Yhteenveto Cross-chain Bridge Attacks 2022 PlatoBlockchain Data Intelligence. Pystysuuntainen haku. Ai.

Yhteenveto ketjusilta-iskuista 2022

Aikaleima: 14. marraskuuta 2022 9

Lukeaika: 6 pöytäkirja

Uudempien lohkoketjujen lanseerauksen jatkuessa ketjujen väliset sillat ovat tulossa välttämättömämmiksi kuin koskaan parantamaan lohkoketjuekosysteemien välistä yhteentoimivuutta. 

Tästä huolimatta uusi innovaatio luo pinnan myös suurelle määrälle hyökkäysvektoreita. Chainalysisin mukaan Ketjujen väliset sillan murskaukset Pelkästään 69 prosenttia varastetuista varoista vuonna 2022. 

Niitä on ollut 13 Ristiketjuinen silta

Cross-chain siltaprotokolla tarjoaa infrastruktuurin tokenien siirtämiseksi lohkoketjusta toiseen. Tokenien ketjujen välinen siirto saavutetaan lukitsemalla merkit lähdeketjun älysopimukseen ja lyömällä vastaavat merkit kohdelohkoketjuun ja päinvastoin lähdeketjun tokenien lukituksen avaamiseksi.

” data-gt-translate-attributes=”[{”attribute”:”data-cmtooltip”, “format”:”html”}]”>ketjujen välisiä siltahyökkäyksiä edestakaisin, ja vuosi 2022 oli eniten suurin osa. 

Tässä artikkelissa on tiivis kuvaus kaikista vuoden 2022 ketjujen välisistä hakkerointitapahtumista paremman selkeyden vuoksi. ketjujen välisten siltojen turvallisuus tämän päivän aikoina. 

Kuinka ketjujen väliset sillat tuottavat kryptovarojen yhteentoimivuuden?

Ymmärretään a:n toiminta Ristiketjuinen silta

Cross-chain siltaprotokolla tarjoaa infrastruktuurin tokenien siirtämiseksi lohkoketjusta toiseen. Tokenien ketjujen välinen siirto saavutetaan lukitsemalla merkit lähdeketjun älysopimukseen ja lyömällä vastaavat merkit kohdelohkoketjuun ja päinvastoin lähdeketjun tokenien lukituksen avaamiseksi.

” data-gt-translate-attributes=”[{”attribuutti”:”data-cmtooltip”, “format”:”html”}]”>ketjujen välinen silta esimerkin kautta. 

Käyttäjällä on omaisuutta Ethereum-verkossa, mutta hänen on käytettävä niitä Polygonissa. Hän etsii välittömästi keskitettyä pörssiä, kuten Coinbase tai Binance, ja muuntaa ETH-omistuksensa MATICiksi käytettäväksi Polygonissa. 

Nyt hän haluaa, että jäljellä oleva MATIC-tunnus muunnetaan takaisin ETH:ksi. Joten hänen on käytävä läpi sama prosessi uudestaan. 

Mielenkiintoista on, että ketjujen väliset sillat saavat prosessin suoriksi ja tarjoavat helpomman tavan siirtää omaisuutta edestakaisin eri lohkoketjuverkkojen välillä. 

Miten se tekee sen?

Suurin osa ketjujen välisistä silloista toimii lukko-ja-mint-mallissa yhteentoimivuuden saavuttamiseksi. 

Sama skenaario, jossa käyttäjä haluaa käyttää ETH-tunnuksia Polygon-verkossa. Katsotaanpa, kuinka hän voi tehdä sen a Ristiketjuinen silta

Cross-chain siltaprotokolla tarjoaa infrastruktuurin tokenien siirtämiseksi lohkoketjusta toiseen. Tokenien ketjujen välinen siirto saavutetaan lukitsemalla merkit lähdeketjun älysopimukseen ja lyömällä vastaavat merkit kohdelohkoketjuun ja päinvastoin lähdeketjun tokenien lukituksen avaamiseksi.

” data-gt-translate-attributes=”[{”attribuutti”:”data-cmtooltip”, “format”:”html”}]”>ketjujen välinen silta.

