Η Chainalysis αναφέρει ότι χάθηκαν 2 δισεκατομμύρια $ σε παραβιάσεις σε γέφυρες cross-chain

Έρευνα που πραγματοποιήθηκε από την πλατφόρμα δεδομένων blockchain Αλυσίδα εκτιμάται ότι 2 δισεκατομμύρια δολάρια χάθηκαν από τις παραβιάσεις γεφυρών μεταξύ των αλυσίδων μέχρι στιγμής το 2022.

Η Chainalysis ανέφερε στην έκθεση ότι το ζήτημα πλέον «αντιπροσωπεύει μια σημαντική απειλή για την οικοδόμηση εμπιστοσύνης στην τεχνολογία blockchain».

Επιπλέον, οι ερευνητές είπαν ότι οι αμυχές σε γέφυρες ευνοούνται από βορειοκορεάτες χάκερ, οι οποίοι εκτιμάται ότι αντιπροσωπεύουν τα μισά από τα 2 δισεκατομμύρια δολάρια που έχουν κλαπεί μέχρι σήμερα.

Η έκθεση έρχεται καυτή στο τακούνια του Nomad bridge hack, στο οποίο κλάπηκαν 191 εκατομμύρια δολάρια. Το Nomad συνδέει τις αλυσίδες μπλοκ Ethereum, Avalanche, Evmos, Moonbeam και Milkomeda.

Οι γέφυρες διασταυρούμενης αλυσίδας έχουν πολλά σημεία ευπάθειας

Οι γέφυρες πολλαπλής αλυσίδας συνδέουν διαφορετικές αλυσίδες μπλοκ, επιτρέποντας τη μεταφορά δεδομένων ή διακριτικών μεταξύ ασύμβατων κατά τα άλλα αλυσίδων. Η τεχνολογία αποτελεί μέρος μιας προσπάθειας για να καταστεί διαλειτουργικό ολόκληρο το οικοσύστημα κρυπτογράφησης.

Οι γέφυρες καθιστούν δυνατή τη χρήση περιουσιακών στοιχείων σε διαφορετική αλυσίδα μπλοκ χωρίς να βγαίνεις εκτός αλυσίδας για να συναλλάσσεσαι για το απαιτούμενο διακριτικό σε μια ανταλλαγή. Συνήθως, λειτουργούν με μια διαδικασία μετατροπής περιουσιακών στοιχείων χρησιμοποιώντας έναν μηχανισμό κλειδώματος-μέντας-καύσης.

Ωστόσο, οι γέφυρες είναι επιρρεπείς σε αρκετές τρωτά σημεία, συμπεριλαμβανομένου ενός μεμονωμένου σημείου αποτυχίας/συγκέντρωσης, χαμηλής ρευστότητας καθώς η κεντρική οντότητα πρέπει να διατηρεί μια δεξαμενή περιουσιακών στοιχείων, τεχνικές ευπάθειες καθώς ο μηχανισμός κλειδώματος-νομισματοκοπείου-καύσης διέπεται από έξυπνα συμβόλαια και λογοκρισία.

Συστάσεις αλυσιδωτής ανάλυσης

Η έκθεση Chainalysis ανέφερε ότι έχουν συμβεί 13 ξεχωριστές παραβιάσεις γεφυρών μέχρι σήμερα φέτος, που αντιπροσωπεύουν το 69% όλων των κλεμμένων κεφαλαίων.

Οι ερευνητές σχεδίασαν μια ανάλυση άλλων hacks σε σύγκριση με τα hacks που δεν εμφανίζουν διακριτό μοτίβο. Πριν από το τρίτο τρίμηνο του 3, οι παραβιάσεις της γέφυρας ήταν ανύπαρκτες. Όμως, το πρώτο τρίμηνο του 2021 σημειώθηκε κορύφωση των κεφαλαίων που κλάπηκαν από γέφυρες. Αυτό συνέπεσε με την κορύφωση των συνολικών κεφαλαίων που έχουν κλαπεί.

Η Chainalysis ανέφερε στην έκθεση ότι, στο παρελθόν, οι ανταλλαγές ήταν ο πρωταρχικός στόχος για τους χάκερ. Ωστόσο, η αυξημένη ασφάλεια στα χρηματιστήρια ανάγκασε τους χάκερ να αναζητήσουν νεότερους, πιο ευάλωτους στόχους για επίθεση.

Για την αντιμετώπιση του προβλήματος, οι ερευνητές ζήτησαν αυστηρούς ελέγχους κώδικα έξυπνων συμβολαίων και αποδεδειγμένα συμβόλαια που θα χρησιμοποιηθούν ως πρότυπο για να αξιοποιήσουν οι προγραμματιστές. Η Chainalysis συμβουλεύει επίσης στην έκθεση για την «απροσεξία της ανθρώπινης φύσης», λέγοντας ότι οι ομάδες απαιτούν εκπαίδευση για να εντοπίσουν «εξελιγμένες τακτικές κοινωνικής μηχανικής».

Αν και δεν αναφέρεται ονομαστικά στην αναφορά, το παραπάνω σχόλιο αφορούσε το χακάρισμα της γέφυρας Ronin, κατά το οποίο οι χρήστες του Axie Infinity έχασαν 615 εκατομμύρια δολάρια – η πλατφόρμα αργότερα επιστραφεί αυτό.

Πρόσφατα προέκυψε ότι το Παραβίαση της γέφυρας Ronin ενορχηστρώθηκε από βορειοκορεάτες χάκερ με στόχο έναν ανώτερο μηχανικό με ψεύτικη δουλειά. Η διαδικασία περιλάμβανε ψεύτικες συνεντεύξεις που κορυφώθηκαν με μια προσφορά εργασίας που αποστέλλεται μέσω ενός μολυσμένου αρχείου. Το άνοιγμα του αρχείου επέτρεψε στους χάκερ να αναλάβουν τον έλεγχο πολλών κόμβων δικτύου.