Ang mga hacker ay nagnakaw ng $1.4 bilyon ngayong taon gamit ang mga crypto bridge

Ang mga namumuhunan ng Crypto ay natamaan nang husto ngayong taon ng mga hack at scam. Ang isang dahilan ay ang mga cybercriminal ay nakahanap ng isang partikular na kapaki-pakinabang na paraan upang maabot sila: mga tulay.

Ang mga blockchain bridge, na mahinang kumokonekta sa mga network upang paganahin ang mabilis na pagpapalit ng mga token, ay nagiging popular bilang isang paraan para sa mga gumagamit ng crypto na makipagtransaksyon. Ngunit sa paggamit ng mga ito, ang mga mahilig sa crypto ay lumalampas sa isang sentralisadong palitan at gumagamit ng isang sistema na higit na hindi protektado.

Sa kabuuan, humigit-kumulang $1.4 bilyon ang nawala sa mga paglabag sa mga cross-chain bridge na ito mula noong simula ng taon, ayon sa mga numero mula sa blockchain analytics firm na Chainalysis. Ang pinakamalaking solong kaganapan ay ang nagtala ng $615 milyon na paghatak inagaw mula kay Ronin, isang tulay na sumusuporta sa sikat na nonfungible token game na Axie Infinity, na nagbibigay-daan sa mga user na kumita ng pera habang naglalaro sila.

Nagkaroon din ng $320 milyon ninakaw mula sa Wormhole, isang crypto bridge na sinusuportahan ng Wall Street high-frequency trading firm na Jump Trading. Noong Hunyo, ang Harmony's Horizon bridge ay dumanas ng $100 milyon na pag-atake. At noong nakaraang linggo, halos $200 milyon ang nasamsam ng mga hacker sa isang paglabag na nagta-target sa Nomad.

"Ang mga tulay ng Blockchain ay naging mababang-hanging prutas para sa mga cyber-criminal, na may bilyun-bilyong dolyar na halaga ng mga asset ng crypto na naka-lock sa loob ng mga ito," sabi ni Tom Robinson, co-founder at punong siyentipiko sa blockchain analytics firm na Elliptic, sa isang panayam. "Ang mga tulay na ito ay nilabag ng mga hacker sa iba't ibang paraan, na nagmumungkahi na ang kanilang antas ng seguridad ay hindi nakasabay sa halaga ng mga asset na hawak nila."

Ang mga pagsasamantala sa tulay ay nangyayari sa isang kapansin-pansing bilis, kung isasaalang-alang na ito ay isang bagong kababalaghan. Ayon sa data ng Chainalysis, ang halagang ninakaw sa bridge heists ay nagkakahalaga ng 69% ng mga pondong ninakaw sa mga hack na nauugnay sa crypto sa ngayon noong 2022.

Ang tulay ay isang piraso ng software na nagpapahintulot sa isang tao na magpadala ng mga token mula sa isang blockchain network at matanggap ang mga ito sa isang hiwalay na chain. Ang mga Blockchain ay ang mga distributed ledger system na nagpapatibay sa iba't ibang cryptocurrencies.

Kapag nagpapalitan ng token mula sa isang chain papunta sa isa pa — gaya ng pagpapadala ng ilan eter mula sa ethereum hanggang sa solana network — isang mamumuhunan ang nagdedeposito ng mga token sa isang matalinong kontrata, isang piraso ng code sa blockchain na nagbibigay-daan sa mga kasunduan na awtomatikong maisagawa nang walang interbensyon ng tao.

Ang crypto na iyon ay pagkatapos ay "minted" sa isang bagong blockchain sa anyo ng isang tinatawag na wrapped token, na kumakatawan sa isang claim sa orihinal na ether coins. Ang token ay maaaring ipagpalit sa isang bagong network. Maaaring maging kapaki-pakinabang iyon para sa mga mamumuhunan na gumagamit ng ethereum, na naging kilalang-kilala para sa biglaang pagtaas ng mga bayarin at mas mahabang oras ng paghihintay kapag abala ang network.

"Karaniwang may hawak silang napakalaking halaga ng pera," sabi ni Adrian Hetman, tech lead sa crypto security firm na Immunefi. "Ang mga halagang iyon ng pera, at kung gaano karaming trapiko ang dumaan sa mga tulay, ay isang nakakaakit na punto ng pag-atake."

Ang kahinaan ng mga tulay ay maaaring masubaybayan sa bahagi sa sloppy engineering.

