Pse hakerët vazhdojnë të shfrytëzojnë ura ndër-blockchain

Më 7 janar 2022, bashkëthemeluesi i Ethereum Vitalik Buterin paralajmëroi në lidhje me sigurinë e urave ndër-blockchain. Ai argumentoi me paramendim se kalimi i aseteve nëpër blockchain nuk do të gëzonte kurrë të njëjtat garanci si të qëndrosh brenda një blockchain. Ai kishte të drejtë.

Konvertueshmëria e sigurt e aseteve midis blockchains nuk është e garantuar. Për të qenë të saktë, askush në të vërtetë nuk mund të "dërgojë" apo "të lidhë" një aktiv në një tjetër blockchain. Në vend të kësaj, asetet depozitohen, kyçen ose digjen në një zinxhir; më pas kreditohet, zhbllokohet ose futet në zinxhirin e dytë.

Më keq, blockchains nuk mund të aksesojnë informacionin jashtë zinxhirit. Asnjë blockchain nuk mund të verifikojë në mënyrë origjinale se çdo aktiv me shumë blloqe është "i lidhur". Në rastin më të mirë, orakujt e palëve të treta dëshmojnë vërtetësinë e informacionit jashtë zinxhirit dhe i interpretojnë ato të dhëna për përdorim në zinxhir. Megjithatë, kjo prezanton shtresën e parë të besimit në procesin e kalimit: besimi në orakujt e të dhënave. Shtresa tjetër e besimit janë kujdestarët.

Në mënyrë tipike, tejkalimi ndodh duke depozituar një aktiv te një kujdestar dhe duke marrë një version "të mbështjellë" të atij aktivi nga kujdestari në zinxhirin e dytë të bllokut. Përdoruesi duhet t'i besojë kujdestarit që të ruajë aktivin origjinal dhe të lirojë aktivin e mbështjellë.

Ndonjëherë, ky kujdestar mund të marrë formën e një DAO ose një kontrate të zgjuar. Në çdo rast - qoftë një DAO apo një entitet korporativ si BitGo (kujdestari i botës madhe pasuri e mbështjellë, mbështjellë bitcoin) — tejkalimi paraqet disa shtresa besimi.

Në vazhdim, shtresa tjetër e besimit është konvertueshmëria dhe barazia e çmimeve. E thënë thjesht, nuk mjafton të kesh marrë një aset urë. Një përdorues duhet gjithashtu të vazhdojë të besojë se ata do të jenë në gjendje ta lidhin atë aktiv në të ardhmen mbi bazën 1-për-1. Një aktiv origjinal duhet të jetë i barabartë me një aktiv të mbështjellë. Ky është rreziku i barazisë së çmimit.

Në minimum, aktivi i lidhur duhet të ruajë barazinë me aktivin origjinal. Pra, në këtë mënyrë, përdoruesi po i beson procesit të kalimit jo vetëm në momentin e shkëmbimit, por edhe për aq kohë sa ai është duke përdorur një aktiv të mbështjellë në të ardhmen.

Në përmbledhje, të gjitha rreziqet e sigurisë së një aktivi shumëfishohen në mënyrë eksponenciale për homologët e tyre të lidhur (mbështjellë).

Jeni të shqetësuar se Tether Limited nuk do të përdorë një USDT për 1 $? Lidhni të njëjtin USDT në një blockchain që nuk mbështetet nga Tether Limited dhe rreziqet tuaja janë shumëzuar nga kujdestari(ët), kontratat inteligjente, likuiditeti, barazia e çmimeve dhe mbi të gjitha, nëse ura nuk do të digjet para se të duhet të kaloni përsëri në sigurinë.

Në një farë mënyre, urat ndër-blockchain janë si vrimat e krimbave: ato transportojnë materiale nëpër hapësirë, por ato formohen dhe asgjësohen në mënyrë spontane.

Në fakt, Wormhole është emri i urës më të mirëkapitalizuar në botë, që lidh blloqet e Ethereum dhe Solana. Ishte hacked - si shumë ura. Më poshtë është një listë.

