Noong Enero 7, 2022, ang co-founder ng Ethereum na si Vitalik Buterin binalaan tungkol sa seguridad ng mga cross-blockchain na tulay. Siya presciently argued na bridging asset sa kabuuan blockchains ay hindi kailanman tamasahin ang parehong mga garantiya bilang pananatili sa loob ng isang blockchain. Tama siya.
Ang ligtas na pagpapalit ng mga asset sa pagitan ng mga blockchain ay hindi ginagarantiyahan. Upang maging tumpak, walang sinuman ang maaaring aktwal na "magpadala" o "tulay" ng isang asset sa isa pang blockchain. Sa halip, ang mga asset ay idineposito, ikinakandado, o sinusunog sa isang chain; pagkatapos ay na-credit, na-unlock, o nai-minted sa pangalawang chain.
Mas masahol pa, hindi ma-access ng mga blockchain ang impormasyon sa labas ng chain. Walang blockchain ang maaaring native na mag-verify na ang anumang multi-blockchain asset ay "bridged." Sa pinakamaganda, ang mga orakulo ng third-party ay nagpapatunay sa katotohanan ng off-chain na impormasyon at binibigyang-kahulugan ang data na iyon para sa on-chain na paggamit. Gayunpaman, ipinakilala nito ang unang layer ng pagtitiwala sa proseso ng pagtulay: pagtitiwala sa mga orakulo ng data. Ang susunod na layer ng tiwala ay mga tagapag-alaga.
Karaniwan, ang bridging ay nangyayari sa pamamagitan ng pagdeposito ng isang asset sa isang custodian at pagtanggap ng isang "nakabalot" na bersyon ng asset na iyon mula sa custodian sa pangalawang blockchain. Dapat pagkatiwalaan ng user ang custodian na parehong itago ang orihinal na asset at ilabas ang nakabalot na asset.
Minsan, ang tagapag-ingat na ito ay maaaring magkaroon ng anyo ng isang DAO o matalinong kontrata. Sa anumang kaso — maging isang DAO o isang corporate entity tulad ng BitGo (ang tagapag-alaga ng mundo pinakamalaking nakabalot na asset, balot bitcoin) — ang bridging ay nagpapakilala ng ilang layer ng tiwala.
Sa pagpapatuloy, ang susunod na layer ng trust ay ang convertibility at price parity. Sa madaling salita, hindi sapat ang nakatanggap ng bridge asset. Dapat ding patuloy na magtiwala ang isang user na magagawa niyang i-bridge ang asset na iyon pabalik sa hinaharap sa isang 1-for-1 na batayan. Ang isang orihinal na asset ay dapat katumbas ng isang nakabalot na asset. Ito ay price parity risk.
Sa pinakamababa, dapat mapanatili ng naka-bridge na asset ang pagkakapantay-pantay sa orihinal na asset. Kaya, sa ganitong paraan, pinagkakatiwalaan ng user ang proseso ng bridging hindi lamang sa sandali ng pagpapalit, kundi pati na rin hangga't gumagamit sila ng nakabalot na asset sa hinaharap.
Sa buod, lahat ng mga panganib sa seguridad ng isang asset ay dumarami nang husto para sa kanilang mga naka-bridge (nakabalot) na katapat.
Nag-aalala tungkol sa hindi pagkuha ng Tether Limited ng isang USDT para sa $1? I-bridge ang parehong USDT na iyon sa isang blockchain na hindi suportado ng Tether Limited at ang iyong mga panganib ay dumami sa (mga) tagapag-ingat, matalinong kontrata, pagkatubig, parity ng presyo, at higit sa lahat, kung ang tulay ay hindi masusunog bago kailangan mong tumawid pabalik sa kaligtasan.
Sa isang paraan, ang mga cross-blockchain na tulay ay parang mga wormhole: nagdadala sila ng materyal sa buong kalawakan, ngunit kusang bumubuo at nalipol ang mga ito.
Sa katunayan, ang Wormhole ay ang pangalan ng pinaka-mahusay na capitalized na tulay, na nag-uugnay sa mga blockchain ng Ethereum at Solana. Ito ay hack — gaya ng maraming tulay. Nasa ibaba ang isang listahan.
Multichain exploit noong Enero 19, 2022
Mga Attacker nakaagaw $3 milyon sa isang pagsasamantala ng Multichain cross-blockchain bridge sa simula ng taon. Nagbigay ang Multichain ng paunang pagmemensahe na naging sanhi ng mga user tanong kung ligtas ang kanilang mga pondo. Ito binalaan mga user na bawiin ang mga token na WETH, MATIC, AVAX, PERI, OMT, at WBNB mula sa mga apektadong smart contract sa platform nito.
Multichain mamaya sinabi isang attacker ang nagbalik ng 259 ETH na ninakaw sa pag-atake. Mag-tether nagyelo USDT sa mga address na naka-link sa pagsasamantala.
Qubit exploit noong Enero 27, 2022
Pananalapi ng Qubit nawala 206,809 BNB ($80 milyon) sa isang pagsasamantala ng QBridge noong Enero 27, 2022. Itinayo ng proyekto ang protocol nito sa Binance Chain.
Ang pagsasamantala ay mapanlinlang na gumawa ng 77,162 qXETH, na maaaring tubusin ng mga umaatake para sa mga token ng BNB. Inalok ni Qubit na makipag-ayos sa umaatake para mabawi ang pondo.
Wormhole exploit noong Pebrero 2, 2022
Mapanlinlang na gumawa ng 120,000 wrapped ETH ang mga attacker sa blockchain ni Solana gamit ang Wormhole bridge noong Pebrero 2, 2022. Gumawa sila ng spoofed signature account para i-validate ang kanilang mga transaksyon.
