Mengapa penggodam terus mengeksploitasi jambatan rantaian silang

Pada 7 Januari 2022, pengasas bersama Ethereum Vitalik Buterin memberi amaran tentang keselamatan jambatan rantaian silang. Beliau secara tepat berhujah bahawa merapatkan aset merentasi rantaian blok tidak akan menikmati jaminan yang sama seperti kekal dalam satu rantaian blok. Dia betul.

Kebolehtukaran aset yang selamat antara rantaian blok tidak dijamin. Tepatnya, tiada siapa yang sebenarnya boleh "menghantar" atau "menjembatani" aset kepada rantaian blok lain. Sebaliknya, aset disimpan, dikunci atau dibakar pada satu rantai; kemudian dikreditkan, dibuka kunci atau dicetak pada rantai kedua.

Lebih teruk lagi, blockchain tidak boleh mengakses maklumat luar rantaian. Tiada rantaian blok boleh mengesahkan secara asli bahawa mana-mana aset berbilang rantaian adalah "dirapatkan." Paling baik, oracle pihak ketiga membuktikan kebenaran maklumat luar rantai dan mentafsir data tersebut untuk kegunaan dalam rantaian. Walau bagaimanapun, ini memperkenalkan lapisan pertama kepercayaan kepada proses penyambungan: kepercayaan pada oracle data. Lapisan kepercayaan seterusnya ialah penjaga.

Lazimnya, penyambungan berlaku dengan mendepositkan satu aset dengan penjaga dan menerima versi "dibungkus" aset itu daripada penjaga pada rantaian kedua. Pengguna mesti mempercayai penjaga untuk kedua-dua menyimpan aset asal dan melepaskan aset yang dibungkus.

Kadangkala, penjaga ini boleh mengambil bentuk DAO atau kontrak pintar. Walau apa pun — sama ada DAO atau entiti korporat seperti BitGo (penjaga dunia terbesar aset yang dibungkus, bitcoin yang dibungkus) — merapatkan memperkenalkan beberapa lapisan kepercayaan.

Meneruskan, lapisan kepercayaan seterusnya ialah kebolehtukaran dan pariti harga. Ringkasnya, ia tidak mencukupi untuk menerima aset jambatan. Pengguna juga mesti terus mempercayai bahawa mereka akan dapat merapatkan semula aset itu pada masa hadapan secara 1-untuk-1. Satu aset asal mesti sama dengan satu aset yang dibungkus. Ini adalah risiko pariti harga.

Sekurang-kurangnya, aset yang dirapatkan mesti mengekalkan pariti dengan aset asal. Jadi, dengan cara ini, pengguna mempercayai proses penyambungan bukan sahaja pada saat pertukaran, tetapi juga selagi mereka menggunakan aset yang dibungkus pada masa hadapan. 

Ringkasnya, semua risiko keselamatan aset berganda secara eksponen untuk rakan sejawatnya (dibungkus).

Bimbang tentang Tether Limited tidak menebus satu USDT untuk $1? Jambatan USDT yang sama kepada rantaian blok yang tidak disokong oleh Tether Limited dan risiko anda telah didarabkan dengan penjaga, kontrak pintar, kecairan, pariti harga dan yang paling penting, sama ada jambatan itu tidak akan terbakar sebelum anda perlu melintasi kembali ke keselamatan.

Dari satu segi, jambatan rantaian silang adalah seperti lubang cacing: ia mengangkut bahan merentasi angkasa, tetapi ia membentuk dan memusnahkan secara spontan.

Malah, Wormhole ialah nama jambatan yang mempunyai permodalan paling baik di dunia, yang menghubungkan rantaian blok Ethereum dan Solana. Ia adalah digodam - seperti yang mempunyai banyak jambatan. Di bawah adalah senarai.

Eksploitasi berbilang rantaian pada 19 Januari 2022

Penyerang Mencuri $3 juta dalam eksploitasi jambatan cross-blockchain Multichain pada awal tahun ini. Multichain mengeluarkan pemesejan awal yang menyebabkan pengguna soalan sama ada dana mereka selamat. Ia memberi amaran pengguna untuk menarik balik token WETH, MATIC, AVAX, PERI, OMT dan WBNB daripada kontrak pintar yang terjejas pada platformnya.

Multichain nanti berkata seorang penyerang mengembalikan 259 ETH yang dicuri dalam serangan itu. Tambat membeku USDT pada alamat yang dikaitkan dengan eksploitasi.

Eksploit Qubit pada 27 Januari 2022

Kewangan Qubit hilang 206,809 BNB ($80 juta) dalam eksploitasi QBridge pada 27 Januari 2022. Projek itu membina protokolnya pada Binance Chain.

Eksploitasi secara curang menghasilkan 77,162 qXETH, yang boleh ditebus oleh penyerang untuk token BNB. Qubit menawarkan untuk berunding dengan penyerang untuk mendapatkan semula dana.

Qubit cuba menjalin hubungan dengan penggodam.

Eksploitasi lubang cacing pada 2 Februari 2022

Penyerang secara curang menghasilkan 120,000 ETH yang dibalut pada rantaian blok Solana menggunakan jambatan Wormhole pada 2 Februari 2022. Mereka mencipta akaun tandatangan palsu untuk mengesahkan transaksi mereka.