Shfrytëzimi me shumë zinxhirë më 19 janar 2022

sulmuesit vodhi 3 milionë dollarë në një shfrytëzim të urës ndër-blockchain Multichain në fillim të vitit. Multichain lëshoi mesazhe fillestare që i shkaktuan përdoruesit pyetje nëse fondet e tyre ishin të sigurta. Ajo paralajmëroi përdoruesit të tërheqin argumentet WETH, MATIC, AVAX, PERI, OMT dhe WBNB nga kontratat inteligjente të prekura në platformën e saj.

Shumë zinxhir më vonë tha një sulmues ktheu 259 ETH të vjedhura në sulm. Tether ngriu USDT në adresat e lidhura me shfrytëzimin.

Qubit exploit më 27 janar 2022

Qubit Finance humbur 206,809 BNB (80 milionë dollarë) në një shfrytëzim të QBridge më 27 janar 2022. Projekti ndërtoi protokollin e tij në Binance Chain.

Shfrytëzimi në mënyrë mashtruese grumbulloi 77,162 qXETH, të cilat sulmuesit mund t'i shpengonin për tokenat BNB. Qubit ofroi të negocionte me sulmuesin për të rifituar fondet.

Qubit përpiqet të krijojë kontakt me një haker.

Shfrytëzimi i Wormhole më 2 shkurt 2022

Sulmuesit krijuan me mashtrim 120,000 ETH të mbështjellë në blockchain të Solanës duke përdorur urën Wormhole më 2 shkurt 2022. Ata krijuan një llogari nënshkrimi të falsifikuar për të vërtetuar transaksionet e tyre.

Një studiues i Paradigmës e projektoi sulmin e kundërt dhe përcaktoi se Wormhole kishte dështuar të zbatonte një protokoll vërtetimi më të fortë për nënshkrimet e tij mbrojtëse.

tl;dr – Wormhole nuk vërtetoi siç duhet të gjitha llogaritë e hyrjes, gjë që i lejoi sulmuesit të mashtronte nënshkrimet e kujdestarit dhe të grumbullonte 120,000 ETH në Solana, nga të cilat ata i kthyen 93,750 përsëri në Ethereum.
- samczsun (@samczsun) Shkurt 3, 2022

Një studiues shpjegon humbjen prej shumë qindra milionë dollarësh të Wormhole.

Shfrytëzimi i Pasaportës së Meterit të Meter.io më 5 shkurt 2022

Ura e Pasaportës Meter të Meter.io humbur 4.4 milionë dollarë në një shfrytëzim më 5 shkurt 2022. Shfrytëzimi synonte platformën e kontratës inteligjente Moonriver në rrjetin Kusama të Polkadot. Sulmuesit vodhën BNB dhe mbështjellën ETH dhe më pas e hodhën BNB në shkëmbimin e decentralizuar UniSwap.

Ky shfrytëzim shkaktoi një rënie të çmimit të BNB që lejoi individë të tjerë të merrnin BNB të lirë dhe ta përdornin atë si kolateral për kredi në platforma si Hundred Crisis. Kreditë shkaktuan probleme me furnizimin për aplikacionet e prekura të kredisë.

1. Rreth orës 6 të mëngjesit në kohën e Paqësorit, ne identifikuam se dikush ishte në gjendje të shfrytëzonte një dobësi të urës për të krijuar një sasi të madhe të kodeve BNB dhe WETH dhe zbrazte rezervën e urës për BNB në WETH.
— ⚡️Meter.io⚡️ (@Meter_IO) Shkurt 5, 2022

Ethereum i mbështjellë nuk është i njëjtë me Ethereum.

Shfrytëzimi i urës së Ronin më 29 mars 2022

sulmuesit vodhi 173,600 ETH dhe 25.5 milionë USDC (rreth 600 milionë dollarë) nga ura Ronin më 29 mars 2022. Shfrytëzimi përfshinte marrjen e aksesit te çelësat privatë të nyjeve të verifikuesit. Zhvilluesit e urës Ronin ndaluan depozitat dhe tërheqjet derisa hetuesit patën një shans për të përcaktuar se çfarë ndodhi.

Zhvilluesit ndërtuan zinxhirin anësor të lojës Axie Infinity të Ethereum Ronin për të kursyer tarifat. Fatkeqësisht, ata bënë kompromis me sigurinë.

