Den 7 januari 2022, Ethereums medgrundare Vitalik Buterin varnade om säkerheten för broar över blockkedjor. Han hävdade förutseende att överbrygga tillgångar över blockkedjor aldrig skulle åtnjuta samma garantier som att stanna inom en blockkedja. Han hade rätt.
Säker konvertibilitet av tillgångar mellan blockkedjor är inte garanterad. För att vara exakt kan ingen faktiskt "skicka" eller "brygga" en tillgång till en annan blockkedja. Istället deponeras, låses eller bränns tillgångar på en kedja; sedan krediteras, låses upp eller präglas på den andra kedjan.
Ännu värre, blockkedjor kan inte komma åt information utanför kedjan. Ingen blockkedja kan inbyggt verifiera att någon tillgång med flera blockkedjor är "överbryggad". I bästa fall intygar orakel från tredje part om sanningshalten i information utanför kedjan och tolkar dessa data för användning i kedjan. Detta introducerar dock det första lagret av förtroende i överbryggningsprocessen: förtroende för dataorakel. Nästa lager av förtroende är vårdnadshavare.
Vanligtvis sker överbryggning genom att deponera en tillgång hos en förvaringsinstitut och ta emot en "inpackad" version av den tillgången från förvaringsinstitutet på den andra blockkedjan. Användaren måste lita på att förvaringsinstitutet både förvarar den ursprungliga tillgången och frigör den inslagna tillgången.
Ibland kan denna vårdnadshavare ta formen av ett DAO eller smart kontrakt. I alla fall – oavsett om det är en DAO eller en företagsenhet som BitGo (väktaren av världens största inslagna tillgångar, inslagna bitcoin) — överbryggning introducerar flera lager av förtroende.
Fortsatt, nästa lager av förtroende är konvertibilitet och prisparitet. Enkelt uttryckt räcker det inte med att ha fått en bryggtillgång. En användare måste dessutom fortsätta att lita på att de kommer att kunna överbrygga den tillgången tillbaka i framtiden på 1-för-1-basis. En originaltillgång måste vara lika med en inpackad tillgång. Detta är prisparitetsrisk.
Åtminstone måste den överbryggade tillgången bibehålla paritet med den ursprungliga tillgången. Så på det här sättet litar användaren på överbryggningsprocessen inte bara vid bytestillfället, utan också så länge som de använder en inpackad tillgång i framtiden.
Sammanfattningsvis multipliceras alla säkerhetsrisker med en tillgång exponentiellt för deras överbryggade (omslutna) motsvarigheter.
Bekymrad över att Tether Limited inte löser in en USDT för 1 USD? Överbrygga samma USDT till en blockchain som inte stöds av Tether Limited och dina risker har multiplicerats med förvaringsinstitut(er), smarta kontrakt, likviditet, prisparitet och framför allt om bron inte kommer att brinna ner innan du behöver gå tillbaka till säkerhet.
På sätt och vis är broar över blockkedjor som maskhål: de transporterar material över rymden, men de bildas och förintas spontant.
Faktum är att Wormhole är namnet på världens mest välkapitaliserade bro, som förbinder blockkedjorna Ethereum och Solana. Det var hackad — liksom många broar. Nedan finns en lista.
Multichain-utnyttjande den 19 januari 2022
angripare stola 3 miljoner dollar i en exploatering av Multichain cross-blockchain-bron i början av året. Multichain utfärdade initiala meddelanden som fick användare att fråga om deras pengar var säkra. Det varnade användare att dra tillbaka tokens WETH, MATIC, AVAX, PERI, OMT och WBNB från berörda smarta kontrakt på sin plattform.
Flerkedja senare sade en angripare returnerade 259 ETH stulna i attacken. Tjudra frös USDT på adresser kopplade till exploateringen.
Qubit utnyttja den 27 januari 2022
Qubit Finance förlorat 206,809 80 BNB (27 miljoner USD) i en exploatering av QBridge den 2022 januari XNUMX. Projektet byggde sitt protokoll på Binance Chain.
Exploateringen slog bedrägligt 77,162 XNUMX qXETH, som angriparna kunde lösa in mot BNB-tokens. Qubit erbjöd sig att förhandla med angriparen för att få tillbaka pengarna.
