कैसे ब्लॉकचैन ब्रिज हैकर्स के प्रमुख लक्ष्य बन गए

क्रिप्टो उद्योग अद्वितीय क्षमताओं और ट्रेड-ऑफ के साथ कई लेयर -1 (एल 1) ब्लॉकचेन और लेयर -2 (एल 2) स्केलिंग समाधानों को जोड़ने वाले पारिस्थितिक तंत्र में विकसित हुआ है। 

फैंटम, टेरा या एवलांच जैसे नेटवर्क डेफी गतिविधि में समृद्ध हो गए हैं, जबकि एक्सी इन्फिनिटी और डेफी किंगडम जैसे प्ले-टू-अर्न डैप रोनिन और हार्मनी जैसे पूरे पारिस्थितिक तंत्र को बनाए रखते हैं। ये ब्लॉकचेन एथेरियम की गैस फीस और अपेक्षाकृत धीमी लेनदेन समय के गंभीर विकल्प के रूप में उभरे हैं। अलग-अलग ब्लॉकचेन पर प्रोटोकॉल के बीच संपत्ति को स्थानांतरित करने के आसान तरीके की आवश्यकता पहले से कहीं अधिक महत्वपूर्ण हो गई है। 

यह वह जगह है जहाँ ब्लॉकचेन ब्रिज आते हैं।

मल्टीचैन परिदृश्य के परिणामस्वरूप, सभी डेफी डैप्स में टोटल वैल्यू लॉक्ड (टीवीएल) आसमान छू गया। मार्च 2022 के अंत में, उद्योग के टीवीएल का अनुमान $ 215 बिलियन था, जो मार्च 156 की तुलना में 2021% अधिक था। इन डेफी डैप्स में लॉक और ब्रिज किए गए मूल्य की मात्रा ने दुर्भावनापूर्ण हैकर्स का ध्यान आकर्षित किया, और नवीनतम प्रवृत्ति से पता चलता है कि हमलावर हो सकते हैं ब्लॉकचेन ब्रिज में कमजोर कड़ी मिली। 

Rekt डेटाबेस के अनुसार, 1.2 की पहली तिमाही में क्रिप्टो संपत्ति में $1 बिलियन की चोरी हुई, जो एक ही स्रोत के अनुसार अब तक की चोरी की गई धनराशि का 2022% है। दिलचस्प बात यह है कि 35.8 में खोई हुई संपत्ति का कम से कम 80% पुलों से चोरी हो गया है। 

सबसे गंभीर हमलों में से एक दो सप्ताह पहले हुआ था जब रोनिन ब्रिज को हैक कर लिया गया था $ 540 मिलियन के लिए। इससे पहले, सोलाना वर्महोल और बीएनबी चेन के क्यूबिट फाइनेंस ब्रिज का 400 में $2022 मिलियन से अधिक के लिए शोषण किया गया था। क्रिप्टो के इतिहास में सबसे बड़ा हैक अगस्त 2021 में हुआ था जब $610 मिलियन के लिए पॉलीनेटवर्क ब्रिज का शोषण किया गया थाहालांकि चोरी का पैसा बाद में वापस कर दिया गया। 

पुल उद्योग में सबसे मूल्यवान उपकरणों में से एक हैं, लेकिन उनकी इंटरऑपरेबल प्रकृति उन्हें बनाने वाली परियोजनाओं के लिए एक महत्वपूर्ण चुनौती प्रस्तुत करती है। 

ब्लॉकचेन ब्रिज को समझना

मैनहट्टन पुलों के अनुरूप, ब्लॉकचैन ब्रिज ऐसे प्लेटफॉर्म हैं जो दो अलग-अलग नेटवर्क को जोड़ते हैं जो एक ब्लॉकचेन से दूसरे में संपत्ति और सूचनाओं के क्रॉस-चेन हस्तांतरण को सक्षम करते हैं। इस तरह, क्रिप्टोकरेंसी और एनएफटी को उनकी मूल श्रृंखलाओं में बंद नहीं किया जाता है, लेकिन इन परिसंपत्तियों का उपयोग करने के विकल्पों को गुणा करते हुए, विभिन्न ब्लॉकचेन में "पुल" किया जा सकता है। 

पुलों के लिए धन्यवाद, बिटकॉइन का उपयोग डीएफआई उद्देश्यों के लिए स्मार्ट अनुबंध-आधारित नेटवर्क में किया जाता है, या एनएफएल ऑल डे एनएफटी को फ्लो से एथेरियम में विभाजित किया जा सकता है या संपार्श्विक के रूप में उपयोग किया जा सकता है। 

