Hack $100 Juta US Harmony Menjelaskan Kebimbangan Pengasas Ethereum Mengenai Jambatan Rantaian Silang

Beberapa Bulan Yang Lalu Pengasas ETH Menggambarkan Bahaya Jambatan Rantaian Silang, Hari Ini USA Harmony Digodam Untuk $100J.

Jambatan rantai silang Harmony, Horizon, adalah yang terbaru daripada jambatan sedemikian yang diserang oleh penggodam. Nampaknya jambatan rantaian kripto telah menjadi sasaran besar untuk penggodam sejak akhir-akhir ini.

Selepas Jambatan Ronin di Axie Infinity, kini Jambatan Horizon telah menjadi mangsa serangan yang tepat. Walau bagaimanapun, dana yang dicuri melalui Jambatan Horizon jauh lebih sedikit daripada yang diambil melalui Ronin. Penggodaman ke atas Ronin Bridge telah menyebabkan kerugian sekitar $620 juta ETH dan USDC manakala serangan ke atas Horizon Bridge telah menyebabkan kehilangan kripto bernilai sekitar $100 juta.

Susulan serangan itu, Harmony yang berpangkalan di California, Amerika Syarikat melalui Twitter untuk mengumumkan berita sedih itu, sambil menambah bahawa syarikat itu kini bekerjasama rapat dengan pihak berkuasa dan pakar forensik untuk mengesan penyerang.

1/ Pasukan Harmony telah mengenal pasti kecurian yang berlaku pagi ini di jambatan Horizon berjumlah lebih kurang. $100MM. Kami telah mula bekerjasama dengan pihak berkuasa negara dan pakar forensik untuk mengenal pasti pelakunya dan mendapatkan semula dana yang dicuri.

Lagi?

- Harmoni? (@harmonyprotocol) Jun 23, 2022

BTC Tidak Terjejas

Walaupun beberapa rantaian blok yang disediakan oleh Horizon Bridge terjejas, rantaian Bitcoin tidak mengalami sebarang halangan. Harmony mengakui ini dalam benang Twitter mereka. Rantaian yang terjejas termasuk Binance Chain dan Ethereum.

3/ Ambil perhatian bahawa ini tidak memberi kesan kepada jambatan BTC tanpa amanah; dana dan asetnya yang disimpan pada peti besi terpencar adalah selamat pada masa ini.

- Harmoni? (@harmonyprotocol) Jun 23, 2022

Siasatan ke atas serangan itu telah mendedahkan bahawa beberapa token telah dicuri semasa serangan itu. Ini termasuk AAVE, USDC, wETH, wBTC, USDT, BUSD, AAG, SUSHI, FXS, FRAX dan DAI. Nampaknya, penyerang berpindah untuk menukar token yang dicuri kepada ETH pada Uniswap DEX sebelum menghantar ETH kembali ke dompet mereka. Dari segi rupa, ini adalah serangan yang dirancang.

Kebimbangan Masyarakat Dibenarkan

Selepas berita mengenai serangan itu dipecahkan, masyarakat bangkit, mengingatkan Harmony dan industri pada umumnya tentang kebimbangan yang disiarkan mengenai sistem kawalan Multisig yang digunakan untuk mengamankan jambatan dan cryptos.

Pihak berkuasa negara dan pakar forensik harus menyiasat *anda* untuk mengetahui jenis amalan keselamatan yang rosak yang membenarkan "kecurian" ini berlaku.

- Chris Blec (@ChrisBlec) Jun 24, 2022

Harmony menggunakan fungsi multisig yang memerlukan hanya dua daripada empat entiti yang dipercayai untuk melaksanakan pemindahan token. Penyerang berjaya mendapatkan dua pengesah dan mendapat akses kepada simpanan.

Insiden penggodaman yang menyasarkan jambatan rentas rantaian berleluasa sejak kebelakangan ini, mendorong panggilan untuk lebih banyak pemeriksaan keselamatan di pihak pengendali jambatan. Sejak awal tahun ini, serangan sedemikian telah menyebabkan kerugian gabungan sekitar $1 bilion daripada platform crypto.

