7. jaanuaril 2022 Ethereumi kaasasutaja Vitalik Buterin hoiatas plokiahelatevaheliste sildade turvalisuse kohta. Ta väitis ettenägelikult, et varade ühendamine plokiahelate vahel ei paku kunagi samu tagatisi kui ühes plokiahelas püsimine. Tal oli õigus.
Varade turvaline konverteeritavus plokiahelate vahel ei ole garanteeritud. Täpselt öeldes ei saa keegi tegelikult vara teise plokiahelasse "saata" ega "silda". Selle asemel hoiustatakse, lukustatakse või põletatakse varad ühe ahelaga; seejärel krediteeritakse, avatakse või vermitakse teisele ketile.
Mis veelgi hullem, plokiahelad ei pääse ahelavälisele teabele juurde. Ükski plokiahel ei saa natiivselt kontrollida, kas mis tahes mitmest plokiahelast koosnev vara on "sillatud". Parimal juhul kinnitavad kolmandate osapoolte oraaklid ahelavälise teabe õigsust ja tõlgendavad neid andmeid ahelasiseseks kasutamiseks. See aga toob sildade loomise protsessi sisse esimese usalduskihi: usalduse andmeoraaklite vastu. Järgmine usalduskiht on hooldajad.
Tavaliselt toimub sildamine ühe vara deponeerimisega haldurile ja teise plokiahela haldurilt selle vara "pakitud" versiooni vastuvõtmisega. Kasutaja peab usaldama haldurile nii algse vara hoidmise kui ka pakendatud vara vabastamise.
Mõnikord võib see haldur olla DAO või nutika lepingu vormis. Igal juhul – olgu siis DAO või äriüksus nagu BitGo (maailma halduri suurim pakitud vara, mähitud bitcoin) — sild loob mitu usalduskihti.
Jätkates on järgmiseks usalduse kihiks konverteeritavus ja hinnapariteet. Lihtsamalt öeldes ei piisa sillavara hankimisest. Lisaks peab kasutaja jätkuvalt usaldama, et ta suudab tulevikus selle vara 1-1 eest tagasi osta. Üks algne vara peab võrduma ühe pakendatud varaga. See on hinna pariteedi risk.
Sillatud vara peab vähemalt säilitama võrdsuse algse varaga. Seega usaldab kasutaja sillaprotsessi mitte ainult vahetamise hetkel, vaid ka seni, kuni ta kasutab pakitud vara tulevikus.
Kokkuvõtteks võib öelda, et kõik varaga seotud turvariskid mitmekordistuvad nende sillatud (pakendatud) vastete puhul eksponentsiaalselt.
Kas olete mures selle pärast, et Tether Limited ei lunasta ühte USDT 1 dollari eest? Ühendage see sama USDT plokiahelaga, mida Tether Limited ei toeta ja teie riskid on korrutatud kontohalduri(te), nutikate lepingute, likviidsuse, hinnapariteedi ja ennekõike sellega, kas sild ei põle enne, kui peate tagasi liikuma ohutus.
Mõnes mõttes on plokiahelatevahelised sillad nagu ussiaugud: transpordivad materjali läbi ruumi, kuid tekivad ja hävivad spontaanselt.
Tegelikult on Wormhole maailma kõige suurema kapitaliga silla nimi, mis ühendab Ethereumi ja Solana plokiahelaid. See oli häkkinud — nagu paljud sillad. Allpool on nimekiri.
Mitmeahelaline ärakasutamine 19. jaanuaril 2022
Ründajad varastas 3 miljonit dollarit mitmeahelalise plokiahelatevahelise silla ärakasutamise eest aasta alguses. Multichain väljastas esialgse sõnumi, mis põhjustas kasutajatele selle küsimus kas nende raha oli ohutu. See hoiatas kasutajad võtavad oma platvormil mõjutatud nutikatest lepingutest välja märgid WETH, MATIC, AVAX, PERI, OMT ja WBNB.
Multichain hiljem ütles üks ründaja tagastas rünnakus varastatud 259 ETH-d. Tether külmutas USDT ärakasutamisega seotud aadressidel.
Qubiti ärakasutamine 27. jaanuaril 2022
Qubit Finance kadunud 206,809 80 BNB (27 miljonit dollarit) QBridge'i kasutamisel 2022. jaanuaril XNUMX. Projekt ehitas oma protokolli Binance Chainile.
Ärakasutamine vermiti pettusega 77,162 XNUMX qXETH, mille ründajad said lunastada BNB žetoonide vastu. Qubit pakkus raha tagasisaamiseks ründajaga läbirääkimisi.
Ussiaugu ärakasutamine 2. veebruaril 2022
Ründajad vermisid 120,000. veebruaril 2 pettuse teel Solana plokiahelasse 2022 XNUMX pakitud ETH-d, kasutades Wormhole'i silda. Nad lõid oma tehingute kinnitamiseks võltsitud allkirjakonto.
