Ώρα ανάγνωσης: 6 πρακτικά
Καθώς συνεχίζουν να κυκλοφορούν νεότερα blockchain, οι γέφυρες cross-chain γίνονται πιο απαραίτητες από ποτέ για την ενίσχυση της διαλειτουργικότητας μεταξύ των οικοσυστημάτων blockchain.
Τούτου λεχθέντος, η νέα καινοτομία θέτει επίσης την επιφάνεια για μεγάλο αριθμό φορέων επίθεσης. Σύμφωνα με το Chainalysis, Παραβιάσεις σε γέφυρες πολλαπλών αλυσίδων Μόνο το 69% των κλεμμένων κεφαλαίων το 2022.
Υπήρξαν 13 Γέφυρα σταυροειδούς αλυσίδας
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>επιθέσεις διασταυρούμενης αλυσίδας εμπρός και πίσω, με το 2022 να είναι η χρονιά με τις περισσότερες η πλειοψηφία.
Αυτό το άρθρο παρέχει μια συνοπτική περιγραφή όλων των γεγονότων hack cross-chain του 2022 για καλύτερη σαφήνεια ασφάλεια γεφυρών διασταυρούμενης αλυσίδας στους σημερινούς καιρούς.
Πώς οι γέφυρες πολλαπλών αλυσίδων αποδίδουν τη διαλειτουργικότητα των στοιχείων κρυπτογράφησης;
Ας κατανοήσουμε τη λειτουργία του α Γέφυρα σταυροειδούς αλυσίδας
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>γέφυρα διασταυρούμενης αλυσίδας μέσω ενός παραδείγματος.
Ένας χρήστης έχει στοιχεία στο δίκτυο Ethereum αλλά πρέπει να τα χρησιμοποιήσει στο Polygon. Αναζητά αμέσως μια κεντρική ανταλλαγή, όπως το Coinbase ή το Binance και μετατρέπει τις διαθέσεις του ETH σε MATIC για χρήση στο Polygon.
Τώρα, θέλει το εναπομείναν διακριτικό MATIC να μετατραπεί ξανά σε ETH. Άρα, θα πρέπει να ξαναπεράσει την ίδια διαδικασία.
Είναι ενδιαφέρον ότι οι γέφυρες διασταυρούμενης αλυσίδας κάνουν τη διαδικασία ευθεία και παρέχουν έναν ευκολότερο τρόπο μεταφοράς περιουσιακών στοιχείων μεταξύ διαφορετικών δικτύων blockchain.
Πώς το κάνει αυτό;
Οι περισσότερες γέφυρες διασταυρούμενης αλυσίδας λειτουργούν στο μοντέλο lock-and-mint για την επίτευξη διαλειτουργικότητας.
Το ίδιο σενάριο όπου ο χρήστης θέλει να χρησιμοποιήσει διακριτικά ETH στο δίκτυο Polygon. Ας δούμε πώς μπορεί να το κάνει μέσω α Γέφυρα σταυροειδούς αλυσίδας
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>γέφυρα διασταυρούμενης αλυσίδας.
- Ο χρήστης μπορεί να στείλει το διακριτικό ETH σε μια συγκεκριμένη διεύθυνση στην αλυσίδα Ethereum και να πληρώσει το τέλος συναλλαγής.
- Τα διακριτικά ETH είναι κλειδωμένα σε ένα έξυπνο συμβόλαιο από τον επικυρωτή ή κρατούνται από μια υπηρεσία φύλαξης.
- Τώρα μάρκες MATIC αξίας ίσης με κλειδωμένες μάρκες ETH κόβονται στην αλυσίδα Polygon (δηλαδή αλυσίδα προορισμού)
- Ο χρήστης λαμβάνει το διακριτικό MATIC στο πορτοφόλι του και μπορεί να το χρησιμοποιήσει για να πραγματοποιήσει συναλλαγές
Τι γίνεται αν ο χρήστης θέλει να πάρει πίσω το ETH διακριτικό του;
Αυτό είναι όπου το «κάψιμο των μαρκών» έρχεται στο προσκήνιο.
