समय पढ़ें: 5 मिनट
उन हैक्स की खोज करना जिनसे लाखों डॉलर का नुकसान होता है।
क्रॉस-चेन पुलों को किसी परिचय की आवश्यकता नहीं है। इनका उपयोग कुछ समय से किया जा रहा है और ये फंड को एक श्रृंखला से दूसरी श्रृंखला में स्थानांतरित करने का एक शानदार तरीका है। ब्रिज वेब3 में हमारे अनुभव को बेहतर बनाने में मदद करते हैं, जैसे क्विलऑडिट्स प्रोटोकॉल की सुरक्षा को बेहतर बनाने में मदद करते हैं। चूँकि पुल बहुत सारे फंडों से निपटते हैं, इसलिए उनकी सुरक्षा सुनिश्चित करना ही उचित है, और ऐसे प्रोटोकॉल में सुरक्षा अक्सर सर्वोच्च प्राथमिकता होती है। फिर भी, 2022 क्रॉस-चेन हैक्स से भरा था।
- जनवरी: क्यूबिट — $80 मिलियन
- फरवरी: वर्महोल — $375 मिलियन
- मार्च: रोनिन ब्रिज- $624 मिलियन
- जून: हार्मनी — $97 मिलियन
- अगस्त: नोमैड ब्रिज- $190 मिलियन
क्या हुआ?
आइए ऊपर उल्लिखित प्रत्येक क्रॉस-चेन हैक के बारे में व्यक्तिगत रूप से बात करें और जानें कि उनके साथ क्या गलत हुआ और बेहतर निर्णय लेने के लिए खुद को शिक्षित करें।
qubit
27 जनवरी 2022 को, क्यूबिट, एक <span class='glosaryLink' aria-describedby='tt' data-cmtooltip='का एक उदाहरण
” data-gt-translate-attributes=”[{”attribute”:”data-cmtooltip”, “format”:”html”}]”>क्रॉस-चेन ब्रिज, हैक कर लिया गया था। लेन-देन की श्रृंखला इस प्रकार थी, एक शोषण के माध्यम से 77,162 qxETH प्राप्त करने के बाद, हमलावर ने इसका उपयोग 15,688 wETH उधार लेने के लिए किया और फिर इसे 767 BTC-B में परिवर्तित कर दिया, फिर इन फंडों का उपयोग स्थिर सिक्कों को प्राप्त करने और कुछ प्रोटोकॉल में डालने के लिए किया। इसके परिणामस्वरूप कुल मूल्य का $80 मिलियन का नुकसान हुआ।
हैरानी की बात यह है कि यह कारनामा एक तार्किक त्रुटि के कारण हुआ क्यूबिट फाइनेंस कोड. इस दोष ने हमलावरों को अनुबंध कार्यों में दुर्भावनापूर्ण इनपुट भेजने की अनुमति दी जिसके परिणामस्वरूप बीएससी पर टोकन वापस ले लिए गए जबकि एथेरियम पर कोई जमा नहीं किया गया।
क्यूबिट अनुबंध कोड
इस शोषित भेद्यता के मूल में क्यूबिट फाइनेंस के कोड में टोकनएड्रेस.सेफट्रांसफरफ्रॉम() फ़ंक्शन था, हमलावर को एहसास हुआ कि टोकनएड्रेस शून्य होने पर यह फ़ंक्शन वापस नहीं आता है।
wormhole
वर्महोल, सोलाना और एथेरियम ब्लॉकचेन को जोड़ने वाले क्रॉस-चेन लेनदेन की सुविधा देने वाले लोकप्रिय पुलों में से एक, 320 में लगभग 2022 मिलियन डॉलर का नुकसान हुआ, जो रोनिन ब्रिज (इस पर बाद में और अधिक) के बाद दूसरे स्थान पर रहा।
2 फरवरी 2022 को, हमलावर ने सोलाना पर वर्महोल पुल की सत्यापन प्रक्रिया को बायपास करने का प्रयास किया। हमलावर ने सत्यापन चरण को दरकिनार कर दिया और सफलतापूर्वक एक नकली sysvar खाता इंजेक्ट किया और कुख्यात रूप से 120,000 wETH का खनन किया। 3 फरवरी को एक ट्वीट में उनके प्रोटोकॉल पर $320 मिलियन मूल्य के शोषण की घोषणा की गई। स्थिति को शांत करने के लिए, वर्महोल की मूल कंपनी ने हमलावर को चुराए गए धन के बदले में $ 10 मिलियन के पुरस्कार के लिए कोई प्रतिक्रिया नहीं मिलने के बाद चोरी की गई चीज़ों को बदलने के लिए ईथर की आपूर्ति की घोषणा की।