Paradigma uurija tegi rünnaku pöördprojekteerimisel ja tegi kindlaks, et Wormhole ei suutnud rakendada oma eestkostja allkirjade jaoks tugevamat valideerimisprotokolli.
Meter.io Meter Passporti ärakasutamine 5. veebruaril 2022
Meter.io Meter Passi sild kadunud 4.4 miljonit dollarit 5. veebruaril 2022 toimunud ärakasutamise eest. Ärakasutamine oli suunatud Moonriveri nutika lepingu platvormile Polkadoti Kusama võrgus. Ründajad varastasid BNB ja pakkisid ETH-d ning panid seejärel BNB detsentraliseeritud börsile UniSwap.
See ärakasutamine põhjustas BNB hinna järsu languse, mis võimaldas teistel isikutel odavat BNB-d kätte saada ja kasutada seda laenude tagatisena sellistel platvormidel nagu Hundred Crisis. Laenud põhjustasid mõjutatud laenurakenduste tarneprobleeme.
Ronini silla ekspluatatsioon 29. märtsil 2022
Ründajad varastas 173,600 25.5 ETH ja 600 miljonit USDC (umbes 29 miljonit dollarit) Ronini sillalt 2022. märtsil XNUMX. Ärakasutamine hõlmas juurdepääsu saamist validaatori sõlmede privaatvõtmetele. Ronini silla arendajad peatasid sisse- ja väljamaksed, kuni uurijatel oli võimalus juhtunu kindlaks teha.
Arendajad ehitasid Axie Infinity mängu Ethereumi Ronini külgahela, et säästa tasusid. Kahjuks läksid nad turvalisuse osas järeleandmisi.
WonderHero ärakasutamine 7. aprillil 2022
Imekangelane avastasin 7. aprillil 2022 toimunud silla ärakasutamine, kui selle algse WND-märgi väärtus langes ootamatult 50%. See kaotas rünnakus 300,000 XNUMX dollarit WND žetoonides.
WonderHero peatas uurimise ajaks oma veebisaidi, mängu, silla, sissemaksed ja väljamaksed. See taaskäivitas mängu, turu ja tulusüsteemi. Sellest ajast saadik WonderHero postitanud analüüs, mis kinnitab, et selle Binance'i sild oli ohustatud.
Harmony One'i Horizon Bridge'i eksploateerimine toimub 23. juunil 2022
Harmony One'i Horizon Bridge kaotas 100. juunil 23. aastal 2022 miljonit dollarit. Selle meeskond ütles see tegi ärakasutamise uurimiseks koostööd õiguskaitseasutuste ja kohtuekspertidega. Varastatud raha vastuvõtmiseks kasutatud aadress sai "Horizon Bridge Exploiter” etikett Etherscanil. Horizon Bridge Exploiteril on praegu veidi üle 93,000 XNUMX dollari žetoone.
Loe rohkem: Plokiahelatevahelised sillad purunevad, kuna krüpto-idufirma Nomad häkkis 190 miljoni dollari eest
ChainSwapi ärakasutamine 10. juulil 2022
ChainSwap kaotas 20. juulil 10 2022 miljonit WILD-märki. Wilder World kasutab WILD-i oma algmärgina. Pseudonüümiga Twitteri kasutaja ja Wilder Worldi "kodanik" märkasin ChainSwapi ärakasutamine 10. juulil 2022. Eelkasutamine mõjutas ka Antimatteri, Optionroomi, Umbrellabanki, Nordi, Razori, Peri, Unido, Oro, Vortexi, Blanki ja Unifarmi märke.
ChainSwap külmutas oma Ethereum-Binance Smart Chain silla uurimise ajaks.
Enne seda juhtumit ChainSwap kannatanud järjekordne ärakasutamine, mille käigus ta kaotas 800,000. juulil 2 XNUMX dollarit žetoonides. Tal õnnestus osa sellest rünnakust saadud kahjudest tagasi teenida.
Nomadi ärakasutamine 2. augustil 2022
Ründajad varastas 190 miljoni dollari väärtuses žetoone, kasutades ära Nomadi nutika lepingu haavatavust 2. augustil 2022. Kui nutika lepingu ärakasutamise meetod avalikuks sai, tühjendas massirünnak märkimisväärse summa raha.
Andressen Horowitzi CISO soovitas et mõned rüüstajad võisid olla "valge mütsi" ärakasutajad, kelle eesmärk oli hoida raha pahatahtlike näitlejate käest eemal. Nomaad ütles see tegi koostööd õiguskaitseasutuste ja eraturvafirmadega, et uurida ja tänas valge mütsi näitlejad, kes võtsid initsiatiivi raha kaitsta.
Täpsemate uudiste saamiseks jälgige meid puperdama ja Google'i uudised või kuulake meie uurivat podcasti Uuendatud: Blockchain City.
Allikas: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/