Hackare har stulit 1.4 miljarder dollar i år med hjälp av kryptobryggor

Kryptoinvesterare har drabbats hårt i år av hacks och bedrägerier. En anledning är att cyberkriminella har hittat en särskilt användbar väg att nå dem: broar.

Blockchain-broar, som tunt förbinder nätverk för att möjliggöra snabba byten av tokens, vinner popularitet som ett sätt för kryptoanvändare att handla. Men när de använder dem, kringgår kryptoentusiaster en centraliserad börs och använder ett system som i stort sett är oskyddat.

Totalt har cirka 1.4 miljarder dollar gått förlorade på grund av intrång på dessa tvärkedjebroar sedan början av året, enligt siffror från blockchainanalysföretaget Chainalysis. Den största enskilda händelsen var rekord 615 miljoner dollar ryckt från Ronin, en brygga som stödjer det populära icke-svängbara tokenspelet Axie Infinity, som låter användare tjäna pengar när de spelar.

Det fanns också 320 miljoner dollar stulna från Wormhole, en kryptobrygga som backas upp av Wall Streets högfrekvenshandelsföretag Jump Trading. I juni drabbades Harmony's Horizon-bron av en attack på 100 miljoner dollar. Och förra veckan, nästan 200 miljoner dollar beslagtogs av hackare i ett brott mot Nomad.

"Blockkedjebroar har blivit den lågt hängande frukten för cyberbrottslingar, med kryptotillgångar till ett värde av miljarder dollar instängda i dem", sa Tom Robinson, medgrundare och chefsforskare på blockchain-analysföretaget Elliptic, i en intervju. "Dessa broar har brutits av hackare på en mängd olika sätt, vilket tyder på att deras säkerhetsnivå inte har hållit jämna steg med värdet på tillgångar som de har."

Brooperationerna sker i en slående takt, med tanke på att det är ett så nytt fenomen. Enligt Chainalysis-data står det belopp som stulits i broryckningar för 69 % av de pengar som stulits i kryptorelaterade hack hittills under 2022.

En brygga är en mjukvara som låter någon skicka tokens från ett blockchain-nätverk och ta emot dem i en separat kedja. Blockkedjor är de distribuerade reskontrasystem som stödjer olika kryptovalutor.

När du byter en token från en kedja till en annan - som när du skickar några eter från ethereum till solana-nätverket — en investerare sätter in tokens i ett smart kontrakt, en bit kod på blockkedjan som gör det möjligt för avtal att verkställas automatiskt utan mänsklig inblandning.

Den krypton "präglas" sedan på en ny blockkedja i form av en så kallad wrapped token, som representerar ett anspråk på de ursprungliga etermynten. Tokenen kan sedan handlas på ett nytt nätverk. Det kan vara användbart för investerare som använder ethereum, som har blivit ökänt för plötsliga toppar i avgifter och längre väntetider när nätverket är upptaget.

"De har vanligtvis enorma summor pengar", säger Adrian Hetman, teknisk ledare på kryptosäkerhetsföretaget Immunefi. "De här summorna pengar, och hur mycket trafik som går genom broar, är en mycket lockande attack."

Broars sårbarhet kan delvis härledas till slarvig ingenjörskonst.

Hacket på Harmonys Horizon-brygga var till exempel möjligt på grund av det begränsade antalet validerare som krävdes för att godkänna transaktioner. Hackare behövde bara kompromissa med två av totalt fem konton för att få de lösenord som krävs för att ta ut pengar.

En liknande situation inträffade med Ronin. Hackare behövde bara övertyga fem av nio validerare på nätverket att lämna över sina privata nycklar för att få tillgång till krypto låst inuti systemet.

I Nomads fall var bron mycket enklare för hackare att manipulera. Angripare kunde lägga in valfritt värde i systemet och sedan ta ut pengar, även om det inte fanns tillräckligt med tillgångar insatta i bron. De behövde inga programmeringskunskaper, och deras bedrifter ledde till att copycats hopade sig, vilket ledde till den åttonde största kryptostölden genom tiderna, enligt Elliptic.

Nomad är erbjuda hackare en belöning på upp till 10 % för att få tillbaka användarmedel och säger att de kommer att avstå från att vidta rättsliga åtgärder mot hackare som returnerar 90 % av tillgångarna de tog.

Nomad sa till CNBC att det är "engagemang att hålla sitt community uppdaterat när det lär sig mer" och "uppskattar alla de som agerade snabbt för att skydda pengar."

Broar är ett viktigt verktyg i den decentraliserade finansbranschen (DeFi), som är kryptons alternativ till banksystemet.

Med DeFi, i stället för centraliserade spelare som slår ut, hanteras växlingarna av pengar av en programmerbar kod som kallas ett smart kontrakt. Detta kontrakt är skrivet på en offentlig blockchain, som t.ex ethereum or solana, och det körs när vissa villkor är uppfyllda, vilket förnekar behovet av en central mellanhand. 

"Vi kan inte bara flytta dessa tillgångar," sa Hetman. "Det är därför vi behöver blockchain-broar."

När DeFi-utrymmet fortsätter att utvecklas kommer utvecklare att behöva göra blockkedjor interoperabla för att säkerställa att tillgångar och data kan flöda smidigt mellan nätverk.

"Utan dem är tillgångar låsta på inhemska kedjor", säger Auston Bunsen, medgrundare av QuikNode, som tillhandahåller blockchain-infrastruktur till utvecklare och företag.

Men de är riskfyllda.

"De är i praktiken ostyrda", säger David Carlisle, chef för regulatoriska frågor på Elliptic. De är "mycket sårbara för hacks eller för att användas i brott som penningtvätt."

Brottslingar har sedan 540 överfört illa vunna vinster till ett värde av minst 2020 miljoner dollar genom en bro som heter RenBridge, enligt ny forskning som Elliptic lämnade till CNBC.

"En stor fråga är om broar kommer att bli föremål för reglering, eftersom de fungerar mycket som kryptobörser, som redan är reglerade," sa Carlisle.

Den här veckan US Treasury Departments Office of Foreign Assets Control, eller OFAC, meddelade sanktioner mot Tornado Cash, en populär blandare för kryptovaluta, som förbjuder amerikaner att använda tjänsten. Mixers är verktyg som blandar en användares tokens med en pool av andra medel för att dölja identiteten för de inblandade individerna och enheterna.

Carlisle sa att det börjar bli uppenbart att "amerikanska tillsynsmyndigheter är beredda att gå efter DeFi-tjänster som underlättar olaglig aktivitet."

KOLLA PÅ: Adrian Hetman från Immunefi förklarar hur hackare stal 200 miljoner dollar