מדוע האקרים ממשיכים לנצל גשרים חוצי בלוקצ'יין

ב-7 בינואר 2022, מייסד שותף של Ethereum Vitalik Buterin מוזהר על האבטחה של גשרים צולבים בלוקצ'יין. הוא טען מראש שגישור נכסים על פני בלוקצ'יין לעולם לא ייהנה מאותן ערבויות כמו הישארות בתוך בלוקצ'יין אחד. הוא צדק.

ההמרה הבטוחה של נכסים בין בלוקצ'יין אינה מובטחת. ליתר דיוק, אף אחד לא באמת יכול "לשלוח" או "לגשר" על נכס לבלוקצ'יין אחר. במקום זאת, נכסים מופקדים, נעולים או נשרפים על שרשרת אחת; לאחר מכן זוכה, נפתח או נטבע בשרשרת השנייה.

גרוע מכך, blockchains לא יכולים לגשת למידע מחוץ לשרשרת. אף בלוקצ'יין לא יכול לאמת באופן מקורי שכל נכס מרובה בלוקצ'יין הוא "מגושר". במקרה הטוב, אורקולים של צד שלישי מעידים על אמיתות המידע מחוץ לשרשרת ומפרשים נתונים אלה לשימוש בשרשרת. עם זאת, זה מציג את השכבה הראשונה של אמון לתהליך הגישור: אמון באורקל נתונים. השכבה הבאה של אמון היא אפוטרופוסים.

בדרך כלל, גישור מתרחש על ידי הפקדת נכס אחד אצל אפוטרופוס וקבלת גרסה "עטופה" של נכס זה מהאפוטרופוס בבלוקצ'יין השני. על המשתמש לסמוך על האפוטרופוס שישמור בבטחה את הנכס המקורי וגם ישחרר את הנכס העטוף.

לפעמים, האפוטרופוס הזה יכול ללבוש צורה של DAO או חוזה חכם. בכל מקרה - בין אם DAO או ישות תאגידית כמו BitGo (האפוטרופוס של העולם הגדול ביותר נכס עטוף, ביטקוין עטוף) - גישור מציג כמה שכבות של אמון.

המשך, השכבה הבאה של אמון היא המרה ושוויון מחירים. במילים פשוטות, זה לא מספיק לקבל נכס גשר. משתמש חייב בנוסף להמשיך ולסמוך על כך שהוא יוכל לגשר על הנכס הזה בעתיד על בסיס 1 על 1. נכס מקורי אחד חייב להיות שווה לנכס עטוף אחד. זהו סיכון שווי מחיר.

לכל הפחות, הנכס המגושר חייב לשמור על שוויון עם הנכס המקורי. אז, בדרך זו, המשתמש סומך על תהליך הגישור לא רק ברגע ההחלפה, אלא גם כל עוד הוא משתמש בנכס עטוף בעתיד.

לסיכום, כל סיכוני האבטחה של נכס מתרבים באופן אקספוננציאלי עבור עמיתיהם המגושרים (העטופים).

מודאג מכך ש-Tether Limited לא מממשת USDT אחד תמורת $1? גשר את אותו USDT לבלוקצ'יין שאינו נתמך על ידי Tether Limited והסיכונים שלך הוכפלו באפוטרופוס(ים), חוזים חכמים, נזילות, שווי מחירים, ובעיקר, האם הגשר לא יישרף לפני שתצטרך לעבור חזרה אל בְּטִיחוּת.

במובן מסוים, גשרים חוצי בלוקצ'יין הם כמו חורי תולעת: הם מעבירים חומר על פני החלל, אבל הם נוצרים ומשמידים באופן ספונטני.

למעשה, חור תולעת הוא שמו של הגשר בעל הנכסים הטובים ביותר בעולם, המקשר בין שרשראות הבלוק של את'ריום וסולנה. זה היה פרוצים - כמו גשרים רבים. להלן רשימה.