  • Käyttäjä voi lähettää ETH-tunnuksen tiettyyn osoitteeseen Ethereum-ketjussa ja maksaa tapahtumamaksun. 
  • ETH-tunnukset on lukittu älykkääseen sopimukseen validaattorin toimesta tai säilytyspalvelun hallussa.
  • Nyt Polygon-ketjuun (eli kohdeketjuun) lyödään MATIC-tokeneita, joiden arvo on yhtä suuri kuin lukittuja ETH-merkkejä.
  • Käyttäjä saa MATIC-tunnuksen lompakkoonsa ja voi käyttää sitä maksutapahtumien tekemiseen 

Entä jos käyttäjä haluaa saada takaisin ETH-tunnuksensa?

Tässä kohtaa "rahakkeiden polttaminen" tulee kuvaan. 

  • Käyttäjä voi lähettää lompakossa jäljellä olevan MATIC-tunnuksensa tiettyyn osoitteeseen Polygon-ketjussa. 
  • Nämä MATIC-tunnukset poltetaan siten, että varoja ei voida käyttää uudelleen
  • Älykkäät sopimukset tai säilytyspalvelu vapauttaa ETH-tunnuksen ja hyvittää ne käyttäjän lompakkoon. 

Todellisuudessa ketjujen väliset sillat toimivat käärimällä tokeneita käytettäväksi lohkoketjusta toiseen. 

Jos käyttäjä haluaa käyttää Bitcoinia Ethereum-verkossa, ketjujen väliset sillat muuntavat Bitcoin-lohkoketjun BTC:n Ethereumin lohkoketjun käärityksi Bitcoiniksi (wBTC). 

Tätä tarkastelemalla voimme helposti sanoa, että lähteenä on huomattavia monimutkaisia ​​​​ja kohdelohkoketju käyttää kahta erilaista älykästä sopimusta. Ja siksi kummankin puolen ongelmat vaarantavat käyttäjän varat. 

Siltoja voi olla kahta tyyppiä: Luotettavat ja Luotettavat

Yleisesti ottaen siltatyyppi määrittää, kenellä on valta rahastoissa. 

Luotettavat sillat niitä hoitavat keskusyksiköt, jotka ottavat haltuunsa siltojen kautta siirretyt varat.

Luotettavat sillat toimii älykkäissä sopimuksissa ja algoritmeissa, ja älykäs sopimus itse käynnistää kaikki toiminnot. Joten tällä tavalla käyttäjät voivat hallita omaisuuttaan. 

Häiriöt, jotka johtivat Cross-Chain Bridge -rikkomuksiin

Viimeaikaiset tietomurrot vuosilta 2021-22 osoittavat selvästi, että DeFi-sillat ovat hyökkääjien halutuimpia kohteita. 

Yhteenveto Cross-chain Bridge Attacks 2022 PlatoBlockchain Data Intelligence. Pystysuuntainen haku. Ai.

Jäljitetään hakkereita, joita on koskaan tapahtunut ketjujen välisten siltojen perustamisen jälkeen

Kuten aiemmin todettiin, 2022 osallistuu useimpiin hakkeroihin, ja katsotaanpa, mikä meni pieleen kaikissa näissä hakkeroissa. 

BSC (auditoimaton) 

"2M BNB-tunnus, jonka arvo on 586 miljoonaa dollaria, varastettiin BSC-merkkikeskuksesta."

BSC-tunnuskeskitin on Binance-silta, joka yhdistää vanhan Binance Beacon -ketjun ja BNB-ketjun. Hyökkääjä esitti vääriä todisteita talletuksesta Binance Beacon -ketjuun, lyötiin 2M BNB BNB-sillalta.

Hakkeri käytti hyväkseen Binance-sillan virhettä, joka vahvisti todisteet ja lainasi kumpaakin 1 M BNB kahdesta tapahtumasta. 

Hyökkääjä käytti sitten lainattua rahastoa vakuudeksi BSC:n lainausalustan Venus-protokollalla, ja likviditeetti siirtyi välittömästi muihin lohkoketjuverkkoihin.

Nomadin hyökkäys

"Nomad Bridge kaatui rajuun hyökkäykseen ja menetti 190 miljoonaa dollaria likviditeettiä"

Nomad osoittautui luvattomaksi hakkeriksi, jota kuka tahansa saattoi liittyä ja hyödyntää. Rutiinisopimuksen päivityksen jälkeen Replica-sopimus alustettiin virheen kanssa. 

process()-funktio vastaa ketjujen välisestä viestien suorittamisesta, ja sillä on sisäinen vaatimus vahvistaa merkle-juuri viestien käsittelyä varten. 

Hyödyntämällä koodausvirhettä, hyödyntäjä pystyi kutsumaan prosessi()-funktiota suoraan ilman, että hänen piti "todistaa" niiden oikeellisuutta.