जब संपत्ति स्थानांतरित करने की बात आती है तो अलग-अलग दृष्टिकोण होते हैं। जैसा कि उनके नाम से पता चलता है, लॉक-एंड-मिंट ब्रिज मूल संपत्ति को भेजने वाले पक्ष पर एक स्मार्ट अनुबंध के अंदर लॉक करके काम करते हैं, जबकि प्राप्त करने वाला नेटवर्क दूसरी तरफ मूल टोकन की प्रतिकृति बनाता है। यदि ईथर को एथेरियम से सोलाना तक जोड़ा जाता है, तो सोलाना में ईथर क्रिप्टो का सिर्फ एक "लिपटे" प्रतिनिधित्व है, वास्तविक टोकन ही नहीं।  

जबकि लॉक-एंड-मिंट दृष्टिकोण सबसे लोकप्रिय ब्रिजिंग विधि है, संपत्ति हस्तांतरण को पूरा करने के अन्य तरीके हैं जैसे 'बर्न-एंड-मिंट' या दो नेटवर्क के बीच संपत्तियों को इंटरचेंज करने के लिए एक स्मार्ट अनुबंध द्वारा स्वयं निष्पादित परमाणु स्वैप। प्रसंग (पूर्व में xPollinate) और सीब्रिज ऐसे पुल हैं जो परमाणु अदला-बदली पर निर्भर हैं। 

सुरक्षा के दृष्टिकोण से, पुलों को दो मुख्य समूहों में वर्गीकृत किया जा सकता है: भरोसेमंद और भरोसेमंद। विश्वसनीय पुल ऐसे प्लेटफ़ॉर्म हैं जो लेन-देन को मान्य करने के लिए किसी तीसरे पक्ष पर भरोसा करते हैं, लेकिन इससे भी महत्वपूर्ण बात यह है कि ब्रिज की गई संपत्ति के संरक्षक के रूप में कार्य करते हैं। विश्वसनीय पुलों के उदाहरण लगभग सभी ब्लॉकचेन-विशिष्ट पुलों जैसे बिनेंस ब्रिज में पाए जा सकते हैं, बहुभुज पीओएस ब्रिज, WBTC ब्रिज, हिमस्खलन ब्रिज, हार्मनी ब्रिज, टेरा शटल ब्रिज, और विशिष्ट dapps जैसे Multichain (पूर्व में Anyswap) या Tron's Just Cryptos। 

इसके विपरीत, ऐसे प्लेटफॉर्म जो पूरी तरह से स्मार्ट कॉन्ट्रैक्ट्स और एल्गोरिथम से लेकर कस्टडी एसेट्स पर निर्भर हैं भरोसेमंद पुल. ट्रस्टलेस ब्रिज में सुरक्षा कारक अंतर्निहित नेटवर्क से जुड़ा होता है जहां संपत्ति को ब्रिज किया जा रहा है, यानी जहां संपत्ति बंद है। अविश्वसनीय पुलों में पाया जा सकता है NEAR का इंद्रधनुष पुल, सोलाना का वर्महोल, पोलकाडॉट का स्नो ब्रिज, कॉसमॉस आईबीसी, और हॉप, कनेक्स्ट और सेलेर जैसे प्लेटफॉर्म। 

पहली नज़र में, ऐसा लग सकता है कि भरोसेमंद पुल ब्लॉकचेन के बीच संपत्ति को स्थानांतरित करने के लिए अधिक सुरक्षित विकल्प प्रदान करते हैं। हालांकि, भरोसेमंद और भरोसेमंद दोनों पुलों को अलग-अलग चुनौतियों का सामना करना पड़ता है। 

भरोसेमंद और भरोसेमंद पुलों की सीमाएं

रोनिन ब्रिज एक केंद्रीकृत विश्वसनीय प्लेटफॉर्म के रूप में कार्य करता है। ब्रिज की गई संपत्तियों की कस्टडी के लिए यह ब्रिज एक मल्टीसिग वॉलेट का उपयोग करता है। संक्षेप में, एक मल्टीसिग वॉलेट एक ऐसा पता है जिसके लिए लेनदेन को मंजूरी देने के लिए दो या दो से अधिक क्रिप्टोग्राफिक हस्ताक्षर की आवश्यकता होती है। रोनिन के मामले में, साइडचेन में नौ सत्यापनकर्ता हैं जिन्हें जमा और निकासी को मंजूरी देने के लिए पांच अलग-अलग हस्ताक्षरों की आवश्यकता होती है।  