- Ο χρήστης μπορεί να στείλει το εναπομείναν διακριτικό MATIC στο πορτοφόλι σε μια συγκεκριμένη διεύθυνση στην αλυσίδα Polygon.
- Αυτά τα διακριτικά MATIC καίγονται έτσι ώστε τα χρήματα να μην μπορούν να επαναχρησιμοποιηθούν
- Τα έξυπνα συμβόλαια ή η υπηρεσία φύλαξης απελευθερώνει το διακριτικό ETH και το πιστώνει στο πορτοφόλι του χρήστη.
Στην πραγματικότητα, οι γέφυρες διασταυρούμενης αλυσίδας λειτουργούν τυλίγοντας μάρκες που θα χρησιμοποιηθούν από το ένα blockchain στο άλλο.
Εάν ένας χρήστης θέλει να χρησιμοποιήσει Bitcoin στο δίκτυο Ethereum, οι γέφυρες cross-chain μετατρέπουν το BTC στο blockchain Bitcoin σε τυλιγμένο Bitcoin (wBTC) στο blockchain Ethereum.
Εξετάζοντας αυτό, μπορούμε εύκολα να πούμε ότι υπάρχουν σημαντικές περιπλοκές ως πηγή, και το blockchain προορισμού χρησιμοποιεί δύο διαφορετικά έξυπνα συμβόλαια. Και ως εκ τούτου, τα ζητήματα από κάθε πλευρά θέτουν τα χρήματα του χρήστη σε κίνδυνο.
Οι γέφυρες μπορούν να είναι δύο τύπων: αξιόπιστες και ανεξάρτητες
Σε γενικές γραμμές, ο τύπος της γέφυρας καθορίζει ποιος έχει την εξουσία στα ταμεία.
Αξιόπιστες γέφυρες διαχειρίζονται κεντρικές οντότητες που αναλαμβάνουν τη φύλαξη των κεφαλαίων που μεταφέρονται μέσω γεφυρών.
Απίστευτες γέφυρες λειτουργούν σε έξυπνα συμβόλαια και αλγόριθμους και το ίδιο το έξυπνο συμβόλαιο ξεκινά κάθε ενέργεια. Έτσι, με αυτόν τον τρόπο, οι χρήστες έχουν τον έλεγχο των περιουσιακών τους στοιχείων.
Διαταραχές που οδήγησαν σε παραβιάσεις γεφυρών διασταυρούμενης αλυσίδας
Πρόσφατα αρχεία hacks από το 2021-22 απεικονίζουν ξεκάθαρα ότι οι γέφυρες DeFi είναι οι πιο περιζήτητοι στόχοι από τους επιτιθέμενους.
Ανιχνεύοντας τις αμυχές που έχουν συμβεί από την ίδρυση των γεφυρών διασταυρούμενης αλυσίδας
Όπως αναφέρθηκε προηγουμένως, το 2022 συμβάλλει στην πλειονότητα των hacks και ας δούμε τι πήγε στραβά σε όλα αυτά τα hacks.
BSC (Μη ελεγμένο)
"Κλάπηκαν 2 εκατομμύρια διακριτικό BNB αξίας 586 εκατομμυρίων δολαρίων από τον κόμβο διακριτικών BSC."
BSC token hub είναι μια γέφυρα Binance που συνδέει την παλιά αλυσίδα Binance Beacon και την αλυσίδα BNB. Ο εισβολέας επιδεικνύοντας ψευδείς αποδείξεις κατάθεσης στην αλυσίδα Binance Beacon, έκοψε 2M BNB από τη γέφυρα BNB.
Ο χάκερ εκμεταλλεύτηκε το ελάττωμα στη γέφυρα Binance που επαλήθευε τις αποδείξεις και δανείστηκε 1 εκατομμύριο BNB το καθένα από δύο συναλλαγές.