Multichain exploit ב-19 בינואר 2022

תוקפים צָעִיף 3 מיליון דולר בניצול של גשר ה-Multichain Cross-blockchain בתחילת השנה. Multichain הוציא הודעות ראשוניות שגרמו למשתמשים לעשות זאת שאלה האם הכספים שלהם בטוחים. זה מוזהר משתמשים למשוך את האסימונים WETH, MATIC, AVAX, PERI, OMT ו-WBNB מהחוזים החכמים המושפעים בפלטפורמה שלה.

Multichain מאוחר יותר אמר תוקף אחד החזיר 259 ETH שנגנבו בהתקפה. לִקְשׁוֹר קפא USDT על כתובות המקושרות לניצול.

Qubit exploit ב-27 בינואר 2022

קוביט פיננסים אבוד 206,809 BNB (80 מיליון דולר) בניצול של QBridge ב-27 בינואר 2022. הפרויקט בנה את הפרוטוקול שלו על Binance Chain.

הניצול הטביע במרמה 77,162 qXETH, שהתוקפים יכלו לפדות עבור אסימוני BNB. קוביט הציעה לנהל משא ומתן עם התוקף כדי להחזיר את הכספים.

קוביט מנסה ליצור קשר עם האקר.

ניצול חור תולעת ב-2 בפברואר 2022

התוקפים טבעו במרמה 120,000 ETH עטופים בבלוקצ'יין של סולאנה באמצעות גשר חור התולעת ב-2 בפברואר 2022. הם יצרו חשבון חתימה מזויפת כדי לאמת את העסקאות שלהם.

חוקר פרדיגמה ביצע הנדסה לאחור של המתקפה וקבע כי Wormhole לא הצליח ליישם פרוטוקול אימות חזק יותר עבור חתימות האפוטרופוס שלו.

tl;dr – חור תולעת לא אימת כראוי את כל חשבונות הקלט, מה שאפשר לתוקף לזייף חתימות אפוטרופוס ולטבע 120,000 ETH בסולנה, מתוכם הם גישרו 93,750 בחזרה ל-Ethereum.
- samczsun (@samczsun) פברואר 3, 2022

חוקר מסביר את ההפסד של חור תולעת של מאות מיליון דולר.

ניצול Meter Passport של Meter.io ב-5 בפברואר 2022

גשר Meter Passport של Meter.io אבוד 4.4 מיליון דולר בניצול ב-5 בפברואר 2022. הניצול כוון לפלטפורמת החוזה החכם Moonriver ברשת Kusama של Polkadot. התוקפים גנבו BNB ועטפו את ה-ETH ואז השליכו את ה-BNB לבורסה המבוזרת UniSwap.

ניצול זה גרם לצניחת מחירי BNB שאפשרה לאנשים אחרים לגרוף BNB זול ולהשתמש בו כבטחון להלוואות בפלטפורמות כמו Hundred Crisis. ההלוואות גרמו לבעיות אספקה עבור אפליקציות ההלוואה המושפעות.

1. בסביבות 6:XNUMX שעון האוקיינוס השקט זיהינו שמישהו הצליח למנף פגיעות של הגשר כדי להטביע כמות גדולה של אסימוני BNB ו-WETH ומדלדל את עתודת הגשר עבור BNB ב-WETH.
— ⚡️Meter.io⚡️ (@Meter_IO) פברואר 5, 2022

Ethereum עטוף אינו זהה ל-Ethereum.

ניצול גשר רונין ב-29 במרץ 2022

תוקפים צָעִיף 173,600 ETH ו-25.5 מיליון USDC (כ-600 מיליון דולר) מגשר רונין ב-29 במרץ 2022. הניצול כלל השגת גישה למפתחות הפרטיים של צמתי האימות. היזמים של גשר רונין עצרו את ההפקדות והמשיכות עד שהייתה לחוקרים הזדמנות לקבוע מה קרה.

מפתחים בנו את Ronin sidechain של משחק Axie Infinity של Ethereum כדי לחסוך בעמלות. למרבה הצער, הם התפשרו על האבטחה.