Ang pag-hack sa Harmony's Horizon bridge, halimbawa, ay posible dahil sa limitadong bilang ng mga validator na kinakailangan para sa pag-apruba ng mga transaksyon. Kailangan lang ng mga hacker na ikompromiso ang dalawa sa kabuuang limang account para makuha ang mga password na kinakailangan para sa pag-withdraw ng mga pondo.

Isang katulad na sitwasyon ang nangyari kay Ronin. Kailangan lang ng mga hacker na kumbinsihin ang lima sa siyam na validator sa network na ibigay ang kanilang mga pribadong key para makakuha ng access sa crypto na naka-lock sa loob ng system.

Sa kaso ni Nomad, ang tulay ay mas simple para sa mga hacker na manipulahin. Nagawa ng mga attacker na magpasok ng anumang halaga sa system at pagkatapos ay mag-withdraw ng mga pondo, kahit na walang sapat na asset na idineposito sa tulay. Hindi nila kailangan ang anumang mga kasanayan sa programming, at ang kanilang mga pagsasamantala ay humantong sa mga copycat na mag-pile, na humahantong sa ikawalong pinakamalaking pagnanakaw ng crypto sa lahat ng oras, ayon sa Elliptic.

Nomad ay nag-aalok ng mga hacker isang bounty na hanggang 10% para mabawi ang mga pondo ng user at nagsasabing hindi ito magsagawa ng legal na aksyon laban sa sinumang hacker na magbabalik ng 90% ng mga asset na kinuha nila.

Sinabi ni Nomad sa CNBC na ito ay "nakatuon na panatilihing updated ang komunidad nito habang higit itong natututo" at "pinahalagahan ang lahat ng mabilis na kumilos upang protektahan ang mga pondo."

Ang mga tulay ay isang mahalagang tool sa industriya ng desentralisadong pananalapi (DeFi), na alternatibo ng crypto sa sistema ng pagbabangko.

Sa DeFi, sa halip na mga sentralisadong manlalaro ang tumawag sa mga shot, ang mga palitan ng pera ay pinamamahalaan ng isang programmable na piraso ng code na tinatawag na smart contract. Ang kontratang ito ay nakasulat sa isang pampublikong blockchain, tulad ng Ethereum or solana, at ipapatupad ito kapag natugunan ang ilang partikular na kundisyon, na binabalewala ang pangangailangan para sa isang sentral na tagapamagitan. 

"Hindi natin basta-basta ilipat ang mga asset na iyon," sabi ni Hetman. "Iyon ang dahilan kung bakit kailangan namin ng mga tulay ng blockchain."

Habang patuloy na umuunlad ang espasyo ng DeFi, kakailanganin ng mga developer na gawing interoperable ang mga blockchain upang matiyak na ang mga asset at data ay maaaring dumaloy nang maayos sa pagitan ng mga network.

"Kung wala ang mga ito, ang mga asset ay naka-lock sa mga katutubong chain," sabi ni Auston Bunsen, co-founder ng QuikNode, na nagbibigay ng imprastraktura ng blockchain sa mga developer at kumpanya.

Pero delikado sila.

"Epektibo silang hindi pinamamahalaan," sabi ni David Carlisle, pinuno ng mga gawain sa regulasyon sa Elliptic. Sila ay "napaka-bulnerable sa mga hack, o sa paggamit sa mga krimen tulad ng money laundering."

Ang mga kriminal ay naglipat ng hindi bababa sa $540 milyon na halaga ng ill-gotten gains sa pamamagitan ng tulay na tinatawag na RenBridge mula noong 2020, ayon sa bagong pananaliksik na ibinigay ng Elliptic sa CNBC.

"Isang pangunahing tanong ay kung ang mga tulay ay sasailalim sa regulasyon, dahil ang mga ito ay kumikilos tulad ng mga palitan ng crypto, na kinokontrol na," sabi ni Carlisle.

Sa linggong ito, ang Opisina ng Pagkontrol ng mga Dayuhang Asset ng US Treasury Department, o OFAC, nagpahayag ng mga parusa laban sa Tornado Cash, isang sikat na cryptocurrency mixer, na nagbabawal sa mga Amerikano sa paggamit ng serbisyo. Ang mga mixer ay mga tool na pinaghalo ang mga token ng user sa isang pool ng iba pang mga pondo upang itago ang mga pagkakakilanlan ng mga indibidwal at entity na kasangkot.

Sinabi ni Carlisle na nagiging maliwanag na "ang mga regulator ng US ay handa na sundan ang mga serbisyo ng DeFi na nagpapadali sa ipinagbabawal na aktibidad."

Panoorin: Ipinaliwanag ni Adrian Hetman ng Immunefi kung paano ninakaw ng mga hacker ang $200 milyon