Στη συνέχεια, ο εισβολέας χρησιμοποίησε το δανεισμένο κεφάλαιο ως εγγύηση στο πρωτόκολλο Venus της πλατφόρμας δανεισμού BSC και η ρευστότητα μεταφέρθηκε αμέσως σε άλλα δίκτυα blockchain.
Nomad Attack
«Η γέφυρα Nomad έπεσε από μια άγρια επίθεση χάνοντας 190 εκατομμύρια δολάρια ρευστότητας»
Το Nomad αποδείχθηκε ότι ήταν ένα hack χωρίς άδεια στο οποίο ο καθένας μπορούσε να συμμετάσχει και να εκμεταλλευτεί. Μετά τη συνήθη αναβάθμιση του συμβολαίου, το συμβόλαιο Replica προετοιμάστηκε με ένα σφάλμα.
Η συνάρτηση process() είναι υπεύθυνη για την εκτέλεση μηνυμάτων διασταυρούμενης αλυσίδας και έχει μια εσωτερική απαίτηση για την επικύρωση της ρίζας merkle για την επεξεργασία των μηνυμάτων.
Εκμεταλλευόμενος το σφάλμα κωδικοποίησης, ο εκμεταλλευτής μπόρεσε να καλέσει απευθείας τη συνάρτηση process() χωρίς να χρειάζεται να «αποδείξει» την εγκυρότητά τους.
Το σφάλμα στον κώδικα επικύρωσε την τιμή "μηνύματα" του 0 (μη έγκυρη, σύμφωνα με τη λογική παλαιού τύπου) ως "αποδεδειγμένη". Έτσι, αυτό σήμαινε ότι οποιαδήποτε κλήση διαδικασίας() εγκρίθηκε ως έγκυρη, οδηγώντας στην εκμετάλλευση κεφαλαίων από τη γέφυρα.
Πολλοί χάκερ βρήκαν την ευκαιρία να λεηλατήσουν τεράστια χρήματα μέσω μιας απλής κλήσης αντιγραφής/επικόλλησης της ίδιας λειτουργίας διαδικασίας() μέσω Etherscan.
Γέφυρα Αρμονίας
«Η Harmony έφτασε στον δύσκολο δρόμο χάνοντας πάνω από 100 εκατομμύρια δολάρια σε συμβιβασμό για το ιδιωτικό κλειδί»
Η γέφυρα Harmony ασφαλίστηκε με 2 από 5 multisig, όπου ο φορέας επίθεσης κατάφερε να αποκτήσει πρόσβαση σε δύο διευθύνσεις.
Ο χάκερ χρησιμοποίησε την παραβιασμένη διεύθυνση που ήταν απαραίτητη για να περάσει οποιαδήποτε συναλλαγή και τελικά πήρε 100 εκατομμύρια δολάρια στα χέρια του από τη γέφυρα.
Λίγοι υποψιάζονται ότι ο παραβιασμός του ιδιωτικού κλειδιού μπορεί να οφείλεται στο ότι ο χάκερ αποκτά πρόσβαση στους διακομιστές που τρέχουν αυτά τα καυτά πορτοφόλια.
Ronin Network (μη ελεγμένο)
«Το μεγαλύτερο από τα κρυπτογραφικά χάκερ – Ronin exploit για ~624 εκατομμύρια δολάρια»
Το Ronin ήταν μια πλευρική αλυσίδα Ethereum που εργάστηκε στο μοντέλο Απόδειξης Εξουσιοδότησης με εννέα επικυρωτές για την έγκριση συναλλαγών.
Για την έγκριση των συναλλαγών κατάθεσης και ανάληψης απαιτείται έγκριση πέντε στους εννέα επικυρωτές. Από αυτό, τέσσερις επικυρωτές είναι εσωτερικά μέλη της ομάδας και χρειάζεται μόνο μία ακόμη υπογραφή για την εξουσιοδότηση των συναλλαγών.
