Hekerji so letos z uporabo kripto mostov ukradli 1.4 milijarde dolarjev

Kripto vlagatelje so letos močno prizadeli vdori in prevare. Eden od razlogov je, da so kiberkriminalci našli posebno uporabno pot do njih: mostove.

Blockchain mostovi, ki tanko povezujejo omrežja in omogočajo hitro zamenjavo žetonov, postajajo vse bolj priljubljeni kot način za transakcije uporabnikov kriptovalut. Toda pri njihovi uporabi kripto navdušenci zaobidejo centralizirano izmenjavo in uporabljajo sistem, ki je večinoma nezaščiten.

Po podatkih podjetja Chainalysis, ki se ukvarja z analizo veriženja blokov, je bilo od začetka leta zaradi vdorov na teh medverižnih mostovih izgubljenih skupaj okoli 1.4 milijarde dolarjev. Največji posamični dogodek je bil rekordnih 615 milijonov dolarjev ugrabljen iz Ronina, mosta, ki podpira priljubljeno igro z nezamenljivimi žetoni Axie Infinity, ki uporabnikom omogoča služenje denarja med igranjem.

Tam je bil tudi 320 milijonov $ ukradenih iz Wormhole, kripto most, ki ga podpira Wall Street podjetje za visokofrekvenčno trgovanje Jump Trading. Junija je Harmonyjev most Horizon utrpel napad, vreden 100 milijonov dolarjev. In prejšnji teden, hekerji so zasegli skoraj 200 milijonov dolarjev pri vdoru, ki cilja na Nomad.

"Mostovi veriženja blokov so postali nizko viseči plod za kibernetske kriminalce, v njih so zaklenjena kripto sredstva v vrednosti milijard dolarjev," je v intervjuju povedal Tom Robinson, soustanovitelj in glavni znanstvenik pri analitičnem podjetju Elliptic za veriženje blokov. "Te mostove so hekerji vdrli na različne načine, kar kaže na to, da njihova raven varnosti ni v koraku z vrednostjo sredstev, ki jih imajo."

Izkoriščanja mostov se pojavljajo z osupljivo hitrostjo, glede na to, da gre za tako nov pojav. Po podatkih Chainalysis znesek, ukraden pri ropu mostov, predstavlja 69 % sredstev, ukradenih pri vdorih, povezanih s kripto, doslej leta 2022.

Most je del programske opreme, ki nekomu omogoča, da pošlje žetone iz enega omrežja blockchain in jih prejme v ločeni verigi. Blockchains so sistemi porazdeljene knjige, ki podpirajo različne kriptovalute.

Pri zamenjavi žetona iz ene verige v drugo - kot pri pošiljanju eter od ethereuma do omrežja solana — vlagatelj vloži žetone v pametno pogodbo, kos kode v verigi blokov, ki omogoča samodejno izvajanje dogovorov brez človeškega posredovanja.

Ta kriptovaluta se nato "skova" na novo verigo blokov v obliki tako imenovanega zavitega žetona, ki predstavlja terjatev na prvotnih kovancih ether. Z žetonom je nato mogoče trgovati v novem omrežju. To je lahko koristno za vlagatelje, ki uporabljajo ethereum, ki je postal znan po nenadnih skokih provizij in daljših čakalnih dobah, ko je omrežje zasedeno.

"Običajno imajo ogromne količine denarja," je dejal Adrian Hetman, vodja tehnologije pri podjetju za kripto varnost Imunefi. "Ti zneski denarja in koliko prometa gre skozi mostove so zelo vabljiva točka napada."

Ranljivost mostov je delno posledica površnega inženiringa.

Vdor v Harmonyjev most Horizon je bil na primer mogoč zaradi omejenega števila validatorjev, ki so bili potrebni za odobritev transakcij. Hekerji so morali ogroziti le dva od skupno petih računov, da so pridobili gesla, potrebna za dvig sredstev.

Podobna situacija se je zgodila z Roninom. Hekerji so morali le prepričati pet od devetih validatorjev v omrežju, da predajo svoje zasebne ključe, da bi pridobili dostop do kriptovalute, zaklenjene znotraj sistema.

V Nomadovem primeru je bil most za hekerje veliko enostavnejši za manipulacijo. Napadalci so lahko v sistem vnesli katero koli vrednost in nato dvignili sredstva, tudi če v mostu ni bilo dovolj sredstev. Niso potrebovali nobenih veščin programiranja in njihovi podvigi so privedli do kopice posnemovalcev, kar je privedlo do osme največje kraje kriptovalut vseh časov, poroča Elliptic.

Nomad je ponujanje hekerjev nagrado do 10 % za povrnitev sredstev uporabnikov in pravi, da se bo vzdržal sodnih postopkov proti vsem hekerjem, ki vrnejo 90 % sredstev, ki so jih vzeli.

Nomad je za CNBC povedal, da je "zavezan obveščanju svoje skupnosti, ko izve več" in "ceni vse tiste, ki so hitro ukrepali, da bi zaščitili sredstva."

Mostovi so bistveno orodje v industriji decentraliziranih financ (DeFi), ki je kripto alternativa bančnemu sistemu.

Z DeFi, namesto centraliziranih igralcev, ki odločajo, izmenjave denarja upravlja programabilni del kode, imenovan pametna pogodba. Ta pogodba je napisana na javni verigi blokov, kot je npr ethereum or solarij, in se izvede, ko so izpolnjeni določeni pogoji, kar zanika potrebo po osrednjem posredniku. 

"Teh sredstev ne moremo preprosto premakniti," je dejal Hetman. "Zato potrebujemo mostove blockchain."

Ker se prostor DeFi še naprej razvija, bodo morali razvijalci verige blokov narediti interoperabilne, da zagotovijo nemoten pretok sredstev in podatkov med omrežji.

"Brez njih so sredstva zaklenjena na domačih verigah," je dejal Auston Bunsen, soustanovitelj QuikNode, ki razvijalcem in podjetjem zagotavlja infrastrukturo blockchain.

Vendar so tvegani.

"Pravzaprav so neupravljani," je dejal David Carlisle, vodja regulativnih zadev pri Elliptiku. So "zelo ranljivi za vdore ali uporabo pri kaznivih dejanjih, kot je pranje denarja."

Kriminalci so od leta 540 prek mostu, imenovanega RenBridge, nakazali najmanj 2020 milijonov dolarjev nezakonito pridobljene premoženjske koristi. nove raziskave ki jih je Elliptic posredoval CNBC.

"Eno od glavnih vprašanj je, ali bodo mostovi postali predmet regulacije, saj delujejo podobno kot kriptovalute, ki so že regulirane," je dejal Carlisle.

Ta teden je Urad za nadzor tujih sredstev ameriškega ministrstva za finance ali OFAC, napovedal sankcije proti Tornado Cash, priljubljenega mešalnika kriptovalut, ki Američanom prepoveduje uporabo storitve. Mešalniki so orodja, ki združujejo uporabnikove žetone z naborom drugih sredstev, da prikrijejo identiteto vpletenih posameznikov in subjektov.

Carlisle je dejal, da postaja očitno, da so "ameriški regulatorji pripravljeni slediti storitvam DeFi, ki omogočajo nedovoljene dejavnosti."

WATCH: Adrian Hetman iz podjetja Immunefi pojasnjuje, kako so hekerji ukradli 200 milijonov dolarjev