आपको यह जानकर आश्चर्य होगा कि यह सब केवल 1 अप्रचलित फ़ंक्शन के कारण संभव हो सका। हाँ!!, इस शोषण का मूल "verify_signatures" के अंतर्गत एक अप्रचलित फ़ंक्शन "load_current_index" था, जो सत्यापन प्रक्रिया से संबंधित है। अप्रचलित फ़ंक्शन "load_current_index" के साथ समस्या यह थी कि यह इनपुट किए गए "sysvar खाते" की वास्तविकता को वास्तव में "सिस्टम sysvar" होने के लिए सत्यापित नहीं करता था, जिससे हमलावर के शोषण के लिए जगह बन जाती थी।
स्रोत: - संपर्क
रोनिन ब्रिज
एक गुप्त हैक जिस पर अगले 6 दिनों तक ध्यान भी नहीं दिया गया जब तक कि एक उपयोगकर्ता ने पुल से लगभग 5k ईटीएच निकालने में असमर्थता की टीम को सूचित नहीं किया, जिसके कारण चुराए गए धन का खुलासा हुआ।
यह हैक कथित तौर पर उत्तर कोरियाई लाजर समूह द्वारा किया गया हमला है और इसके परिणामस्वरूप लगभग 600 मिलियन डॉलर का नुकसान हुआ है। यह शोषण के मुख्य कारण के रूप में स्पीयर फ़िशिंग हमलों के साथ सत्यापनकर्ता नोड्स की निजी कुंजी के समझौते पर आधारित एक हैक था।
रोनिन नेटवर्क ब्रिज पर लेनदेन को मंजूरी देने के लिए नौ सत्यापनकर्ता नोड्स के एक सेट का उपयोग करता है, और जमा या निकासी के लिए बहुमत की मंजूरी की आवश्यकता होती है, यानी इनमें से पांच नोड्स। नवंबर 2021 में, एक्सी डीएओ ने अस्थायी रूप से स्काई मेविस को अपनी ओर से लेनदेन पर हस्ताक्षर करने की अनुमति दी, लेकिन अनुमान लगाएं क्या? भत्ता कभी रद्द नहीं किया गया.
इसका मतलब यह है कि स्काई माविस अभी भी हस्ताक्षर उत्पन्न कर सकता है। हमलावर ने इसका फायदा उठाया और सबसे पहले स्काई माविस सिस्टम से समझौता किया और एक्सी डीएओ द्वारा नियंत्रित तीसरे पक्ष के सत्यापनकर्ता से हस्ताक्षर उत्पन्न करने के लिए इन हस्ताक्षरों का फायदा उठाया। संक्षेप में, स्काई माविस सिस्टम तक पहुंच के साथ, हमलावर पांच रोनिन नेटवर्क सत्यापनकर्ताओं के लिए वैध हस्ताक्षर उत्पन्न कर सकता है और फिर सफलतापूर्वक धन निकाल सकता है।
सामंजस्य
23 जून 2022 को, हार्मनी ब्रिज से समझौता किया गया था, और ब्रिज पर ETH, WETH, WBTC, USDT, USDC आदि सहित विभिन्न टोकन लगाए गए थे। लगभग 97 मिलियन डॉलर के नुकसान के रिकॉर्ड के साथ, हार्मनी ब्रिज एक क्रॉस का शिकार हो गया। -चेन हैक रोनिन के समान।
लेन-देन करने के लिए, उपयोगकर्ता को 2 मल्टीसिग में से कम से कम 5 कुंजियों की आवश्यकता होगी, जिसका अर्थ है कि लेनदेन को मान्य करने के लिए कुल 2 कुंजियों में से 5 कुंजियों की आवश्यकता होगी। लेकिन हमलावरों ने पैसे उड़ाने के लिए दो चाबियां चुरा लीं। यह सब इसलिए संभव हुआ क्योंकि हमलावर पर्याप्त संख्या में इन कुंजियों तक पहुंच और डिक्रिप्ट कर सकते थे।
घुमंतू पुल
वह 1 अगस्त 2022 था जब नोमैड ब्रिज्ड को एक शोषण का सामना करना पड़ा जिसके परिणामस्वरूप $190 मिलियन का नुकसान हुआ। यह एक <span class='glosaryLink' aria-describedby='tt' data-cmtooltip=' था