Koodissa oleva virhe vahvisti "viestit"-arvon 0 (virheellinen, vanhan logiikan mukaan) "todistetuksi". Siten tämä tarkoitti, että mikä tahansa prosessi()-kutsu hyväksyttiin kelvollisiksi, mikä johti sillan varojen hyödyntämiseen.

Monet hakkerit käyttivät tilaisuutta ryöstää valtavia rahaa kopioimalla/liitämällä saman process()-funktion kutsun Etherscanin kautta. 

Harmony Bridge

"Harmony osui kovalle tielle menettäen yli 100 miljoonaa dollaria yksityisen avaimen kompromissille"

Harmony Bridge suojattiin 2/5 multisigillä, jossa hyökkäysvektori onnistui pääsemään kahteen osoitteeseen. 

Hakkeri käytti vaarantunutta osoitetta, joka oli välttämätön minkä tahansa tapahtuman suorittamiseksi, ja otti lopulta 100 miljoonaa dollaria käsiinsä sillalta. 

Harvat epäilevät, että yksityisen avaimen kompromissi voi johtua hakkerin pääsystä palvelimille, jotka käyttävät näitä hot lompakoita. 

Ronin Network (auditoimaton)

”Suurin kryptohakkerointi – Roninin hyväksikäyttö ~ 624 miljoonalla dollarilla”

Ronin oli Ethereumin sivuketju, joka työskenteli Proof of Authority -mallissa yhdeksän validaattorin kanssa tapahtumien hyväksymistä varten.

Viisi yhdeksästä validaattorin hyväksynnästä vaaditaan talletus- ja kotiutustapahtumien hyväksymiseen. Tästä neljä validaattoria on sisäisen tiimin jäseniä, ja vain yksi allekirjoitus tarvitaan lisää tapahtumien valtuutukseen. 

Neljän sisäisen validointisolmun vaarantamisen lisäksi hakkeri pääsi myös tähän viidenteen allekirjoitukseen, mikä tyhjensi varat Roninin siltasopimuksesta. 

Valitettavasti hyökkäys tunnistettiin melkein viikon kuluttua. 

Meter.io (tilintarkastamaton)

"4.4 miljoonaa dollaria otettu Meter.io-sivustolta siltahyökkäyksen vuoksi"

Meter.io, chainSafen ChainBridgen haarukka, lanseerattiin ERC20-käsittelijän tekemän talletustavan muutoksen myötä. 

Talletusmenetelmän eroja hyödynsi hakkeri, joka ryöstää varoja lähettämällä mielivaltaisen summan puhelutiedot.

madonreikä

"Madonreikä tapaus, jossa hakkeri nettoutti 326 miljoonaa dollaria prosessissa"

Madonreikä, Solanan silta, manipuloitiin uskomaan, että 120 XNUMX ETH:ta oli talletettu Ethereumiin, mikä antoi hakkerille mahdollisuuden lyödä vastaavaa käärittyä omaisuutta Solanaan. 

Hakkerit käyttivät hyväkseen 'Solana_program::sysvar::instructions' ja 'Solana_program':n puutteita, jotka eivät vahvistaneet osoitetta oikein. Tätä käyttämällä hyökkääjä antoi osoitteen, joka sisälsi vain 0.1 ETH:ta, ja tuotti väärennetyn "Signature setin" lyödäkseen petollisesti 120 XNUMX käärittyä ETH:ta Solanaan. 

Qbridge (tilintarkastamaton)

"Qbridge linssin alla 80 miljoonan dollarin hyväksikäyttöön"

Qubit mahdollistaa omaisuuserien ketjujen välisen vakuuden Ethereumin ja BSC:n välillä.

Virheen logiikkavirhe teki xETH:n saataville BSC:ssä ilman ETH-talletusta Ethereumissa. Tämä sai hakkerit hankkimaan vakuuslainoja Qubitista huolimatta siitä, ettei heillä ollut talletuksia lukittuina Ethereum-sopimukseen. 

Valoa Cross-Chain Bridge -turvallisuuteen

Protokollasuunnitteluun sisältyvien turvatoimenpiteiden lisäksi perusteellisten ja säännöllisten tarkastusten tekeminen minimoi hyökkäysten riskipinnan. QuillAudits edelläkävijänä a Tier-1 tilintarkastusyhtiö jolla on hyvä globaali maine projektien turvaamisessa. 

10 Näyttökerrat

Aikaleima:

Lisää aiheesta Quillhash