अन्य प्लेटफ़ॉर्म समान दृष्टिकोण का उपयोग करते हैं लेकिन जोखिम को बेहतर ढंग से विविधता प्रदान करते हैं। उदाहरण के लिए, बहुभुज आठ सत्यापनकर्ताओं पर निर्भर करता है और इसके लिए पांच हस्ताक्षरों की आवश्यकता होती है। पांच हस्ताक्षर विभिन्न दलों द्वारा नियंत्रित होते हैं। रोनिन के मामले में, अकेले स्काई माविस टीम द्वारा चार हस्ताक्षर किए गए, जिससे विफलता का एकल बिंदु बना। हैकर द्वारा एक ही बार में चार स्काई माविस हस्ताक्षरों को नियंत्रित करने में कामयाब होने के बाद, संपत्ति की निकासी को मंजूरी देने के लिए केवल एक और हस्ताक्षर की आवश्यकता थी। 

23 मार्च को, हमलावर ने एक्सी डीएओ के हस्ताक्षर पर नियंत्रण हासिल कर लिया, हमले को पूरा करने के लिए आवश्यक अंतिम टुकड़ा। 173,600 ETH और 25.5 मिलियन USDC रोनिन के कस्टोडियन अनुबंध से दो अलग-अलग लेनदेन में अब तक के दूसरे सबसे बड़े क्रिप्टो हमले में निकाले गए थे। यह भी ध्यान देने योग्य है कि स्काई माविस टीम को लगभग एक हफ्ते बाद हैक के बारे में पता चला, यह दिखाते हुए कि रोनिन की निगरानी तंत्र बहुत कम कम थे, इस विश्वसनीय मंच में एक और दोष का खुलासा किया। 

जबकि केंद्रीकरण एक मौलिक दोष प्रस्तुत करता है, भरोसेमंद पुल उनके सॉफ़्टवेयर और कोडिंग में बग और कमजोरियों के कारण शोषण के लिए प्रवण होते हैं। 

सोलाना वर्महोल, एक मंच जो सोलाना और एथेरियम के बीच क्रॉस-ब्रिज लेनदेन को सक्षम बनाता है, को फरवरी 2022 में एक शोषण का सामना करना पड़ा, जहां 325 मिलियन डॉलर की चोरी हुई थी सोलाना के संरक्षक अनुबंधों में एक बग के कारण। वर्महोल अनुबंधों में एक बग ने हैकर को क्रॉस-चेन सत्यापनकर्ता तैयार करने की अनुमति दी। हमलावर ने "ट्रांसफर मैसेज" के एक सेट को ट्रिगर करने के लिए एथेरियम से सोलाना में 0.1 ईटीएच भेजा, जिसने प्रोग्राम को 120,000 ईटीएच जमा को मंजूरी देने के लिए धोखा दिया।

वर्महोल हैक के बाद हुआ पॉली नेटवर्क अनुबंधों की वर्गीकरण और संरचना में खामियों के कारण अगस्त 610 में $2021 मिलियन के लिए शोषण किया गया था। इस डैप में क्रॉस-चेन लेनदेन को "रखवाले" नामक नोड्स के एक केंद्रीकृत समूह द्वारा अनुमोदित किया जाता है और गेटवे अनुबंध द्वारा प्राप्त नेटवर्क पर मान्य किया जाता है। इस हमले में, हैकर एक रक्षक के रूप में विशेषाधिकार प्राप्त करने में सक्षम था और इस प्रकार अपने स्वयं के मापदंडों को निर्धारित करके गेटवे को धोखा दिया। हमलावर ने अधिक संपत्ति निकालने के लिए एथेरियम, बिनेंस, नियो और अन्य ब्लॉकचेन में प्रक्रिया को दोहराया।

सभी पुल एथेरियम की ओर ले जाते हैं

इथेरियम उद्योग में सबसे प्रमुख डेफी इकोसिस्टम बना हुआ है, जो उद्योग के टीवीएल के लगभग 60% के लिए जिम्मेदार है। उसी समय, Ethereum के DeFi dapps के विकल्प के रूप में विभिन्न नेटवर्क के उदय ने ब्लॉकचेन ब्रिज की क्रॉस-चेन गतिविधि को जन्म दिया। 