Ju nuk mund ta imagjinoni këtë
Hakeri vjedh 600 miliardë dollarë në ETH nga zinxhiri bllokues Ronin, ai që qëndron në themel të Axie
Hakeri më pas shkon shkurt Ronin & AXS (token Axie) duke e ditur që sapo të dalin lajmet se argumentet do të bien
Por ASkush nuk e vëren dhe ata likuidohen pak para se të dalin lajmet
- Eric Golden ??? (@ericgoldenx) March 29, 2022

Loja e ashtuquajtur "luaj për të fituar" e Axie Infinity humbi 600 milionë dollarë nga paratë e përdoruesve të saj.

WonderHero exploit më 7 Prill 2022

Hero mrekulli i zbuluar një shfrytëzim i urës së saj më 7 prill 2022, kur vlera e tokenit të saj vendas WND ra papritur me 50%. Ai humbi 300,000 dollarë në argumentet WND në sulm.

WonderHero ndaloi faqen e saj të internetit, lojën, urën, depozitat dhe tërheqjet gjatë hetimit. Rifilloi lojën, tregun dhe sistemin e rendimentit. Që atëherë, WonderHero postuar një analizë që konfirmon se ura e saj Binance ishte komprometuar.

Shfrytëzimi i urës së Horizont të Harmony One më 23 qershor 2022

Harmony One's Horizon Bridge humbi 100 milionë dollarë në një shfrytëzim më 23 qershor 2022. Ekipi i saj tha po punonte me autoritetet e zbatimit të ligjit dhe ekspertët e mjekësisë ligjore për të hetuar shfrytëzimin. Adresa e përdorur për të marrë fondet e vjedhura mori një "Shfrytëzuesi i urës së Horizontit" etiketa në Etherscan. Horizon Bridge Exploiter aktualisht mban pak më shumë se 93,000 dollarë në argumente.

1/ Ekipi i Harmony ka identifikuar një vjedhje të ndodhur mëngjesin e sotëm në urën Horizont në vlerë rreth rreth. 100 milion dollarë. Ne kemi filluar punën me autoritetet kombëtare dhe specialistët e mjekësisë ligjore për të identifikuar fajtorin dhe për të tërhequr fondet e vjedhura.
Më shumë?
- Harmonia? (@harmonyprotocol) Qershor 23, 2022

Hakerët vjedhin 100 milionë dollarë nga ura ndër-blockchain e Harmony ONE.

Lexo më shumë: Urat ndër-blockchain vazhdojnë të thyhen ndërsa startup-i i kriptove Nomad hakeri për 190 milion dollarë

Shfrytëzimi i ChainSwap më 10 korrik 2022

ChainSwap humbi 20 milionë tokena WILD në një shfrytëzim më 10 korrik 2022. Wilder World përdor WILD si shenjën e tij origjinale. Një përdorues me pseudonim Twitter dhe "qytetar" i Wilder World re shfrytëzimi ChainSwap më 10 korrik 2022. Shfrytëzimi preku gjithashtu shenjat Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank dhe Unifarm.

ChainSwap ngriu urën e tij të Zinxhirit Smart Ethereum-Binance ndërsa po hetonte.

Para këtij incidenti, ChainSwap pësoi një tjetër shfrytëzim në të cilin humbi 800,000 dollarë në token më 2 korrik. Ajo arriti të rikuperonte disa nga ato humbje në atë sulm.

Nomad exploit më 2 gusht 2022

sulmuesit vodhi 190 milionë dollarë në token duke shfrytëzuar një dobësi në kontratën inteligjente të Nomad më 2 gusht 2022. Pasi metoda e përdorur për të shfrytëzuar kontratën inteligjente u bë publike, një sulm masiv shpenzoi një sasi të konsiderueshme parash.

CISO e Andressen Horowitz sugjeruar se disa grabitës mund të kenë qenë shfrytëzues të "kapelës së bardhë" që synonin të mbanin paratë nga duart e aktorëve të poshtër. Nomad tha po punonte me forcat e rendit dhe firmat private të sigurisë për të hetuar dhe falenderoi aktorët e kapelës së bardhë për marrjen e iniciativës për të mbrojtur fondet.

Për më shumë lajme të informuara, na ndiqni në Twitter Google News ose dëgjoni podcast-in tonë investigativ Inovuar: Qyteti Blockchain.

Burimi: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/