT z verigo blokov, ki je Tether Limited ne podpira, in vaša tveganja so se pomnožila s skrbnikom(-i), pametnimi pogodbami, likvidnostjo, pariteto cen in predvsem, ali most ne bo pogorel, preden se boste morali vrniti na varnost.
Na nek način so mostovi med verigami blokov kot črvine: prenašajo material po vesolju, vendar se oblikujejo in uničijo spontano.
Pravzaprav je Wormhole ime mosta na svetu z najbolj velikimi začetnicami, ki povezuje verigi blokov Ethereum in Solana. Bilo je kramp — tako kot mnogi mostovi. Spodaj je seznam.
Multichain exploit 19. januarja 2022
Napadalci ukradel 3 milijone dolarjev za izkoriščanje večverižnega mostu navzkrižne verige blokov na začetku leta. Multichain je izdal prvotno sporočilo, zaradi katerega so uporabniki vprašanje ali so njihova sredstva varna. To Opozoril uporabnikom, da umaknejo žetone WETH, MATIC, AVAX, PERI, OMT in WBNB iz prizadetih pametnih pogodb na njegovi platformi.
Večverižni kasneje je dejal en napadalec je vrnil 259 ETH, ukradenih v napadu. Tether zmrznil USDT na naslovih, povezanih z izkoriščanjem.
Qubit exploit 27. januarja 2022
Qubit Finance izgubil 206,809 BNB (80 milijonov USD) pri izkoriščanju QBridge 27. januarja 2022. Projekt je zgradil svoj protokol na Binance Chain.
Izkoriščanje je goljufivo skovalo 77,162 qXETH, ki so jih napadalci lahko unovčili za žetone BNB. Qubit je ponudil pogajanja z napadalcem za povrnitev sredstev.
Izkoriščanje črvine 2. februarja 2022
Napadalci so 120,000. februarja 2 goljufivo skovali 2022 zavitih ETH v Solanino verigo blokov z uporabo mostu Wormhole. Ustvarili so lažni podpisni račun za potrditev svojih transakcij.
Paradigmov raziskovalec je izvedel obratni inženiring napada in ugotovil, da Wormhole ni uspel implementirati robustnejšega protokola preverjanja za svoje podpise skrbnikov.
Izkoriščanje Meter Passport Meter.io 5. februarja 2022
Meter.io's Meter Passport bridge izgubil 4.4 milijona dolarjev v izkoriščanju 5. februarja 2022. Izkoriščanje je bilo usmerjeno na platformo pametnih pogodb Moonriver v Polkadotovem omrežju Kusama. Napadalci so ukradli BNB in zavili ETH ter nato BNB odvrgli na decentralizirano borzo UniSwap.
Ta izkoriščanje je povzročilo padec cen BNB, kar je drugim posameznikom omogočilo, da so pridobili poceni BNB in ga uporabili kot zavarovanje za posojila na platformah, kot je Hundred Crisis. Posojila so povzročila težave z dobavo za prizadete aplikacije za posojila.
Izkoriščanje mostu Ronin 29. marca 2022
Napadalci ukradel 173,600 ETH in 25.5 milijona USDC (približno 600 milijonov USD) z mostu Ronin 29. marca 2022. Izkoriščanje je vključevalo pridobitev dostopa do zasebnih ključev validatorskih vozlišč. Razvijalci mostu Ronin so ustavili pologe in dvige, dokler preiskovalci niso imeli priložnosti ugotoviti, kaj se je zgodilo.
Razvijalci so zgradili Ethereumovo stransko verigo Ronin za igro Axie Infinity, da bi prihranili pri provizijah. Na žalost so ogrozili varnost.
Izkoriščanje WonderHero 7. aprila 2022
čudežni junak odkril izkoriščanje njegovega mostu 7. aprila 2022, ko je vrednost njegovega domačega žetona WND nepričakovano padla za 50 %. V napadu je izgubil 300,000 $ v žetonih WND.
WonderHero je med preiskavo začasno ustavil svojo spletno stran, igro, most, pologe in dvige. Ponovno je zagnal igro, tržnico in sistem donosov. Od takrat, WonderHero objavljene analizo, ki potrjuje, da je bil njegov most Binance ogrožen.
Izkoriščanje Horizon Bridge Harmony One 23. junija 2022
Horizon Bridge družbe Harmony One je 100. junija 23 izgubil 2022 milijonov dolarjev v podvigu. Njegova ekipa je dejal sodelovala je z organi kazenskega pregona in forenzičnimi strokovnjaki, da bi raziskala izkoriščanje. Naslov, uporabljen za prejem ukradenih sredstev, je prejel "Horizon Bridge Exploiter” na Etherscan. Horizon Bridge Exploiter trenutno hrani nekaj več kot 93,000 $ v žetonih.
Preberite več: Mostovi med verigami blokov se vedno znova rušijo, ko je kripto zagon Nomad vdrl za 190 milijonov dolarjev
Izkoriščanje ChainSwap 10. julija 2022
ChainSwap je izgubil 20 milijonov žetonov WILD v eksploataciji 10. julija 2022. Wilder World uporablja WILD kot izvorni žeton. Psevdonimni uporabnik Twitterja in "državljan" divjega sveta opazili izkoriščanje ChainSwap 10. julija 2022. Izkoriščanje je vplivalo tudi na žetone Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank in Unifarm.
ChainSwap je med preiskavo zamrznil svoj most Ethereum-Binance Smart Chain.
Pred tem incidentom, ChainSwap trpel drugi podvig, v katerem je 800,000. julija izgubil 2 $ v žetonih. Uspelo mu je povrniti nekaj teh izgub v tem napadu.
Nomad exploit 2. avgusta 2022
Napadalci ukradel 190 milijonov $ v žetonih z izkoriščanjem ranljivosti v Nomadovi pametni pogodbi 2. avgusta 2022. Ko je metoda, uporabljena za izkoriščanje pametne pogodbe, postala javna, je množični napad izčrpal precejšnjo količino denarja.
CISO Andressena Horowitza predlagano da so bili nekateri roparji morda izkoriščevalci "belih klobukov", ki so želeli preprečiti denar iz rok nečednih akterjev. Nomad je dejal sodelovala je z organi kazenskega pregona in zasebnimi varnostnimi podjetji, da bi preiskala in hvala igralci z belim klobukom, ker so prevzeli pobudo za zaščito sredstev.
Za več informacij nas spremljajte Twitter in Google News ali poslušajte naš raziskovalni podcast Inovirano: Blockchain City.
Vir: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/