” data-gt-translate-attributes=”[{”attribute”:”data-cmtooltip”, “format”:”html”}]”>एथेरियम, मूनबीम, एवलांच, एवमोस और मिकोमेडा के बीच क्रॉस-चेन ब्रिज।
$190 मिलियन के नुकसान के साथ तीसरे स्थान पर खड़े, पुल को आरंभीकरण प्रक्रिया में भेद्यता के कारण समझौता किया गया था, जिससे हमलावरों को सत्यापन प्रक्रिया को बायपास करने और पुल अनुबंध से धन निकालने की अनुमति मिली।
हमलावर सीधे "प्रक्रिया ()" फ़ंक्शन को कॉल कर सकता है, जिसने पैरामीटर "_message" लिया। मनमाने ढंग से "_message" वाला हमलावर सत्यापन को बायपास करने में सक्षम था। बाद में अनुबंध को यह सुनिश्चित करना था कि संदेश हैश स्वीकार्यरूट() फ़ंक्शन का उपयोग करके सिद्ध किया गया था। फिर यह सब "साबित ()" फ़ंक्शन पर आ जाता है, जिसे पूरा करने के लिए एक आवश्यक कथन होता है। हमलावर सफलतापूर्वक हमले को अंजाम दे सकता है क्योंकि वैध पुष्टि रूट के रूप में शून्य आवश्यक जांच को बायपास कर सकता है।
निष्कर्ष
2022 के आँकड़ों से यह स्पष्ट है कि पुलों को निशाना बनाया गया है जिसके परिणामस्वरूप लाखों का नुकसान हुआ है। क्रॉस-चेन प्रोटोकॉल पर 5 कारनामे कुल वेब56 का लगभग 3% थे। सबसे उपयोगी उपकरणों में से एक होने के बावजूद, पुलों की सुरक्षा में कमी है और वे हमलों का शिकार हो रहे हैं।
हमें जल्द ही पुलों पर ऐसे और हमले देखने को मिलेंगे। इन परिस्थितियों में, पुलों के लिए खुद को और अपने उपयोगकर्ताओं को सुरक्षित करना अत्यंत महत्वपूर्ण है। आगामी ब्लॉग में, हम आपको प्रोटोकॉल की सुरक्षा सुनिश्चित करने के लिए आवश्यक कुछ महत्वपूर्ण जांचों को समझने में मदद करने के लिए एक ऑडिट दिशानिर्देश के साथ वापस आएंगे।
इस बीच, याद रखें कि ऑडिट के लिए जाने के अलावा कोई विकल्प नहीं है। ऑडिट से आप सुरक्षा के बारे में निश्चिंत हो सकते हैं। इतना ही नहीं, यूजर्स प्रोटोकॉल पर भरोसा करने से झिझकेंगे। ऑडिट कराना हर किसी के पक्ष में है, इसलिए अपने प्रोजेक्ट का ऑडिट कराएं और बनाने में मदद करें Web3 एक सुरक्षित स्थान. और क्विलऑडिट्स से बेहतर ऑडिट कौन कर सकता है? आज ही हमारी वेबसाइट पर जाएँ और ऐसे और ब्लॉग देखें।
23 दृश्य
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://blog.quillhash.com/2023/03/23/part-1-bridging-the-blockchain-a-deep-dive-into-cross-chain-hacks-and-failures/
- :है
- 10 $ मिलियन
- 000
- 1
- 2021
- 2022
- 27th
- 77
- a
- योग्य
- About
- ऊपर
- पहुँच
- लेखा
- हासिल
- वास्तव में
- लाभ
- बाद
- सब
- कथित तौर पर
- की अनुमति दे
- वैकल्पिक
- और
- की घोषणा
- अन्य
- अनुमोदन
- अनुमोदन करना
- हैं
- चारों ओर
- AS
- At
- आक्रमण
- आक्रमण
- प्रयास किया
- आडिट
- अंकेक्षित
- अगस्त
- हिमस्खलन
- पुरस्कार
- धुरी
- वापस
- आधारित
- BE
- क्योंकि
- जा रहा है
- बेहतर
- के बीच
- blockchain
- blockchains
- ब्लॉग
- ब्लॉग
- उधार
- पुल
- पाटने
- सेतु
- ब्रिजिंग
- BSC
- by
- कॉल
- कर सकते हैं
- कारण
- श्रृंखला
- चेक
- जाँचता
- हालत
- स्पष्ट