אתה לא יכול להמציא את זה
האקר גונב $600 מ"מ ב-ETH מרונין בלוקצ'יין זה שעומד בבסיס Axie
לאחר מכן האקר מפסיק את רונין ו-AXS (אסימון Axie) בידיעה ברגע שמתפרסמות חדשות שאסימונים יצנחו
אבל אף אחד לא שם לב והם מתחסלים זמן קצר לפני שפורסמו חדשות
- אריק גולדן ??? (@ericgoldenx) במרץ 29, 2022

המשחק המכונה "שחק כדי להרוויח" של Axie Infinity הפסיד 600 מיליון דולר מכספי המשתמשים שלו.

ניצול WonderHero ב-7 באפריל, 2022

גיבור פלא גילה ניצול של הגשר שלה ב-7 באפריל 2022, כאשר ערכו של אסימון ה-WND המקומי שלו צנח במפתיע ב-50%. הוא הפסיד 300,000 דולר באסימוני WND בהתקפה.

WonderHero השהתה את האתר, המשחק, הברידג', ההפקדות והמשיכות שלו תוך כדי חקירה. זה הפעיל מחדש את המשחק, השוק ומערכת התשואה. מאז, WonderHero פורסם ניתוח המאשר שגשר Binance שלו נפרץ.

הניצול של Harmony One's Horizon Bridge ב-23 ביוני 2022

Harmony One's Horizon Bridge הפסיד 100 מיליון דולר בניצול ב-23 ביוני 2022. הצוות שלה אמר היא עבדה עם רשויות אכיפת החוק ומומחים לזיהוי פלילי כדי לחקור את הניצול. הכתובת ששימשה לקבלת הכספים הגנובים קיבלה "מנצל גשר אופק" תווית ב-Etherscan. The Horizon Bridge Exploiter מחזיק כרגע קצת יותר מ-$93,000 באסימונים.

1/ צוות הרמוני זיהה גניבה שהתרחשה הבוקר על גשר הורייזון בהיקף של כ. 100 מיליון דולר. התחלנו לעבוד עם רשויות לאומיות ומומחי זיהוי פלילי כדי לזהות את האשם ולהחזיר את הכספים הגנובים.
יותר ?
- הרמוניה? (@harmonyprotocol) יוני 23, 2022

האקרים גונבים 100 מיליון דולר מהגשר חוצה בלוקצ'יין של Harmony ONE.

קרא עוד: גשרים חוצי בלוקצ'יין ממשיכים להישבר כאשר סטארט-אפ הקריפטו Nomad פרץ תמורת 190 מיליון דולר

ניצול של ChainSwap ב-10 ביולי 2022

ChainSwap איבדה 20 מיליון אסימוני WILD בניצול ב-10 ביולי 2022. Wilder World משתמש ב-WILD כאסימון המקורי שלה. משתמש בטוויטר בדוי ו"אזרח" של Wilder World שם לב ניצול ה-ChainSwap ב-10 ביולי 2022. הניצול השפיע גם על אסימוני Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank ו-Unifarm.

ChainSwap הקפיאה את גשר ה-Ethereum-Binance Smart Chain שלה בזמן שחקרה.

לפני האירוע הזה, ChainSwap סבל ניצול נוסף שבו היא הפסידה 800,000$ באסימונים ב-2 ביולי. היא הצליחה להחזיר חלק מההפסדים הללו באותה מתקפה.

ניצול נוודים ב-2 באוגוסט 2022

תוקפים צָעִיף 190 מיליון דולר באסימונים על ידי ניצול פגיעות בחוזה החכם של Nomad ב-2 באוגוסט 2022. ברגע שהשיטה המשמשת לניצול החוזה החכם הפכה לגלויה, התקפה המונית גררה כמות ניכרת מהכסף.

ה-CISO של אנדרסן הורוביץ מוצע שחלק מהבוזזים היו אולי מנצלי "כובע לבן" שמטרתם להרחיק כסף מידיהם של שחקנים מרושעים. נווד אמר היא עבדה עם רשויות אכיפת החוק וחברות אבטחה פרטיות כדי לחקור ו הודה שחקני הכובע הלבן על היוזמה להגן על כספים.

לחדשות מושכלות יותר, עקבו אחרינו טויטר ו חדשות גוגל או האזינו לפודקאסט התחקיר שלנו חדש: Blockchain City.

מקור: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/