उद्योग में सबसे बड़ा पुल WBTC ब्रिज है, जिसे BitGo, Kyber और रिपब्लिक प्रोटोकॉल, RenVM के पीछे की टीम द्वारा नियंत्रित किया जाता है। चूंकि बिटकॉइन टोकन तकनीकी रूप से स्मार्ट कॉन्ट्रैक्ट-आधारित ब्लॉकचेन के साथ संगत नहीं हैं, इसलिए WBTC ब्रिज देशी बिटकॉइन को "लपेटता है", इसे ब्रिज कस्टोडियन कॉन्ट्रैक्ट में लॉक करता है और एथेरियम पर इसके ERC-20 संस्करण को ढालता है। यह ब्रिज डेफी समर में काफी लोकप्रिय हो गया और अब इसमें लगभग 12.5 बिलियन डॉलर मूल्य का बिटकॉइन है। WBTC BTC को Aave, Compound, और Maker जैसे dapps में संपार्श्विक के रूप में उपयोग करने की अनुमति देता है, या खेत की उपज या कई DeFi प्रोटोकॉल में ब्याज अर्जित करने के लिए अनुमति देता है। 

मल्टीचैन, जिसे पहले एनीस्वैप के नाम से जाना जाता था, एक डैप है जो एक अंतर्निहित पुल के साथ 40 से अधिक ब्लॉकचेन को क्रॉस-चेन लेनदेन प्रदान करता है। मल्टीचैन के पास सभी कनेक्टेड नेटवर्क में $6.5 बिलियन है। हालाँकि, एथेरियम का फैंटम ब्रिज अब तक का सबसे बड़ा पूल है जिसमें $ 3.5 बिलियन का लॉक है। 2021 की दूसरी छमाही के दौरान, प्रूफ-ऑफ-स्टेक नेटवर्क ने खुद को एक लोकप्रिय डेफी डेस्टिनेशन के रूप में स्थापित किया, जिसमें आकर्षक यील्ड फ़ार्म शामिल हैं, जिसमें FTM, विभिन्न स्टैब्लॉक्स या wETH शामिल हैं, जैसे कि स्पूकीस्वैप पर पाए जाते हैं। 

फैंटम के विपरीत, अधिकांश L1 ब्लॉकचेन नेटवर्क को जोड़ने के लिए एक स्वतंत्र प्रत्यक्ष पुल का उपयोग करते हैं। हिमस्खलन पुल ज्यादातर हिमस्खलन फाउंडेशन द्वारा संरक्षित है और यह सबसे बड़ा L1<>L1 पुल है। एवलांच में ट्रेडर जो, एव, कर्व और प्लैटिपस फाइनेंस जैसे डैप के साथ सबसे मजबूत डेफी परिदृश्यों में से एक है। 

बिनेंस ब्रिज भी 4.5 बिलियन डॉलर की संपत्ति के साथ बंद है, इसके बाद सोलाना वर्महोल 3.8 बिलियन डॉलर के साथ है। टेरा का शटल ब्रिज टीवीएल के मामले में दूसरा सबसे बड़ा ब्लॉकचेन होने के बावजूद केवल 1.4 बिलियन डॉलर सुरक्षित करता है।

इसी तरह, पॉलीगॉन, आर्बिट्रम और ऑप्टिमिज्म जैसे स्केलिंग समाधान भी बंद संपत्तियों के मामले में सबसे महत्वपूर्ण पुलों में से हैं। पॉलीगॉन पीओएस ब्रिज, एथेरियम और इसके साइडचेन के बीच मुख्य प्रवेश बिंदु, तीसरा सबसे बड़ा पुल है, जिसे लगभग 6 बिलियन डॉलर की हिरासत में रखा गया है। इस बीच, लोकप्रिय L2 प्लेटफार्मों जैसे कि आर्बिट्रम और आशावाद के पुलों में तरलता भी बढ़ रही है। 

उल्लेख के लायक एक और पुल नियर रेनबो ब्रिज है, जिसका उद्देश्य प्रसिद्ध को हल करना है इंटरऑपरेबिलिटी ट्रिलेम्मा. नियर और ऑरोरा को एथेरियम से जोड़ने वाला यह प्लेटफॉर्म भरोसेमंद पुलों में सुरक्षा हासिल करने का एक मूल्यवान अवसर पेश कर सकता है। 

क्रॉस-चेन सुरक्षा में सुधार

दोनों भरोसेमंद और भरोसेमंद पुल, सेतु की गई संपत्ति को हिरासत में लेने के दो दृष्टिकोण, मौलिक और तकनीकी कमजोरियों से ग्रस्त हैं। फिर भी, ब्लॉकचैन पुलों को लक्षित करने वाले दुर्भावनापूर्ण हमलावरों के प्रभाव को रोकने और कम करने के तरीके हैं। 