- कोड
- कंपनी
- छेड़छाड़ की गई
- की पुष्टि
- अनुबंध
- नियंत्रित
- बदलना
- मूल
- सका
- बनाया
- क्रॉस
- क्रॉस-चैन
- महत्वपूर्ण
- डीएओ
- दिन
- सौदा
- सौदा
- निर्णय
- डिक्रिप्ट
- गहरा
- विस्तृत विश्लेषण
- पैसे जमा करने
- के बावजूद
- गंतव्य
- डीआईडी
- सीधे
- dont
- नीचे
- से प्रत्येक
- शिक्षित करना
- सुनिश्चित
- बराबर
- त्रुटि
- आदि
- ETH
- ईथर
- ethereum
- और भी
- हर कोई
- एवमोस
- उदाहरण
- निष्पादित
- अनुभव
- शोषण करना
- शोषण
- शोषित
- कारनामे
- का सामना करना पड़ा
- अभिनंदन करना
- उल्लू बनाना
- गिरने
- फरवरी
- कुछ
- प्रथम
- दोष
- इस प्रकार है
- के लिए
- से
- पूर्ण
- समारोह
- कार्यों
- धन
- उत्पन्न
- मिल
- मिल रहा
- जा
- समूह
- हैक
- hacked
- हैक्स
- हुआ
- सामंजस्य
- हैश
- है
- मदद
- मदद करता है
- पकड़
- HTTPS
- महत्व
- in
- असमर्थता
- सहित
- व्यक्तिगत रूप से
- इंफ्रास्ट्रक्चर
- परिचय
- मुद्दा
- IT
- आईटी इस
- जनवरी
- Instagram पर
- जानना
- कोरियाई
- लाजास्र्स
- लाजर समूह
- नेतृत्व
- जानें
- नेतृत्व
- संभावित
- जोड़ने
- तार्किक
- बंद
- हानि
- लॉट
- बनाया गया
- मुख्य
- बहुमत
- बनाना
- अधिकतम-चौड़ाई
- साधन
- उल्लेख किया
- message
- दस लाख
- लाखों
- ढाला
- मिंटिंग
- धन
- चन्द्रिका
- अधिक
- अधिकांश
- चाल
- मल्टीसिग
- आवश्यकता
- की जरूरत है
- नेटवर्क
- अगला
- नोड्स
- घुमक्कड़
- उत्तर
- नवंबर
- नवम्बर 2021
- संख्या
- of
- on
- ONE
- प्राचल
- मूल कंपनी
- भाग
- फ़िशिंग
- फ़िशिंग हमले
- जगह
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- लोकप्रिय
- स्थिति
- संभव
- प्राथमिकता
- निजी
- निजी कुंजी
- प्रक्रिया
- परियोजना
- प्रोटोकॉल
- प्रोटोकॉल
- साबित
- प्रदान करता है
- रखना
- qubit
- क्विलश
- उचित
- रिकॉर्ड
- याद
- की जगह
- अपेक्षित
- प्रतिक्रिया
- जिसके परिणामस्वरूप
- वापसी
- लौट आना
- Ronin
- रोनिन नेटवर्क
- कक्ष
- जड़
- सुरक्षित
- सुरक्षा
- दूसरा
- सुरक्षित
- सुरक्षा
- कई
- सेट
- कम
- हस्ताक्षर
- हस्ताक्षर
- समान
- स्थिति
- आकाश
- स्काई माविसी
- स्मार्ट
- स्मार्ट अनुबंध
- So
- धूपघड़ी
- कुछ
- स्रोत
- फ़िशिंग भाला
- Stablecoins
- कथन
- आँकड़े
- कदम
- फिर भी
- चुराया
- चुराया हुआ धन
- सफलतापूर्वक
- ऐसा
- पर्याप्त
- आपूर्ति
- आश्चर्य चकित
- सिस्टम
- बातचीत
- लक्ष्य
- टीम
- कि
- RSI
- स्रोत
- लेकिन हाल ही
- उन
- अपने
- इन
- तीसरा
- तीसरे दल
- यहाँ
- पहर
- सेवा मेरे
- आज
- टोकन
- उपकरण
- ऊपर का
- कुल
- ट्रांजेक्शन
- लेनदेन
- स्थानांतरण
- ट्रस्ट
- कलरव
- के अंतर्गत
- समझना
- अनलॉक
- आगामी
- USDC
- USDT
- उपयोगकर्ता
- उपयोगकर्ताओं
- सत्यापित करें
- सत्यापनकर्ता
- सत्यापनकर्ता नोड्स
- प्रमाणकों
- मूल्य
- विभिन्न
- सत्यापन
- सत्यापित
- शिकार
- भेंट
- भेद्यता
- मार्ग..
- wBTC
- Web3
- वेबसाइट
- weth
- क्या
- कौन कौन से
- जब
- कौन
- पूरा का पूरा
- मर्जी
- साथ में
- धननिकासी
- धननिकासी
- वर्महोल
- लायक
- होगा
- गलत
- आप
- आपका
- जेफिरनेट
- शून्य