Εκτός από τη διακύβευση των τεσσάρων εσωτερικών κόμβων επικύρωσης, ο χάκερ απέκτησε επίσης πρόσβαση σε αυτήν την πέμπτη υπογραφή, εξαντλώντας τα χρήματα από τη σύμβαση της γέφυρας Ronin.
Δυστυχώς, η επίθεση εντοπίστηκε μετά από σχεδόν μια εβδομάδα.
Meter.io (Μη ελεγμένο)
"4.4 εκατομμύρια δολάρια ελήφθησαν από το Meter.io λόγω επίθεσης σε γέφυρα"
Το Meter.io, ένα πιρούνι του ChainBridge του chainSafe, που κυκλοφόρησε με μια αλλαγή στη μέθοδο κατάθεσης από τον χειριστή ERC20.
Οι αποκλίσεις στη μέθοδο κατάθεσης αξιοποιήθηκαν από τον χάκερ, ο οποίος λεηλατεί κεφάλαια στέλνοντας ένα αυθαίρετο ποσό στο δεδομένα κλήσης.
Σκουλήκι
"Περιστατικό σκουληκότρυπας με τον χάκερ να έχει συμπληρώσει 326 εκατομμύρια δολάρια στη διαδικασία"
Το Wormhole, μια γέφυρα Solana, χειραγωγήθηκε για να πιστέψει ότι κατατέθηκαν 120 χιλιάδες ETH στο Ethereum, κάτι που επέτρεψε στον χάκερ να κόψει ισοδύναμα περιτυλιγμένα περιουσιακά στοιχεία στο Solana.
Οι χάκερ εκμεταλλεύτηκαν τις ελλείψεις στο «Solana_program::sysvar::instructions» και στο «Solana_program» που δεν επαλήθευσαν σωστά τη διεύθυνση. Χρησιμοποιώντας αυτό, ο εισβολέας παρείχε διεύθυνση που περιείχε μόλις 0.1 ETH και παρήγαγε ένα ψεύτικο «Σετ υπογραφών» για να κόψει δόλια 120k τυλιγμένο ETH στον Solana.
Qbridge (Μη ελεγμένο)
“Qbridge under the lens for $80M exploit”
Το Qubit επιτρέπει τη διασταυρούμενη εξασφάλιση περιουσιακών στοιχείων μεταξύ Ethereum και BSC.
Το λογικό σφάλμα στο σφάλμα έκανε το xETH διαθέσιμο στο BSC χωρίς κατάθεση ETH στο Ethereum. Αυτό έκανε τους χάκερ να αποκτήσουν δάνεια με εξασφαλίσεις στο Qubit, παρόλο που δεν είχαν κλειδωθεί καμία κατάθεση στο συμβόλαιο Ethereum.
Λίγο φως στην ασφάλεια γέφυρας διασταυρούμενης αλυσίδας
Εκτός από τα μέτρα ασφαλείας που είναι ενσωματωμένα στη σχεδίαση του πρωτοκόλλου, η διεξαγωγή ενδελεχών και τακτικών ελέγχων ελέγχου ελαχιστοποιεί την επιφάνεια κινδύνου των επιθέσεων. Η QuillAudits πρωτοπορεί ως α Ελεγκτική εταιρεία Tier-1 με καλή παγκόσμια φήμη για την εξασφάλιση έργων.
10 Προβολές
- Bitcoin
- blockchain
- συμμόρφωση με το blockchain
- blockchain συνέδριο
- coinbase
- Coingenius
- Ομοφωνία
- crypto συνέδριο
- εξόρυξη κρυπτογράφησης
- cryptocurrency
- Αποκεντρωμένη
- Defi
- Ψηφιακά περιουσιακά στοιχεία
- ethereum
- μάθηση μηχανής
- μη εύφλεκτο διακριτικό
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Πλανοσάτσας
- Πλάτωνα δεδομένα
- platogaming
- Πολύγωνο
- απόδειξη συμμετοχής
- Quillhash
- τείνοντας
- W3
- zephyrnet
