7 січня 2022 року співзасновник Ethereum Віталік Бутерін попередили про безпеку крос-блокчейн-мостів. Він передбачливо стверджував, що об’єднання активів через блокчейни ніколи не матиме таких же гарантій, як перебування в одному блокчейні. Він мав рацію.
Безпечна конвертованість активів між блокчейнами не гарантується. Якщо бути точним, ніхто не може фактично ні «надіслати», ні «перевести» актив в інший блокчейн. Натомість активи зберігаються, блокуються або спалюються в одному ланцюжку; потім зараховується, розблоковується або карбується на другому ланцюжку.
Гірше того, блокчейни не можуть отримати доступ до інформації поза мережею. Жоден блокчейн не може нативно перевірити, чи є будь-який мультиблокчейн-актив «мостовим». У кращому випадку сторонні оракули засвідчують правдивість інформації поза мережею та інтерпретують ці дані для використання в мережі. Однак це вводить перший рівень довіри до процесу з’єднання: довіру до оракулів даних. Наступний рівень довіри – зберігачі.
Як правило, з’єднання відбувається шляхом депонування одного активу зберігачу та отримання «загорнутої» версії цього активу від зберігача на другому блокчейні. Користувач повинен довіряти зберігачу як надійне збереження оригінального активу, так і звільнення загорнутого активу.
Іноді цей зберігач може мати форму DAO або смарт-контракту. У будь-якому випадку — будь то DAO чи корпоративна організація, як-от BitGo (зберігач світових найбільших загорнутий актив, загорнутий біткойн) — перемикання вводить кілька рівнів довіри.
Продовжуючи, наступним рівнем довіри є конвертованість і паритет цін. Простіше кажучи, недостатньо отримати актив мосту. Крім того, користувач повинен продовжувати вірити в те, що він зможе відновити цей актив у майбутньому за принципом 1-до-1. Один оригінальний об’єкт має дорівнювати одному загорнутому об’єкту. Це ризик паритету ціни.
Принаймні актив, пов’язаний з мостом, повинен підтримувати паритет із вихідним активом. Отже, таким чином користувач довіряє процесу з’єднання не лише в момент обміну, але й протягом усього часу, доки він буде використовувати загорнутий актив у майбутньому.
Підводячи підсумок, можна сказати, що всі ризики безпеки активу експоненціально множаться для своїх аналогів, пов’язаних з мостом (загорнутих).
Ви стурбовані тим, що Tether Limited не обмінює один USDT на 1 долар? Підключіть той самий USDT до блокчейну, який не підтримується Tether Limited, і ваші ризики збільшаться в рази через зберігача(ів), смарт-контракти, ліквідність, паритет цін і, головне, чи не згорить міст до того, як вам доведеться повернутися до безпеки.
У певному сенсі крос-блокчейн-мости схожі на червоточини: вони транспортують матеріал у просторі, але утворюються та знищуються спонтанно.
Насправді, Wormhole — це назва мосту з найбільшою капіталізацією у світі, який з’єднує блокчейни Ethereum і Solana. Це було зламаний — як і багато мостів. Нижче наведено список.
Багатоланцюговий експлойт 19 січня 2022 року
Зловмисники вкрав 3 мільйони доларів США в експлойті крос-блокчейн-мосту Multichain на початку року. Multichain випустив початкове повідомлення, яке змусило користувачів питання чи були їхні кошти в безпеці. Це попередили користувачам вилучати токени WETH, MATIC, AVAX, PERI, OMT і WBNB із уражених смарт-контрактів на своїй платформі.
Мультичейн пізніше сказав один зловмисник повернув 259 ETH, вкрадених під час атаки. Прив'язати замерзла USDT на адреси, пов’язані з експлойтом.
Експлойт Qubit 27 січня 2022 року
Qubit Finance втрачений 206,809 80 BNB (27 мільйонів доларів США) за експлойт QBridge 2022 січня XNUMX року. Проект створив свій протокол на Binance Chain.
Експлойт шахрайським шляхом викарбував 77,162 XNUMX qXETH, які зловмисники могли обміняти на токени BNB. Qubit запропонував домовитися зі зловмисником, щоб повернути кошти.
