לפני מספר חודשים מייסד ETH תיאר את הסכנות של גשרים צולבים, היום ארה"ב Harmony פרצה תמורת 100 מיליון דולר.
הגשר חוצה השרשרת של Harmony, Horizon, הוא האחרון מבין גשרים כאלה שהותקפו על ידי האקרים. נראה שגשרי קריפטו חוצי שרשרת הפכו למטרה ענקית עבור האקרים בזמן האחרון.
אחרי גשר רונין ב-Axie Infinity, עכשיו גשר האופק נפל קורבן למתקפה המדויקת. עם זאת, הכספים שנגנבו דרך גשר האופק הם הרבה פחות מאלה שנלקחו דרך רונין. הפריצה על גשר רונין הובילה לאובדן של כ-620 מיליון דולר ETH ו-USDC בעוד המתקפה על גשר הורייזון הובילה לאובדן של כ-100 מיליון דולר של קריפטו.
בעקבות התקיפה, הרמוני שבסיסה בקליפורניה, ארצות הברית פנתה לטוויטר כדי להכריז על החדשות העצובות, והוסיפה כי החברה עובדת כעת בשיתוף פעולה הדוק עם הרשויות ועם מומחים לזיהוי פלילי כדי לאתר את התוקפים.
1/ צוות הרמוני זיהה גניבה שהתרחשה הבוקר על גשר הורייזון בהיקף של כ. 100 מיליון דולר. התחלנו לעבוד עם רשויות לאומיות ומומחי זיהוי פלילי כדי לזהות את האשם ולהחזיר את הכספים הגנובים.
יותר ?
- הרמוניה? (@harmonyprotocol) יוני 23, 2022
BTC לא מושפע
בעוד שכמה רשתות בלוק ששרתו על ידי גשר הורייזון הושפעו, שרשרת הביטקוין לא סבלה מכשלונות. הרמוני הכירה בכך בשרשור הטוויטר שלהם. הרשתות המושפעות כוללות את Binance Chain ואת'ריום.
3/ שימו לב שזה לא משפיע על גשר BTC חסר האמון; הכספים והנכסים שלו המאוחסנים בכספות מבוזרות בטוחים בשלב זה.
- הרמוניה? (@harmonyprotocol) יוני 23, 2022
מחקירות התקיפה עלה כי במהלך התקיפה נגנבו מספר אסימונים. אלה כוללים AAVE, USDC, wETH, wBTC, USDT, BUSD, AAG, SUSHI, FXS, FRAX ו-DAI. ככל הנראה, התוקפים עברו להחליף את האסימונים הגנובים ל-ETH ב-Uniswap DEX לפני ששלחו את ה-ETH בחזרה לארנקיהם. לכאורה, מדובר היה בפיגוע מתוכנן.
חששות קהילתיים בוטלו
לאחר שפרסמו החדשות על המתקפה, הקהילה קמה בזרועותיה, והזכירה ל-Harmony ולתעשייה בכללותה את החששות ששודרו לגבי מערכת הבקרה של Multisig המשמשת לאבטחת הגשר והקריפטוס.
הרשויות הלאומיות והמומחים לזיהוי פלילי צריכים לחקור *אותכם* כדי להבין איזה סוג של נוהלי אבטחה שבורים אפשרו ל"גניבה" הזו להתרחש.
- כריס בלק (@ChrisBlec) יוני 24, 2022
Harmony השתמשה בפונקציונליות של multisig שדרשה רק שתיים מתוך ארבע ישויות מהימנות כדי לבצע העברת אסימון. התוקפים הצליחו להשיג שני מאמתים והשיגו גישה למחסן.
אירועי פריצה המכוונים לגשרים חוצי שרשרת השתוללו לאחרונה, מה שעורר קריאות לבדיקות אבטחה נוספות מצד מפעילי הגשרים. מאז תחילת השנה, התקפות כאלה הובילו להפסד משותף של כמיליארד דולר מפלטפורמות קריפטו.
