Chainalysis rapporterer $2B tabt i cross-chain bridge hacks

Forskning udført af blockchain-dataplatform Chainalysis anslået, at $2 milliarder gik tabt fra cross-chain bridge hacks indtil videre i 2022.

Chainalysis udtalte i rapporten, at problemet nu "repræsenterer en væsentlig trussel mod at opbygge tillid til blockchain-teknologi."

Ydermere sagde forskere, at bridge-hak favoriseres af nordkoreanske hackere, som anslås at stå for halvdelen af ​​de 2 milliarder dollars, der er stjålet til dato.

Rapporten kommer varmt i hælene på Nomadebro hack, hvor 191 millioner dollars blev stjålet. Nomad forbinder blokkæderne Ethereum, Avalanche, Evmos, Moonbeam og Milkomeda.

Broer på tværs af kæder har flere sårbarhedspunkter

Cross-chain broer forbinder forskellige blockchains, hvilket muliggør overførsel af data eller tokens mellem ellers inkompatible kæder. Teknologien er en del af et forsøg på at gøre hele kryptoøkosystemet interoperabelt.

Bridges gør det muligt at bruge aktiver på en anden blockchain uden at gå ud af kæden for at handle for det nødvendige token på en børs. Typisk fungerer de ved en aktivkonverteringsproces ved hjælp af en lock-mint-burn-mekanisme.

Imidlertid er broer modtagelige for flere sårbarheder, herunder et enkelt punkt for fiasko/centralisering, lav likviditet, da den centraliserede enhed skal beholde en pulje af aktiver, tekniske sårbarheder, da lock-mint-burn-mekanismen er styret af smarte kontrakter og censur.

Kædelyse anbefalinger

Chainalysis-rapporten sagde, at 13 separate brohak har fundet sted til dato i år, hvilket repræsenterer 69% af alle stjålne midler.

Forskere kortlagde en opdeling af andre hacks versus bridge hacks, der ikke viser noget mærkbart mønster. Før 3. kvartal 2021 var bridge hacks ikke-eksisterende. Men Q1 2022 oplevede et toppunkt i midler stjålet fra broer; dette faldt sammen med et højdepunkt i de samlede stjålne midler.

Chainalysis sagde i rapporten, at tidligere udvekslinger var det primære mål for hackere. Men øget sikkerhed på børser har tvunget hackere til at opsøge nyere, mere sårbare mål at angribe.

For at imødegå problemet opfordrede forskere til strenge revisioner af smart kontraktkode og til, at dokumenterede kontrakter blev brugt som en skabelon for udviklere at bygge videre på. Chainalysis rådgav også i rapporten om "skødesløshed i den menneskelige natur", og sagde, at teams kræver træning for at få øje på "sofistikeret social ingeniør-taktik."

Selvom det ikke er nævnt ved navn i rapporten, var ovenstående kommentar med henvisning til Ronin bridge-hacket, hvor Axie Infinity-brugere mistede $615 millioner - platformen senere refunderet denne.

Det viste sig for nylig, at Ronin bridge hack blev orkestreret af nordkoreanske hackere rettet mod en senioringeniør med et falsk job. Processen involverede falske samtaler, der kulminerede med et jobtilbud sendt via en inficeret fil. Åbning af filen gjorde det muligt for hackere at overtage kontrol over flere netværksknuder.