7 жылдың 2022 қаңтарында Ethereum негізін қалаушы Виталик Бутерин ескертті кросс-блокчейн көпірлерінің қауіпсіздігі туралы. Ол блокчейндер арқылы активтерді біріктіру ешқашан бір блокчейнде болу сияқты кепілдіктерге ие болмайтынын алдын ала дәлелдеді. Ол дұрыс болды.
Блокчейндер арасындағы активтердің қауіпсіз айырбасталуына кепілдік берілмейді. Дәлірек айтқанда, ешкім активті басқа блокчейнге «жібере» немесе «көпір» жасай алмайды. Оның орнына активтер бір тізбекте сақталады, құлыпталады немесе өртенеді; содан кейін екінші тізбекте кредиттеледі, құлпы ашылады немесе соғылған.
Ең сорақысы, блокчейндер желіден тыс ақпаратқа қол жеткізе алмайды. Ешбір блокчейн кез келген мультиблокчейн активінің «көпірлі» екенін нақты түрде тексере алмайды. Ең жақсы жағдайда, үшінші тарап оракульдері тізбектен тыс ақпараттың шынайылығын растайды және бұл деректерді тізбекте пайдалану үшін түсіндіреді. Дегенмен, бұл көпір процесіне сенімнің бірінші қабатын енгізеді: деректер оракулдарына сенім. Сенімнің келесі қабаты - кастодиандар.
Әдетте, көпір бір активті кастодианға депозитке салу және сол активтің екінші блокчейндегі кастодианнан «оралған» нұсқасын алу арқылы жүзеге асады. Пайдаланушы бастапқы активті сақтауға және оралған активті босатуға кастодианға сенуі керек.
Кейде бұл кастодиан DAO немесе смарт келісімшарт нысанын қабылдай алады. Кез келген жағдайда — DAO немесе BitGo сияқты корпоративтік ұйым (әлемдік басқарушы Ең үлкен оралған актив, оралған биткоин) — көпір сенімнің бірнеше қабаттарын енгізеді.
Жалғастыратын болсақ, сенімнің келесі қабаты айырбастау және баға паритеті болып табылады. Қарапайым тілмен айтқанда, көпір активін алу жеткіліксіз. Пайдаланушы бұл активті болашақта 1-ге 1 негізінде қайта қоса алатынына қосымша сенім артуы керек. Бір бастапқы актив бір оралған активке тең болуы керек. Бұл баға паритетінің тәуекелі.
Кем дегенде, көпірленген актив бастапқы активпен тепе-теңдікті сақтауы керек. Осылайша, пайдаланушы айырбастау сәтінде ғана емес, сонымен қатар болашақта оралған активті пайдаланатын уақыт ішінде көпірлеу процесіне сенеді.
Қорытындылай келе, активтің барлық қауіпсіздік тәуекелдері олардың көпірленген (оралған) әріптестері үшін экспоненциалды түрде көбейеді.
Tether Limited компаниясының бір USDT төлемін 1 долларға сатып алмауына алаңдайсыз ба? Дәл сол USDT-ді Tether Limited қолдамайтын блокчейнге жеткізіңіз және сіздің тәуекелдеріңіз кастодианға(лар), ақылды келісімшарттарға, өтімділікке, бағалар паритетіне және ең бастысы, қайта оралу қажет болғанға дейін көпір жанып кетпейтініне байланысты. қауіпсіздік.
Айтпақшы, кросс-блокчейн көпірлері құрт саңылауларына ұқсайды: олар материалды кеңістікте тасымалдайды, бірақ олар өздігінен пайда болады және жойылады.
Шын мәнінде, Wormhole - Ethereum және Solana блокчейндерін байланыстыратын әлемдегі ең жақсы бас әріппен жазылған көпірдің атауы. Ол болды бұзылды — көптеген көпірлер сияқты. Төменде тізім берілген.
Көп тізбекті пайдалану 19 жылдың 2022 қаңтарында
Шабуылшылар ұрлап кеткен Жылдың басында Multichain кросс-блокчейн көпірін пайдалану кезінде 3 миллион доллар. Multichain пайдаланушыларды тудырған бастапқы хабарламаны шығарды сұрақ олардың қаражаты қауіпсіз болды ма. Ол ескертті пайдаланушылар WETH, MATIC, AVAX, PERI, OMT және WBNB таңбалауыштарын өз платформасындағы әсер еткен смарт келісімшарттардан алып тастауы керек.
Көп тізбек кейінірек айтты бір шабуылдаушы шабуылда ұрланған 259 ETH қайтарды. Тетер тоқырау Эксплуатацияға байланысты мекенжайлардағы USDT.
Qubit эксплойт 27 жылдың 2022 қаңтарында
Qubit Finance жоғалған 206,809 жылдың 80 қаңтарында QBridge эксплойтінен 27 2022 BNB (XNUMX миллион доллар) пайда болды. Жоба өз протоколын Binance Chain жүйесінде құрастырды.
Эксплойт алаяқтық жолмен 77,162 XNUMX qXETH шығарды, оны шабуылдаушылар BNB токендері үшін өтей алады. Құбит ақшаны қайтарып алу үшін шабуылдаушымен келіссөздер жүргізуді ұсынды.
2 жылдың 2022 ақпанында құрт тесігінің эксплуатациясы
Шабуылшылар 120,000 жылдың 2 ақпанында Wormhole көпірі арқылы Солананың блокчейніне 2022 XNUMX оралған ETH соқтырды. Олар транзакцияларын растау үшін жалған қолтаңба тіркелгісін жасады.
