Penggodam telah mencuri $1.4 bilion tahun ini menggunakan jambatan crypto

Pelabur kripto telah terjejas teruk tahun ini oleh penggodaman dan penipuan. Salah satu sebabnya ialah penjenayah siber telah menemui jalan yang amat berguna untuk mencapai mereka: jambatan.

Jambatan rantaian blok, yang menghubungkan rangkaian dengan lemah untuk membolehkan pertukaran token pantas, semakin popular sebagai cara untuk pengguna kripto berurus niaga. Tetapi dalam menggunakannya, peminat crypto memintas pertukaran terpusat dan menggunakan sistem yang sebahagian besarnya tidak dilindungi.

Sejumlah kira-kira $1.4 bilion telah hilang akibat pelanggaran pada jambatan rantaian ini sejak awal tahun, menurut angka dari firma analitik blockchain Chainalysis. Acara tunggal terbesar ialah mencatat $615 juta tangkapan dirampas daripada Ronin, jambatan yang menyokong permainan token tidak boleh kulat popular Axie Infinity, yang membolehkan pengguna memperoleh wang sambil bermain.

Terdapat juga $320 juta dicuri dari Wormhole, jambatan crypto yang disokong oleh firma perdagangan frekuensi tinggi Wall Street Jump Trading. Pada bulan Jun, jambatan Harmony's Horizon mengalami serangan $100 juta. Dan minggu lepas, hampir $200 juta telah dirampas oleh penggodam dalam pelanggaran yang menyasarkan Nomad.

"Jambatan rantaian blok telah menjadi buah yang tidak dapat dielakkan untuk penjenayah siber, dengan aset kripto bernilai berbilion dolar terkunci di dalamnya," kata Tom Robinson, pengasas bersama dan ketua saintis di firma analisis blok Elliptic, dalam satu temu bual. "Jambatan ini telah dilanggar oleh penggodam dalam pelbagai cara, menunjukkan bahawa tahap keselamatan mereka tidak seiring dengan nilai aset yang mereka pegang."

Eksploitasi jambatan itu berlaku pada kadar yang ketara, memandangkan ia adalah fenomena baharu. Menurut data Chainalysis, jumlah yang dicuri dalam rompakan jambatan menyumbang 69% daripada dana yang dicuri dalam penggodaman berkaitan kripto setakat ini pada 2022.

Jambatan ialah sekeping perisian yang membolehkan seseorang menghantar token daripada satu rangkaian blockchain dan menerimanya pada rantaian berasingan. Blockchain ialah sistem lejar teragih yang menyokong pelbagai mata wang kripto.

Apabila menukar token dari satu rantai ke rantai yang lain — seperti menghantar beberapa eter dari ethereum ke rangkaian solana — pelabur mendepositkan token ke dalam kontrak pintar, sekeping kod pada rantaian blok yang membolehkan perjanjian dilaksanakan secara automatik tanpa campur tangan manusia.

Kripto itu kemudiannya "dicetak" pada rantaian blok baharu dalam bentuk token berbalut yang dipanggil, yang mewakili tuntutan ke atas syiling eter asal. Token itu kemudiannya boleh didagangkan pada rangkaian baharu. Itu boleh berguna untuk pelabur yang menggunakan ethereum, yang telah menjadi terkenal dengan kenaikan mendadak dalam yuran dan masa menunggu yang lebih lama apabila rangkaian sibuk.

"Mereka biasanya memegang sejumlah besar wang," kata Adrian Hetman, ketua teknologi di firma keselamatan crypto Immunefi. "Jumlah wang itu, dan jumlah trafik yang melalui jambatan, adalah titik serangan yang sangat menarik."

Kerentanan jambatan boleh dikesan sebahagiannya kepada kejuruteraan ceroboh.

Penggodaman pada jambatan Horizon Harmony, sebagai contoh, adalah mungkin kerana bilangan pengesah yang terhad yang diperlukan untuk meluluskan urus niaga. Penggodam hanya perlu menjejaskan dua daripada jumlah lima akaun untuk mendapatkan kata laluan yang diperlukan untuk mengeluarkan dana.

