האנוסים

האקרים גנבו השנה 1.4 מיליארד דולר באמצעות גשרי קריפטו

08/10/2022
חדשות Ethereum של ביטקוין

כריית מטבעות קריפטו השני בעלות הערך בעולם ב-Evobits IT SRL מהנדס בודק יחידות עיבוד גרפיות של AMD (GPU) בחוות הקריפטו Evobits בקלוז'-נאפוקה, רומניה, ביום רביעי, 22 בינואר, 2021. המטבע הקריפטו השני בעלות הערך, Ethereum, עלה השנה ב-75%, והקדים את יריבו הגדול יותר ביטקוין. צלם: Akos Stiller/Bloomberg דרך Getty Images

צלם: Akos Stiller/Bloomberg דרך Getty Images

משקיעי קריפטו נפגעו קשות השנה מפריצות והונאות. אחת הסיבות היא שפושעי סייבר מצאו דרך שימושית במיוחד להגיע אליהם: גשרים.

גשרי בלוקצ'יין, המחברים באופן קלוש רשתות כדי לאפשר החלפה מהירה של אסימונים, צוברים פופולריות כדרך למשתמשי קריפטו לבצע עסקאות. אבל בשימוש בהם, חובבי קריפטו עוקפים בורסה ריכוזית ומשתמשים במערכת שברובה אינה מוגנת.

סך של כ-1.4 מיליארד דולר אבדו כתוצאה מהפרות בגשרים חוצי שרשרת אלו מתחילת השנה, על פי נתונים של חברת הניתוח של בלוקצ'יין Chainalysis. האירוע היחיד הגדול ביותר היה שיא הובלה של 615 מיליון דולר נחטף מרונין, גשר התומך במשחק האסימונים הפופולרי Axie Infinity, המאפשר למשתמשים להרוויח כסף בזמן שהם משחקים.

היה גם ה 320 מיליון דולר נגנבו מחור תולעת, גשר קריפטו המגובה על ידי חברת המסחר בתדר גבוה בוול סטריט Jump Trading. ביוני, גשר הורמון של Harmony ספג מתקפה של 100 מיליון דולר. ובשבוע שעבר, כמעט 200 מיליון דולר נתפסו על ידי האקרים בפרצה המכוונת לנומאד.

"גשרי בלוקצ'יין הפכו לפרי הנמוך של פושעי סייבר, עם נכסי קריפטו בשווי מיליארדי דולרים כלואים בתוכם", אמר טום רובינסון, מייסד שותף ומדען ראשי בחברת אנליטיקס של בלוקצ'יין אליפטיק, בראיון. "הגשרים הללו נפרצו על ידי האקרים במגוון דרכים, מה שמצביע על כך שרמת האבטחה שלהם לא עמדה בקצב הערך של הנכסים שהם מחזיקים".

מעללי הגשר מתרחשים בקצב מדהים, בהתחשב בתופעה כל כך חדשה. לפי נתוני Chainalysis, הסכום שנגנב בשוד גשר מהווה 69% מהכספים שנגנבו בפריצות הקשורות לקריפטו עד כה ב-2022.

איך פועלים גשרים

גשר הוא תוכנה המאפשרת למישהו לשלוח אסימונים מרשת בלוקצ'יין אחת ולקבל אותם בשרשרת נפרדת. בלוקצ'יין הן מערכות הספרים המבוזרות העומדות בבסיס מטבעות קריפטוגרפיים שונים.

כאשר מחליפים אסימון משרשרת אחת לאחרת - כמו בשליחת חלק אתר מאתריום לרשת סולנה - משקיע מפקיד את האסימונים בחוזה חכם, פיסת קוד בבלוקצ'יין המאפשרת ביצוע אוטומטי של הסכמים ללא התערבות אנושית.

הקריפטו הזה "מוטבע" על בלוקצ'יין חדש בצורה של מה שנקרא אסימון עטוף, המייצג תביעה על מטבעות האתר המקוריים. לאחר מכן ניתן לסחור באסימון ברשת חדשה. זה יכול להיות שימושי עבור משקיעים המשתמשים באתריום, שהפך לשמצה בזכות עליות פתאומיות בעמלות וזמני המתנה ארוכים יותר כאשר הרשת עמוסה.

"בדרך כלל הם מחזיקים כמויות אדירות של כסף", אמר אדריאן הטמן, מוביל טכנולוגיה בחברת אבטחת הקריפטו Immunefi. "סכומי הכסף האלה, וכמה תנועה עוברת דרך גשרים, הם נקודת התקפה מאוד מפתה".

