Цього року хакери вкрали 1.4 мільярда доларів за допомогою криптомостів

Цього року криптоінвестори сильно постраждали від хакерів і шахрайства. Однією з причин є те, що кіберзлочинці знайшли особливо корисний шлях до них: мости.

Мости блокчейну, які ненадійно з’єднують мережі для швидкого обміну токенів, набувають популярності як спосіб для користувачів криптовалюти здійснювати транзакції. Але використовуючи їх, криптоентузіасти обходять централізований обмін і використовують систему, яка в основному є незахищеною.

Згідно з даними аналітичної фірми Chainalysis, в цілому близько 1.4 мільярда доларів США було втрачено через злами цих міжланцюгових мостів з початку року. Найбільшою окремою подією стала рекордні 615 мільйонів доларів вилучено з Ronin, бридж, що підтримує популярну гру з незамінними токенами Axie Infinity, яка дозволяє користувачам заробляти гроші під час гри.

Був також 320 мільйонів доларів вкрадено з Wormhole, криптоміст, який підтримує фірма високочастотної торгівлі з Уолл-стріт Jump Trading. У червні міст Harmony Horizon зазнав атаки на 100 мільйонів доларів. А минулого тижня, майже 200 мільйонів доларів було захоплено хакерами під час порушення, націленого на Nomad.

«Блокчейн-мости стали невибагливим плодом для кіберзлочинців, у них заблоковано криптоактиви на мільярди доларів», — сказав в інтерв’ю Том Робінсон, співзасновник і головний науковий співробітник аналітичної фірми блокчейнів Elliptic. «Ці мости були зламані хакерами різними способами, що свідчить про те, що їхній рівень безпеки не встигає за вартістю активів, якими вони володіють».

Експлуатації мостів відбуваються з вражаючою швидкістю, враховуючи, що це таке нове явище. Згідно з даними Chainalysis, сума, викрадена під час пограбувань мостів, становить 69% коштів, викрадених під час хакерських операцій, пов’язаних із криптовалютою, у 2022 році.

Міст — це частина програмного забезпечення, яка дозволяє комусь надсилати токени з однієї мережі блокчейну та отримувати їх в окремому ланцюжку. Блокчейни — це системи розподіленої книги, які лежать в основі різних криптовалют.

При переміщенні токена з одного ланцюга на інший — як при надсиланні деяких ефір від ethereum до мережі solana — інвестор вкладає токени в смарт-контракт, фрагмент коду в блокчейні, який дозволяє автоматично виконувати угоди без втручання людини.

Потім ця криптовалюта «карбується» на новому блокчейні у формі так званого загорнутого токена, який представляє претензію на оригінальні ефірні монети. Потім токен можна торгувати в новій мережі. Це може бути корисно для інвесторів, які використовують Ethereum, який став сумно відомим раптовими стрибками комісії та довшим часом очікування, коли мережа зайнята.

«Зазвичай вони тримають величезні суми грошей», — сказав Адріан Гетман, технічний керівник фірми криптобезпеки Imunefi. «Ці суми грошей і те, скільки транспорту проходить через мости, є дуже привабливою точкою атаки».

Вразливість мостів частково пояснюється неакуратним проектуванням.

Злом Harmony's Horizon bridge, наприклад, став можливим через обмежену кількість валідаторів, необхідних для затвердження транзакцій. Хакерам потрібно було зламати лише два з п’яти облікових записів, щоб отримати паролі, необхідні для виведення коштів.

Схожа ситуація сталася і з Роніном. Хакерам потрібно було лише переконати п’ятьох із дев’яти валідаторів у мережі передати свої закриті ключі, щоб отримати доступ до крипто, заблокованого в системі.

У випадку з Nomad хакерам було набагато простіше маніпулювати мостом. Зловмисники могли ввести будь-яку суму в систему, а потім вивести кошти, навіть якщо в бриджі було недостатньо активів. Їм не потрібні були навички програмування, і їхні подвиги змусили наслідувати наслідувачів, що призвело до восьмої за величиною крадіжки криптовалюти всіх часів, згідно з Elliptic.

Кочівник є пропозиція хакерів винагороду до 10% за повернення коштів користувачів і заявляє, що утримається від судових позовів проти будь-яких хакерів, які повернуть 90% активів, які вони забрали.

Nomad сказав CNBC, що «прагне тримати свою спільноту в курсі новин, коли вона дізнається більше», і «цінує всіх тих, хто швидко діяв, щоб захистити кошти».

Мости є важливим інструментом у індустрії децентралізованих фінансів (DeFi), яка є альтернативою криптовалют банківській системі.

За допомогою DeFi замість того, щоб централізовані гравці вирішували питання, обмін грошима управляється програмованим фрагментом коду під назвою смарт-контракт. Цей договір укладено на публічному блокчейні, наприклад Ефіріума or солана, і він виконується, коли виконуються певні умови, заперечуючи потребу в центральному посереднику. 

«Ми не можемо просто перемістити ці активи», – сказав Гетьман. «Ось чому нам потрібні блокчейн-мости».

Оскільки простір DeFi продовжує розвиватися, розробникам потрібно буде зробити блокчейни сумісними, щоб забезпечити безперебійний перетік ресурсів і даних між мережами.

«Без них активи заблоковані на нативних ланцюгах», — сказав Остон Бансен, співзасновник QuikNode, який надає інфраструктуру блокчейнів розробникам і компаніям.

Але вони ризиковані.

«Вони фактично нерегульовані», — сказав Девід Карлайл, керівник відділу регулятивних питань Elliptic. Вони «дуже вразливі до хакерів або використання в таких злочинах, як відмивання грошей».

Згідно з даними, з 540 року злочинці перевели через міст під назвою RenBridge щонайменше 2020 мільйонів доларів США. нові дослідження який компанія Elliptic надала CNBC.

«Одне головне питання полягає в тому, чи будуть мости підлягати регулюванню, оскільки вони діють дуже схоже на криптобіржі, які вже регулюються», — сказав Карлайл.

Цього тижня Управління з контролю за іноземними активами Міністерства фінансів США (OFAC) оголосила про санкції проти Tornado Cash, популярний міксер криптовалют, що забороняє американцям користуватися цим сервісом. Змішувачі — це інструменти, які поєднують токени користувача з пулом інших коштів, щоб приховати особи залучених осіб і організацій.

Карлайл сказав, що стає очевидним, що «регулюючі органи США готові переслідувати сервіси DeFi, які сприяють незаконній діяльності».

Дивитись: Adrian Hetman з Immunefi пояснює, як хакери вкрали 200 мільйонів доларів