Utnyttja maskhål den 2 februari 2022
Angripare präglade bedrägligt 120,000 2 inslagna ETH på Solanas blockchain med hjälp av Wormhole-bron den 2022 februari XNUMX. De skapade ett falskt signaturkonto för att validera sina transaktioner.
En Paradigm-forskare gjorde omvänd konstruktion av attacken och fastställde att Wormhole hade misslyckats med att implementera ett mer robust valideringsprotokoll för sina förmyndares signaturer.
Meter.io:s Meter Passport-utnyttja den 5 februari 2022
Meter.io:s Meter Passport-bro förlorat 4.4 miljoner dollar i en exploatering den 5 februari 2022. Exploateringen riktade sig till Moonrivers smarta kontraktsplattform på Polkadots Kusama-nätverk. Angriparna stal BNB och slog in ETH och dumpade sedan BNB på den decentraliserade börsen UniSwap.
Denna exploatering orsakade ett BNB-prisfall som tillät andra individer att ösa på billiga BNB och använda det som säkerhet för lån på plattformar som Hundred Crisis. Lånen orsakade leveransproblem för de berörda låneapparna.
Ronin Bridge exploatering den 29 mars 2022
angripare stola 173,600 25.5 ETH och 600 miljoner USDC (cirka 29 miljoner USD) från Ronin-bron den 2022 mars XNUMX. Exploateringen innebar att man fick tillgång till validatornodernas privata nycklar. Ronin-brons utvecklare stoppade insättningar och uttag tills utredarna hade en chans att avgöra vad som hände.
Utvecklare byggde Axie Infinity-spelet Ethereums Ronin sidokedja för att spara på avgifter. Tyvärr kompromissade de med säkerheten.
WonderHero utnyttjar den 7 april 2022
Wonder Hero upptäckt en exploatering av dess brygga den 7 april 2022, när värdet på dess inhemska WND-token oväntat sjönk med 50 %. Den förlorade $300,000 XNUMX i WND-tokens i attacken.
WonderHero pausade sin webbplats, spel, bridge, insättningar och uttag medan de undersökte. Det startade om spelet, marknadsplatsen och avkastningssystemet. Sedan dess, WonderHero posted en analys som bekräftar att dess Binance-brygga hade äventyrats.
Harmony One's Horizon Bridge exploatering den 23 juni 2022
Harmony One's Horizon Bridge förlorade 100 miljoner dollar i en exploatering den 23 juni 2022. Dess team sade det arbetade med brottsbekämpande myndigheter och kriminaltekniska experter för att undersöka exploateringen. Adressen som användes för att ta emot de stulna medlen fick ett "Horizon Bridge Exploatör”-etikett på Etherscan. Horizon Bridge Exploiter har för närvarande drygt 93,000 XNUMX dollar i tokens.
Läs mer: Cross-blockchain broar fortsätter att gå sönder när kryptostarten Nomad hackade för $190 miljoner
ChainSwap exploit den 10 juli 2022
ChainSwap förlorade 20 miljoner WILD-tokens i en exploit den 10 juli 2022. Wilder World använder WILD som sin ursprungliga token. En pseudonym Twitter-användare och Wilder World "medborgare" lade märke till ChainSwap-exploatet den 10 juli 2022. Exploateringen påverkade också Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank och Unifarm-tokens.
ChainSwap frös sin Ethereum-Binance Smart Chain-brygga medan den undersökte.
Före denna incident, ChainSwap lidit en annan exploatering där den förlorade $800,000 2 i tokens den XNUMX juli. Den lyckades ta igen några av dessa förluster i den attacken.
Nomadexploat den 2 augusti 2022
angripare stola 190 miljoner dollar i tokens genom att utnyttja en sårbarhet i Nomads smarta kontrakt den 2 augusti 2022. När metoden som användes för att utnyttja det smarta kontraktet blev offentlig tömde en massattack en ansenlig summa av pengarna.
Andressen Horowitzs CISO föreslog att vissa plundrare kan ha varit "white hat" exploatörer som syftar till att hålla pengar ur händerna på skändliga skådespelare. Nomad sade det arbetade med brottsbekämpande och privata säkerhetsfirmor för att undersöka och tackade skådespelarna i den vita hatten för att de tagit initiativet till att skydda fonder.
För mer informerade nyheter, följ oss vidare Twitter och Google Nyheter eller lyssna på vår undersökande podcast Innoverat: Blockchain City.
Källa: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/