איומי גשרי שרשרת צולבים
לפני למעלה מ-6 חודשים סיכם ויטליק את הסיכונים של גשרים צולבים שרשרת ב פוסט reddit:
"מגבלות האבטחה הבסיסיות של גשרים הן למעשה סיבה מרכזית לכך שאמנם אני אופטימי לגבי מערכת אקולוגית מרובת שרשרת של בלוקצ'יין (באמת יש כמה קהילות נפרדות עם ערכים שונים ועדיף להן לחיות בנפרד מאשר כולם להילחם על ההשפעה על אותו דבר), אני פסימי לגבי יישומים חוצי שרשרת.
כדי להבין מדוע לגשרים יש מגבלות אלו, עלינו לבחון כיצד שילובים שונים של בלוקצ'יין וגישור שורדים 51% התקפות. לאנשים רבים יש את המנטליות ש"אם בלוקצ'יין מותקף ב-51%, הכל נשבר, ולכן אנחנו צריכים לשים את כל הכוח שלנו כדי למנוע מתקפה של 51% להתרחש אפילו פעם אחת". אני ממש לא מסכים עם סגנון החשיבה הזה; למעשה, בלוקצ'יין שומרים על רבות מהערבויות שלהם גם לאחר התקפה של 51%, וזה באמת חשוב לשמר את הערבויות הללו.
לדוגמה, נניח שיש לך 100 ETH ב-Ethereum, ו-Ethereum מותקף ב-51%, כך שחלק מהעסקאות מצונזרות ו/או חוזרות. לא משנה מה יקרה, עדיין יש לך 100 ETH שלך. אפילו תוקף של 51% לא יכול להציע חסימה שלוקחת את ה-ETH שלך, מכיוון שחסימה כזו תפר את כללי הפרוטוקול ולכן היא תידחה על ידי הרשת. גם אם 99% מה-hashpower או מהנתח ירצו לקחת את ה-ETH שלכם, כל מי שמפעיל צומת פשוט יעקוב אחרי השרשרת עם 1% הנותרים, מכיוון שרק החסימות שלו עוקבות אחר כללי הפרוטוקול. באופן כללי יותר, אם יש לך אפליקציה על Ethereum, אז התקפה של 51% יכולה לצנזר או להחזיר אותה לזמן מה, אבל מה שיוצא בסוף הוא מצב עקבי. אם היה לך 100 ETH, אבל מכרת אותו ב-320000 DAI ב-Uniswap, גם אם הבלוקצ'יין יותקף בצורה מטורפת שרירותית כלשהי, בסופו של יום עדיין יש לך תוצאה הגיונית - או שתשמור את ה-100 ETH שלך או שתשיג את 320000 DAI. התוצאה שבה אתה לא מקבל אף אחד מהם (או, לצורך העניין, שניהם) מפר את כללי הפרוטוקול ולכן לא יתקבל.
כעת, דמיינו מה קורה אם תעבירו 100 ETH לגשר על סולנה כדי לקבל 100 Solana-WETH, ואז Ethereum מותקף ב-51%. התוקף הפקיד חבורה של ETH משלו ב-Solana-WETH ואז החזיר את העסקה הזו בצד של Ethereum ברגע שצד סולאנה אישר זאת. חוזה Solana-WETH כבר אינו מגובה במלואו, ואולי ה-100 Solana-WETH שלך שווה כעת רק 60 ETH. גם אם יש גשר מושלם מבוסס ZK-SNARK שמאשר את הקונצנזוס במלואו, הוא עדיין חשוף לגניבה באמצעות 51% התקפות כמו זו.
מסיבה זו, תמיד בטוח יותר להחזיק נכסים מקוריים של Ethereum על Ethereum או נכסים מקוריים של Solana על Solana מאשר להחזיק נכסים מקוריים של Ethereum על Solana או נכסים מקוריים של Solana על Ethereum".
- פרסומת -
Source: https://thecryptobasic.com/2022/06/24/us-harmonys-100-million-hack-vindicates-ethereum-founders-concerns-about-cross-chain-bridges/?utm_source=rss&utm_medium=rss&utm_campaign=us-harmonys-100-million-hack-vindicates-ethereum-founders-concerns-about-cross-chain-bridges