למה הם מותקפים

ניתן לייחס את הפגיעות של גשרים בחלקה להנדסה מרושלת.

הפריצה לגשר Horizon's Harmony, למשל, הייתה אפשרית בגלל המספר המצומצם של מאמתים שנדרשו לאישור עסקאות. האקרים היו צריכים רק להתפשר על שניים מתוך סך של חמישה חשבונות כדי להשיג את הסיסמאות הדרושות למשיכת כספים.

מצב דומה אירע עם רונין. האקרים היו צריכים רק לשכנע חמישה מתוך תשעה מאמתים ברשת למסור את המפתחות הפרטיים שלהם כדי לקבל גישה לקריפטו הנעול בתוך המערכת.

במקרה של נומד, הגשר היה הרבה יותר פשוט להאקרים לתמרן. התוקפים הצליחו להכניס כל ערך למערכת ולאחר מכן למשוך כספים, גם אם לא היו מספיק נכסים שהופקדו בגשר. הם לא היו זקוקים לשום כישורי תכנות, והמעללים שלהם הובילו להצטברות העתקטים, מה שהוביל לגניבת הקריפטו השמינית בגודלה בכל הזמנים, לפי אליפטי.

נווד הוא מציע האקרים פרס של עד 10% להחזרת כספי המשתמשים ואומר שהיא תמנע מלנקוט בצעדים משפטיים נגד כל האקרים שיחזירו 90% מהנכסים שלקחו.

נומד אמר ל-CNBC שהוא "מחויב לעדכן את הקהילה שלה ככל שהיא לומדת יותר" ו"מעריך את כל אלה שפעלו במהירות כדי להגן על כספים".

למה הם חשובים

גשרים הם כלי חיוני בתעשיית הפיננסים המבוזרים (DeFi), המהווה אלטרנטיבה של קריפטו למערכת הבנקאית.

עם DeFi, במקום ששחקנים מרוכזים יזומים, חילופי הכסף מנוהלים על ידי פיסת קוד הניתנת לתכנות הנקראת חוזה חכם. חוזה זה כתוב על בלוקצ'יין ציבורי, כגון ethereum or סולאנה, והיא פועלת כאשר מתקיימים תנאים מסוימים, שוללת את הצורך במתווך מרכזי. 

"אנחנו לא יכולים פשוט להעביר את הנכסים האלה", אמר הטמן. "בגלל זה אנחנו צריכים גשרי בלוקצ'יין."

ככל שתחום ה-DeFi ממשיך להתפתח, מפתחים יצטרכו להפוך את הבלוקצ'יין לפעולה הדדית כדי להבטיח שנכסים ונתונים יכולים לזרום בצורה חלקה בין רשתות.

"בלעדיהם, הנכסים נעולים על רשתות מקומיות", אמר אוסטון בונסן, מייסד שותף של QuikNode, המספקת תשתית בלוקצ'יין למפתחים וחברות.

אבל הם מסוכנים.

"הם למעשה לא מנוהלים", אמר דיוויד קרלייל, ראש לענייני רגולציה באליפטיק. הם "פגיעים מאוד לפריצות, או לשימוש בפשעים כמו הלבנת הון".

פושעים העבירו לפחות 540 מיליון דולר של רווחים שלא הושגו דרך גשר בשם RenBridge מאז 2020, לפי מחקר חדש שאליפטי סיפקה ל-CNBC.

"שאלה מרכזית אחת היא האם הגשרים יהיו כפופים לרגולציה, מכיוון שהם פועלים הרבה כמו בורסות קריפטו, שכבר מוסדרות", אמר קרלייל.

השבוע משרד האוצר האמריקאי לבקרת נכסים זרים, או OFAC, הכריז על סנקציות נגד טורנדו קאש, מערבל מטבעות קריפטוגרפיים פופולרי, האוסר על אמריקאים להשתמש בשירות. מיקסרים הם כלים הממזגים אסימונים של משתמש עם מאגר של כספים אחרים כדי להסתיר את זהותם של אנשים וגופים מעורבים.

קרלייל אמר כי מסתבר כי "הרגולטורים בארה"ב מוכנים ללכת אחרי שירותי DeFi המאפשרים פעילות בלתי חוקית".

שעון: אדריאן הטמן מ-Immunefi מסביר כיצד האקרים גנבו 200 מיליון דולר

Source: https://www.cnbc.com/2022/08/10/hackers-have-stolen-1point4-billion-this-year-using-crypto-bridges.html