Ancaman Jambatan Rantaian Silang

Lebih 6 bulan yang lalu Vitalik meringkaskan risiko jambatan rantai silang dalam a jawatan Reddit:

“Had keselamatan asas jambatan sebenarnya merupakan sebab utama mengapa sementara saya optimis tentang ekosistem rantaian blok berbilang (memang terdapat beberapa komuniti berasingan dengan nilai yang berbeza dan lebih baik bagi mereka untuk hidup secara berasingan daripada semua berebut pengaruh terhadap perkara yang sama), saya pesimis tentang aplikasi rantaian silang.

Untuk memahami mengapa jambatan mempunyai had ini, kita perlu melihat bagaimana pelbagai kombinasi rantaian blok dan penyambungan bertahan 51% daripada serangan. Ramai orang mempunyai mentaliti bahawa "jika blockchain mendapat 51% diserang, semuanya akan rosak, dan oleh itu kita perlu meletakkan semua kekuatan kita untuk menghalang serangan 51% daripada pernah berlaku walaupun sekali". Saya sangat tidak bersetuju dengan gaya pemikiran ini; sebenarnya, blockchain mengekalkan banyak jaminan mereka walaupun selepas serangan 51%, dan sangat penting untuk mengekalkan jaminan ini.

Sebagai contoh, katakan anda mempunyai 100 ETH pada Ethereum, dan Ethereum mendapat 51% diserang, jadi sesetengah urus niaga ditapis dan/atau dikembalikan. Tidak kira apa yang berlaku, anda masih mempunyai 100 ETH anda. Malah penyerang 51% tidak boleh mencadangkan blok yang menghilangkan ETH anda, kerana blok sedemikian akan melanggar peraturan protokol dan oleh itu ia akan ditolak oleh rangkaian. Walaupun 99% daripada kuasa hash atau kepentingan ingin mengambil ETH anda, semua orang yang menjalankan nod hanya akan mengikut rantaian dengan baki 1%, kerana hanya bloknya yang mematuhi peraturan protokol. Secara umum, jika anda mempunyai aplikasi pada Ethereum, maka serangan 51% boleh menapis atau mengembalikannya untuk beberapa waktu, tetapi apa yang keluar pada akhirnya adalah keadaan yang konsisten. Jika anda mempunyai 100 ETH, tetapi menjualnya dengan harga 320000 DAI di Uniswap, walaupun blockchain diserang dengan cara gila yang sewenang-wenangnya, pada penghujung hari anda masih mempunyai hasil yang munasabah – sama ada anda menyimpan 100 ETH anda atau anda mendapat 320000 DAI. Hasil yang tidak anda perolehi (atau, dalam hal ini, kedua-duanya) melanggar peraturan protokol dan oleh itu tidak akan diterima.

Sekarang, pengimejan apa yang berlaku jika anda memindahkan 100 ETH ke jambatan di Solana untuk mendapatkan 100 Solana-WETH, dan kemudian Ethereum diserang 51%. Penyerang mendepositkan sekumpulan ETH mereka sendiri ke dalam Solana-WETH dan kemudian membalikkan transaksi itu di bahagian Ethereum sebaik sahaja pihak Solana mengesahkannya. Kontrak Solana-WETH kini tidak lagi disokong sepenuhnya, dan mungkin 100 Solana-WETH anda kini hanya bernilai 60 ETH. Walaupun terdapat jambatan berasaskan ZK-SNARK yang sempurna yang mengesahkan konsensus sepenuhnya, ia masih terdedah kepada kecurian melalui 51% serangan seperti ini.

Atas sebab ini, adalah sentiasa lebih selamat untuk memegang aset asli Ethereum pada Ethereum atau aset asli Solana pada Solana daripada memegang aset asli Ethereum pada Solana atau aset asli Solana pada Ethereum" 

- Iklan -