Isang Paradigm researcher ang nag-reverse-engineer ng pag-atake at natukoy na ang Wormhole ay nabigo na magpatupad ng mas matatag na protocol sa pagpapatunay para sa mga pirma ng tagapag-alaga nito.
Ang Meter Passport ng Meter.io ay pinagsamantalahan noong Pebrero 5, 2022
Ang Meter Passport bridge ng Meter.io nawala $4.4 milyon sa isang pagsasamantala noong Pebrero 5, 2022. Na-target ng pagsasamantala ang Moonriver smart contract platform sa Kusama network ng Polkadot. Ninakaw ng mga umaatake ang BNB at binalot ang ETH at pagkatapos ay itinapon ang BNB sa desentralisadong palitan ng UniSwap.
Ang pagsasamantalang ito ay nagdulot ng pagbaba ng presyo ng BNB na nagbigay-daan sa ibang mga indibidwal na kumuha ng murang BNB at gamitin ito bilang collateral para sa mga pautang sa mga platform tulad ng Hundred Crisis. Nagdulot ang mga loan ng mga isyu sa supply para sa mga apektadong loan app.
Ang pagsasamantala ng Ronin Bridge noong Marso 29, 2022
Mga Attacker nakaagaw 173,600 ETH at 25.5 milyong USDC (mga $600 milyon) mula sa tulay ng Ronin noong Marso 29, 2022. Kasama sa pagsasamantala ang pagkakaroon ng access sa mga pribadong key ng validator node. Itinigil ng mga developer ng Ronin bridge ang mga deposito at pag-withdraw hanggang sa magkaroon ng pagkakataon ang mga imbestigador na matukoy kung ano ang nangyari.
Binuo ng mga developer ang Ronin sidechain ng Axie Infinity game na Ethereum para makatipid sa mga bayarin. Sa kasamaang palad, nakompromiso sila sa seguridad.
Pagsasamantala ng WonderHero noong Abril 7, 2022
Wonder Hero Natuklasan isang pagsasamantala sa tulay nito noong Abril 7, 2022, nang ang halaga ng katutubong WND token nito ay hindi inaasahang bumagsak ng 50%. Nawala ito ng $300,000 sa mga token ng WND sa pag-atake.
Na-pause ng WonderHero ang website, laro, tulay, deposito, at pag-withdraw nito habang nag-iimbestiga. In-restart nito ang laro, marketplace, at yield system. Simula noon, WonderHero nai-post isang pagsusuri na nagpapatunay na ang tulay ng Binance nito ay nakompromiso.
Ang pagsasamantala ng Horizon Bridge ng Harmony One noong Hunyo 23, 2022
Ang Horizon Bridge ng Harmony One ay nawalan ng $100 milyon sa isang pagsasamantala noong Hunyo 23, 2022. Ang koponan nito sinabi nakikipagtulungan ito sa mga awtoridad sa pagpapatupad ng batas at mga eksperto sa forensics upang imbestigahan ang pagsasamantala. Ang address na ginamit sa pagtanggap ng mga ninakaw na pondo ay nakatanggap ng "Horizon Bridge Exploiter” label sa Etherscan. Ang Horizon Bridge Exploiter ay kasalukuyang nagtataglay ng higit sa $93,000 sa mga token.
Magbasa nang higit pa: Patuloy na nasisira ang mga cross-blockchain bridge habang na-hack ang crypto startup Nomad sa halagang $190M
Pagsasamantala ng ChainSwap noong Hulyo 10, 2022
Nawalan ng 20 milyong WILD token ang ChainSwap sa isang pagsasamantala noong Hulyo 10, 2022. Ginagamit ng Wilder World ang WILD bilang katutubong token nito. Isang pseudonymous Twitter user at Wilder World na "mamamayan" napansin ang pagsasamantala ng ChainSwap noong Hulyo 10, 2022. Naapektuhan din ng pagsasamantala ang mga token ng Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank, at Unifarm.
Pina-freeze ng ChainSwap ang Ethereum-Binance Smart Chain bridge nito habang nag-iimbestiga ito.
Bago ang insidenteng ito, ang ChainSwap nagdusa isa pang pagsasamantala kung saan nawalan ito ng $800,000 sa mga token noong Hulyo 2. Nagawa nitong mabawi ang ilan sa mga pagkalugi sa pag-atakeng iyon.
Nomad na pagsasamantala noong Agosto 2, 2022
Mga Attacker nakaagaw $190 milyon sa mga token sa pamamagitan ng pagsasamantala sa isang kahinaan sa matalinong kontrata ng Nomad noong Agosto 2, 2022. Kapag naging pampubliko ang paraan na ginamit upang pagsamantalahan ang matalinong kontrata, ang isang malawakang pag-atake ay umubos ng malaking halaga ng pera.
Ang CISO ni Andressen Horowitz iminungkahi na ang ilang mga manloloob ay maaaring mga "puting sumbrero" na mga mapagsamantala na naglalayong iwasan ang pera sa mga kamay ng mga kasuklam-suklam na aktor. Nomad sinabi ito ay nakikipagtulungan sa mga tagapagpatupad ng batas at mga pribadong kompanya ng seguridad upang mag-imbestiga at thanked ang mga aktor ng puting sumbrero para sa pagsasagawa ng inisyatiba upang protektahan ang mga pondo.
Para sa higit pang kaalamang balita, sundan kami sa kaba at Google News o makinig sa aming mausisa na podcast Innovated: Blockchain City.
Pinagmulan: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/