Situasi yang sama berlaku dengan Ronin. Penggodam hanya perlu meyakinkan lima daripada sembilan pengesah di rangkaian untuk menyerahkan kunci peribadi mereka untuk mendapatkan akses kepada kripto yang dikunci di dalam sistem.

Dalam kes Nomad, jambatan itu lebih mudah untuk dimanipulasi oleh penggodam. Penyerang dapat memasukkan apa-apa nilai ke dalam sistem dan kemudian mengeluarkan dana, walaupun aset tidak mencukupi yang disimpan di jambatan. Mereka tidak memerlukan apa-apa kemahiran pengaturcaraan, dan eksploitasi mereka menyebabkan peniru bertimbun, membawa kepada kecurian crypto terbesar kelapan sepanjang masa, menurut Elliptic.

Nomad adalah menawarkan penggodam hadiah sehingga 10% untuk mendapatkan semula dana pengguna dan mengatakan ia akan mengelak daripada mengambil tindakan undang-undang terhadap mana-mana penggodam yang memulangkan 90% daripada aset yang mereka ambil.

Nomad memberitahu CNBC bahawa ia " komited untuk memastikan komunitinya sentiasa dikemas kini sambil mempelajari lebih lanjut" dan "menghargai semua mereka yang bertindak pantas untuk melindungi dana."

Jambatan ialah alat penting dalam industri kewangan terdesentralisasi (DeFi), yang merupakan alternatif crypto kepada sistem perbankan.

Dengan DeFi, bukannya pemain berpusat yang membuat keputusan, pertukaran wang diuruskan oleh sekeping kod boleh atur cara yang dipanggil kontrak pintar. Kontrak ini ditulis pada blockchain awam, seperti ethereum or solarium, dan ia dilaksanakan apabila syarat tertentu dipenuhi, menafikan keperluan untuk perantara pusat. 

"Kita tidak boleh begitu sahaja memindahkan aset tersebut," kata Hetman. "Itulah sebabnya kami memerlukan jambatan blockchain."

Memandangkan ruang DeFi terus berkembang, pembangun perlu menjadikan rantaian blok saling beroperasi untuk memastikan aset dan data boleh mengalir dengan lancar antara rangkaian.

"Tanpa mereka, aset dikunci pada rantaian asli," kata Auston Bunsen, pengasas bersama QuikNode, yang menyediakan infrastruktur blockchain kepada pemaju dan syarikat.

Tetapi mereka berisiko.

"Mereka secara berkesan tidak ditadbir," kata David Carlisle, ketua hal ehwal kawal selia di Elliptic. Mereka "sangat terdedah kepada penggodaman, atau digunakan dalam jenayah seperti pengubahan wang haram."

Penjenayah telah memindahkan sekurang-kurangnya $540 juta keuntungan yang diperoleh secara haram melalui jambatan yang dipanggil RenBridge sejak 2020, menurut penyelidikan baru yang diberikan oleh Elliptic kepada CNBC.

"Satu persoalan utama ialah sama ada jambatan akan tertakluk kepada peraturan, kerana ia bertindak seperti pertukaran crypto, yang telah dikawal selia," kata Carlisle.

Minggu ini Pejabat Kawalan Aset Asing Jabatan Perbendaharaan AS, atau OFAC, mengumumkan sekatan terhadap Tornado Cash, pengadun mata wang kripto yang popular, melarang rakyat Amerika daripada menggunakan perkhidmatan tersebut. Pengadun ialah alat yang menggabungkan token pengguna dengan kumpulan dana lain untuk menyembunyikan identiti individu dan entiti yang terlibat.

Carlisle berkata semakin jelas bahawa "pengawal selia AS bersedia untuk mengejar perkhidmatan DeFi yang memudahkan aktiviti haram."

WATCH: Adrian Hetman dari Immunefi menerangkan bagaimana penggodam mencuri $200 juta