Парадигманы зерттеуші шабуылды кері жобалады және Wormhole өзінің қамқоршы қолтаңбалары үшін сенімдірек валидация протоколын енгізе алмағанын анықтады.
Meter.io Meter Passport қолданбасы 5 жылдың 2022 ақпанында
Meter.io Meter Passport көпірі жоғалған 4.4 жылдың 5 ақпанындағы эксплойт 2022 миллион доллар. Эксплойт Полкадоттың Кусама желісіндегі Moonriver смарт келісімшарт платформасына бағытталған. Шабуылшылар BNB ұрлап, ETH орап, содан кейін BNB орталықтандырылмаған UniSwap биржасына тастады.
Бұл эксплуатация BNB бағасының төмендеуіне әкелді, бұл басқа адамдарға арзан BNB алуға және оны Жүз дағдарысы сияқты платформаларда несиелер үшін кепіл ретінде пайдалануға мүмкіндік берді. Несиелер зардап шеккен несие қолданбаларын жеткізу мәселелерін тудырды.
Ронин көпірі 29 жылдың 2022 наурызында
Шабуылшылар ұрлап кеткен 173,600 жылдың 25.5 наурызында Ронин көпірінен 600 29 ETH және 2022 миллион USDC (шамамен XNUMX миллион доллар). Эксплойт валидатор түйіндерінің жеке кілттеріне қол жеткізуді қамтыды. Ронин көпірін салушылар тергеушілер не болғанын анықтау мүмкіндігіне ие болғанша депозиттер мен ақшаны алуды тоқтатты.
Әзірлеушілер төлемді үнемдеу үшін Axie Infinity ойынының Ethereum's Ronin бүйірлік тізбегін құрастырды. Өкінішке орай, олар қауіпсіздікті бұзды.
WonderHero эксплуатациясы 7 жылдың 2022 сәуірінде
Wonder Hero Табылды 7 жылдың 2022 сәуірінде оның көпірінің эксплуаты, оның жергілікті WND таңбалауышы күтпеген жерден 50%-ға құлдырап кеткен. Ол шабуылда WND токендерінде 300,000 XNUMX доллар жоғалтты.
WonderHero тергеу кезінде веб-сайтты, ойынды, көпірді, депозиттерді және ақшаны алуды тоқтатты. Ол ойынды, нарықты және кірістілік жүйесін қайта іске қосты. Содан бері WonderHero орналастырды оның Binance көпірінің бұзылғанын растайтын талдау.
Harmony One's Horizon Bridge қолданбасы 23 жылдың 2022 маусымында
Harmony One's Horizon Bridge 100 жылдың 23 маусымында 2022 миллион доллар жоғалтты. Оның командасы айтты ол құқық қорғау органдарымен және сот-медициналық сарапшылармен бірлесе отырып, эксплуатацияны тергеуде. Ұрланған қаражатты алу үшін пайдаланылған мекенжай «Horizon Bridge ExploiterEtherscan жүйесінде ” белгісін қойыңыз. Horizon Bridge Exploiter қазіргі уақытта токендерде 93,000 XNUMX доллардан сәл асады.
Ары қарай оқу: Nomad крипто-стартапын 190 миллион долларға бұзғандықтан, кросс-блокчейн көпірлері үзілуде.
ChainSwap эксплоити 10 жылдың 2022 шілдесінде
ChainSwap 20 жылдың 10 шілдесінде эксплойт кезінде 2022 миллион WILD таңбалауышын жоғалтты. Wilder World WILD таңбасын өзінің төл белгісі ретінде пайдаланады. Бүркеншік атпен Twitter қолданушысы және Уайлдер әлемінің «азаматы» байқады ChainSwap эксплойті 10 жылдың 2022 шілдесінде. Эксплойт сонымен қатар Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank және Unifarm таңбалауыштарына әсер етті.
ChainSwap зерттеу барысында Ethereum-Binance Smart Chain көпірін тоқтатты.
Осы оқиғаға дейін ChainSwap зардап шеккен 800,000 шілдеде токендерден 2 XNUMX доллар жоғалтқан тағы бір эксплойт. Ол осы шабуылдағы шығындардың бір бөлігін өтей алды.
Nomad exploit 2 жылдың 2022 тамызында
Шабуылшылар ұрлап кеткен 190 жылдың 2 тамызында Nomad's смарт келісімшартындағы осалдықты пайдалану арқылы 2022 миллион доллар токен. Смарт келісім-шартты пайдалану әдісі жалпыға ортақ болғаннан кейін, жаппай шабуыл ақшаның айтарлықтай көлемін жойды.
Андрессен Хоровицтің CISO ұсынды кейбір тонаушылар ақшаны арам актерлердің қолынан ұстауды мақсат еткен «ақ қалпақ» қанаушылар болуы мүмкін. Көшпенді айтты ол тергеу үшін құқық қорғау органдарымен және жеке қауіпсіздік фирмаларымен жұмыс істеді алғыс білдірді қаражатты қорғауға бастама көтергені үшін ақ қалпақ актерлері.
Толығырақ ақпарат алу үшін бізге жазылыңыз Twitter және Google Жаңалықтар немесе біздің тергеу подкастымызды тыңдаңыз Инновация: Blockchain City.
Дереккөз: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/