Pagkatapos ng Pinakabagong Crypto Bridge Hack, Tumawag ang Mga Kalahok sa Industriya para sa Tightened Security

Sa pinakabagong hack noong 2022 ng isang crypto bridge, nawalan si Nomad ng malaking halaga sa isang hack na ginawang posible sa pamamagitan ng regular na pag-upgrade na nagpapahintulot sa mga kasuklam-suklam na aktor na laktawan ang mga mensahe sa pag-verify at magnakaw ng higit sa $ 190 Milyon. 

Ang mga tulay ng Crypto ay nagbibigay-daan sa mga transaksyon sa pagitan ng iba't ibang blockchain na walang third-party upang mapadali ang palitan. Ang Nomad hack ay ngayon ang ikatlong pinakamalaking bridge hack sa taong ito sa likod ng Wormhole, kung saan naubos ng mga hacker ang $325 milyon noong Pebrero, at Ronin, kung saan $ 625 milyon ang ninakaw mula sa blockchain nito noong Marso.

Ang Nomad hack ay isang bug sa pagpapatupad na hindi nagmula sa mga transaksyong nagkakagulo, sabi ni Dmitriy Berenzon, isang research partner mula sa early-stage token fund 1KX.

"Ang pag-atake ay hindi nagmula sa mga transaksyon na lumampas sa tulay, ito ay isang pagsasamantala sa mga kontrata sa Ethereum - ito ay mas maraming isyu sa code mismo, kaysa sa teoretikal na modelo ng seguridad," sinabi ni Berenzon sa Blockworks. "Ito ay hindi katulad ng iba pang mga hack na nakita natin kung saan ang aktwal na Root of Trust (RoT) ay nakompromiso."

Ang mga cryptographic system ay umaasa sa RoT para ma-secure ang mga operasyon. Ang isang nakompromisong RoT ay nagpapahiwatig na ang mga susi sa pag-encrypt at pag-decrypt ng data sa hardware ay sira.

Ang mga blockchain bridge ay naging popular na mga target para sa crypto-savvy hacker, lalo na dahil sa pagiging kumplikado ng kanilang pinagbabatayan na mga smart contract. Ang ganitong mga kahinaan ay nakakuha ng kritisismo mula sa mga tulad ng tagapagtatag ng Ethereum Vitalik Buterin sino dati sinabi ang mga tulay ay may "pangunahing mga limitasyon sa seguridad" na ginagawa siyang pesimista tungkol sa mga cross-chain na aplikasyon.

"Ang pinakanakakatakot na bahagi tungkol sa mga bridged asset ay ang mga epekto ng domino sa hindi masayang kaso," sabi ni Berenzon. "Ang mga asset ay ginagamit at isinama sa iba't ibang mga protocol, at kung may isyu sa isang tulay, maaari itong mapunta sa isa pang tulay - kaya, mayroon kang isang sistematikong panganib na posibleng mahirap i-unwind."

Ang isang halimbawa ng pagsasama ng asset ay kung mayroon kang ether na gusto mong lumipat sa Polygon para magamit ang mas mura nitong gas fee — ipapadala mo ang iyong ETH sa isang bridge address sa isang Ethereum blockchain. Sa sandaling matanggap ang iyong deposito, ang iyong ETH ay magiging "nababalot," na ginagawang tugma sa Polygon at mas madali para sa iyo na magsagawa ng mga transaksyon sa layer-2 na network. 

Imposibleng ganap na mabawasan ang panganib, sabi ni Berenzon — ngunit ang pagliit ng mga butas habang lumalaki ang mga tulay sa paggamit ay pinakamahalaga. 

Hugh Brooks, isang direktor ng produkto sa blockchain security firm na CertiK, ay nagsabi na ang mga tulay ay magkakaroon ng mas malaking papel bilang mga developer, na nag-iisip ng isang multichain na hinaharap, ay hindi na kontento na bumuo sa isang solong blockchain.

Sa halip, sinabi ni Brooks, ang Web3 ecosystem ay dapat na maingat na mag-deploy ng Web2 cybersecurity attitudes.

"Kailangan nating magkaroon ng buong pag-iisip ng seguridad at upang masuri sa bawat hakbang ng paraan," sinabi ni Brooks sa Blockworks. "Kung ang [Nomad] ay may isang pangkat ng pagtugon sa lugar upang tumugon sa mga pag-hack, maaaring naisara nila ito o nagsagawa ng pag-hack upang maiwasan ang iba na kunin ang perang iyon. Bagama't may mga puting hacker na nakialam, hindi ka palaging makakaasa sa komunidad para sa mga ganitong uri ng insidente."

Kunin ang nangungunang balita at mga insight sa crypto sa araw na ito sa iyong inbox tuwing gabi. Mag-subscribe sa libreng newsletter ng Blockworks ngayon.