Seorang penyelidik Paradigma merekayasa balik serangan itu dan menentukan bahawa Wormhole telah gagal melaksanakan protokol pengesahan yang lebih mantap untuk tandatangan penjaganya.

Seorang penyelidik menerangkan kerugian Wormhole yang mencecah ratusan juta dolar.

Eksploit Meter Passport Meter.io pada 5 Februari 2022

Jambatan Meter Passport Meter.io hilang $4.4 juta dalam eksploitasi pada 5 Februari 2022. Eksploitasi itu menyasarkan platform kontrak pintar Moonriver pada rangkaian Kusama Polkadot. Penyerang mencuri BNB dan membalut ETH dan kemudian membuang BNB pada pertukaran terdesentralisasi UniSwap.

Eksploitasi ini menyebabkan kejatuhan harga BNB yang membolehkan individu lain memperoleh BNB murah dan menggunakannya sebagai cagaran untuk pinjaman pada platform seperti Hundred Crisis. Pinjaman tersebut menyebabkan masalah bekalan untuk aplikasi pinjaman yang terjejas.

Ethereum yang dibungkus tidak sama dengan Ethereum.

Eksploit Jambatan Ronin pada 29 Mac 2022

Penyerang Mencuri 173,600 ETH dan 25.5 juta USDC (kira-kira $600 juta) daripada jambatan Ronin pada 29 Mac 2022. Eksploitasi melibatkan mendapatkan akses kepada kunci peribadi nod pengesah. Pemaju jambatan Ronin menghentikan deposit dan pengeluaran sehingga penyiasat mempunyai peluang untuk menentukan apa yang berlaku.

Pembangun membina rantai sisi Ronin Ethereum permainan Axie Infinity untuk menjimatkan yuran. Malangnya, mereka berkompromi dengan keselamatan.

Permainan Axie Infinity yang dipanggil "bermain untuk mendapatkan" kehilangan $600 juta wang penggunanya.

Eksploitasi WonderHero pada 7 April 2022

WonderHero ditemui eksploitasi jambatannya pada 7 April 2022, apabila nilai token WND aslinya secara tidak dijangka menjunam sebanyak 50%. Ia kehilangan $300,000 dalam token WND dalam serangan itu.

WonderHero menjeda tapak web, permainan, jambatan, deposit dan pengeluaran semasa menyiasat. Ia memulakan semula permainan, pasaran dan sistem hasil. Sejak itu, WonderHero Hantar analisis yang mengesahkan bahawa jambatan Binancenya telah terjejas.

Eksploit Horizon Bridge Harmony One pada 23 Jun 2022

Horizon Bridge Harmony One kehilangan $100 juta dalam eksploitasi pada 23 Jun 2022. Pasukannya berkata ia bekerjasama dengan pihak berkuasa penguatkuasaan undang-undang dan pakar forensik untuk menyiasat eksploitasi itu. Alamat yang digunakan untuk menerima dana yang dicuri menerima “Pengeksploitasi Jambatan Horizon” label pada Etherscan. Horizon Bridge Exploiter kini memegang lebih daripada $93,000 dalam bentuk token.

Penggodam mencuri $100 juta daripada jambatan rantaian silang Harmony ONE.

Baca lebih lanjut: Jambatan silang rantaian terus terputus apabila syarikat permulaan kripto Nomad digodam untuk $190J

Eksploitasi ChainSwap pada 10 Julai 2022

ChainSwap kehilangan 20 juta token WILD dalam eksploitasi pada 10 Julai 2022. Wilder World menggunakan WILD sebagai token asalnya. Pengguna Twitter samaran dan "warganegara" Wilder World perasan eksploitasi ChainSwap pada 10 Julai 2022. Eksploitasi itu turut menjejaskan token Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank dan Unifarm.

ChainSwap membekukan jambatan Ethereum-Binance Smart Chain semasa ia menyiasat.

Sebelum kejadian ini, ChainSwap menderita satu lagi eksploitasi di mana ia kehilangan $800,000 dalam bentuk token pada 2 Julai. Ia berjaya mendapatkan kembali beberapa kerugian tersebut dalam serangan itu.

Eksploitasi nomad pada 2 Ogos 2022

Penyerang Mencuri Token bernilai $190 juta dengan mengeksploitasi kelemahan dalam kontrak pintar Nomad pada 2 Ogos 2022. Sebaik sahaja kaedah yang digunakan untuk mengeksploitasi kontrak pintar itu diketahui umum, serangan besar-besaran menghabiskan sejumlah besar wang.

CISO Andressen Horowitz mencadangkan bahawa sesetengah perompak mungkin pengeksploitasi "topi putih" yang bertujuan untuk mengelakkan wang daripada tangan pelakon jahat. Nomad berkata ia bekerjasama dengan penguatkuasa undang-undang dan firma keselamatan swasta untuk menyiasat dan terima kasih pelakon topi putih kerana mengambil inisiatif untuk melindungi dana.

Untuk berita lebih lanjut, ikuti kami di Twitter and berita Google atau dengar podcast penyiasatan kami Diinovasi: Blockchain City.

Sumber: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/