Експлойт Wormhole 2 лютого 2022 року
120,000 лютого 2 року зловмисники шахрайським шляхом викарбували 2022 XNUMX загорнутих ETH у блокчейні Solana за допомогою мосту Wormhole. Вони створили обліковий запис підробленого підпису для підтвердження своїх транзакцій.
Дослідник Paradigm спроектував атаку та визначив, що Wormhole не зміг запровадити надійніший протокол перевірки своїх підписів опікунів.
Експлойт Meter Passport від Meter.io 5 лютого 2022 року
Міст Meter Passport від Meter.io втрачений 4.4 мільйона доларів за експлойт 5 лютого 2022 року. Експлойт був націлений на платформу смарт-контрактів Moonriver у мережі Kusama від Polkadot. Зловмисники вкрали BNB і загорнули ETH, а потім скинули BNB на децентралізовану біржу UniSwap.
Цей експлойт спричинив різке падіння цін на BNB, що дозволило іншим особам черпати дешевий BNB і використовувати його як заставу для кредитів на таких платформах, як Hundred Crisis. Позики спричинили проблеми з постачанням програм для кредитування.
Експлуатація мосту Ронін 29 березня 2022 року
Зловмисники вкрав 173,600 25.5 ETH і 600 мільйонів доларів США (близько 29 мільйонів доларів США) з мосту Ronin 2022 березня XNUMX року. Експлойт передбачав отримання доступу до приватних ключів вузлів валідатора. Розробники мосту Ронін призупинили депозити та зняття коштів, доки слідчі не з’ясують, що сталося.
Щоб заощадити на комісії, розробники створили сайдчейн Ronin для гри Axie Infinity. На жаль, вони порушили безпеку.
Експлойт WonderHero 7 квітня 2022 року
Чудо-герой відкритий експлойт свого мосту 7 квітня 2022 року, коли вартість рідного токена WND неочікувано впала на 50%. Під час атаки він втратив 300,000 XNUMX доларів США в токенах WND.
WonderHero призупинив свій веб-сайт, гру, бридж, депозити та зняття коштів під час розслідування. Він перезапустив гру, ринок і систему доходів. Відтоді WonderHero розміщені аналіз, який підтверджує, що його міст Binance був зламаний.
Експлойт Horizon Bridge від Harmony One 23 червня 2022 року
100 червня 23 року Horizon Bridge від Harmony One втратив 2022 мільйонів доларів. Його команда сказав вона співпрацювала з правоохоронними органами та експертами-криміналістами для розслідування експлойту. Адреса, за якою надходили викрадені кошти, отримала позначку «Horizon Bridge Exploiter” на Etherscan. Зараз Horizon Bridge Exploiter зберігає трохи більше 93,000 XNUMX доларів США в жетонах.
Детальніше: Міжблокчейн-мости продовжують ламатися, оскільки крипто-стартап Nomad зламали на 190 мільйонів доларів
Експлойт ChainSwap 10 липня 2022 року
ChainSwap втратив 20 мільйонів токенів WILD через експлойт 10 липня 2022 року. Wilder World використовує WILD як рідний токен. Користувач Twitter під псевдонімом і «громадянин Дикого світу» помітив експлойт ChainSwap 10 липня 2022 року. Експлойт також вплинув на токени Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank і Unifarm.
ChainSwap заморозив свій міст Ethereum-Binance Smart Chain під час розслідування.
До цього випадку ChainSwap страждав інший експлойт, під час якого 800,000 липня він втратив 2 XNUMX доларів США в токенах. Йому вдалося відшкодувати частину цих втрат у цій атаці.
Експлойт Nomad 2 серпня 2022 року
Зловмисники вкрав 190 мільйонів доларів у токенах, використовуючи вразливість у смарт-контракті Nomad 2 серпня 2022 року. Коли метод, використаний для використання смарт-контракту, став публічним, масова атака витягла значну суму грошей.
CISO Андрессена Горовіца запропонований що деякі грабіжники могли бути експлуататорами «білих капелюхів», які мали на меті не допустити потрапляння грошей у руки злочинців. Кочівник сказав вона співпрацювала з правоохоронними органами та приватними охоронними фірмами для розслідування та подякував акторам у білому капелюсі за ініціативу щодо захисту коштів.
Для отримання більш інформованих новин слідкуйте за нами Twitter та Новини Google або послухайте наш підкаст-розслідувач Інновація: Blockchain City.
Джерело: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/