विश्वसनीय पुलों के मामले में, यह स्पष्ट है कि आवश्यक हस्ताक्षरकर्ताओं के अनुपात में वृद्धि की आवश्यकता है, जबकि मल्टीसिग को अलग-अलग पर्स में वितरित करना भी आवश्यक है। और भले ही भरोसेमंद पुल केंद्रीकरण, बग और अन्य तकनीकी बाधाओं से संबंधित जोखिमों को दूर करते हैं, जो जोखिम भरी स्थितियों को पेश करते हैं, जैसा कि सोलाना वर्महोल या क्यूबिट फाइनेंस कारनामों द्वारा दिखाया गया है। इस प्रकार, जितना संभव हो सके क्रॉस-चेन प्लेटफॉर्म की सुरक्षा के लिए ऑफ-चेन क्रियाओं को लागू करना आवश्यक है।

प्रोटोकॉल के बीच सहयोग की जरूरत है। Web3 स्पेस को इसके बंधुआ समुदाय की विशेषता है, इसलिए उद्योग में सबसे तेज दिमाग वाले अंतरिक्ष को अधिक सुरक्षित स्थान बनाने के लिए एक साथ काम करना एक आदर्श परिदृश्य होगा। एनिमोका ब्रांड्स, बिनेंस और अन्य वेब3 ब्रांडों ने स्काई माविस को रोनिन के ब्रिज हैक के वित्तीय प्रभाव को कम करने में मदद करने के लिए $150 मिलियन जुटाए। एक बहु-श्रृंखला भविष्य के लिए एक साथ काम करना इंटरऑपरेबिलिटी को अगले स्तर तक बढ़ा सकता है। 

इसी तरह, चेन एनालिटिक्स प्लेटफॉर्म और केंद्रीकृत एक्सचेंजों (सीईएक्स) के साथ समन्वय से चोरी किए गए टोकन का पता लगाने और ध्वजांकित करने में मदद मिलनी चाहिए। यह स्थिति मध्यावधि में अपराधियों को हतोत्साहित कर सकती है, क्योंकि स्थापित सीईएक्स में केवाईसी प्रक्रियाओं द्वारा फाइट के लिए क्रिप्टो को कैश आउट करने के प्रवेश द्वार को नियंत्रित किया जाना चाहिए। पिछले महीने, 20 साल के एक जोड़े एनएफटी क्षेत्र में लोगों को धोखा देने के बाद कानूनी रूप से स्वीकृत किया गया था। पहचाने गए हैकर्स के लिए समान व्यवहार के लिए पूछना उचित है।

ऑडिट और बग बाउंटी ब्रिज सहित किसी भी वेब3 प्लेटफॉर्म के स्वास्थ्य को बेहतर बनाने का एक और तरीका है। प्रमाणित संगठन जैसे Certik, Chainsafe, Blocksec, और कई अन्य Web3 इंटरैक्शन को सुरक्षित बनाने में मदद करते हैं। सभी सक्रिय पुलों का कम से कम एक प्रमाणित संगठन द्वारा ऑडिट किया जाना चाहिए। 

इस बीच, बग बाउंटी कार्यक्रम परियोजना और उसके समुदाय के बीच एक तालमेल बनाते हैं। व्हाइट हैकर्स दुर्भावनापूर्ण हमलावरों से पहले कमजोरियों की पहचान करने में महत्वपूर्ण भूमिका निभाते हैं। उदाहरण के लिए, स्काई माविस ने हाल ही में $1 मिलियन का बग बाउंटी प्रोग्राम लॉन्च किया है अपने पारिस्थितिकी तंत्र को मजबूत करने के लिए। 

निष्कर्ष

एथेरियम डैप को चुनौती देने वाले समग्र ब्लॉकचेन पारिस्थितिकी तंत्र के रूप में एल1 और एल2 समाधानों की वृद्धि ने नेटवर्क के बीच परिसंपत्तियों को स्थानांतरित करने के लिए क्रॉस-चेन प्लेटफॉर्म की आवश्यकता पैदा की है। यह इंटरऑपरेबिलिटी का सार है, जो वेब3 के स्तंभों में से एक है। 

फिर भी, वर्तमान इंटरऑपरेबल परिदृश्य बहु-श्रृंखला दृष्टिकोण के बजाय क्रॉस-चेन प्रोटोकॉल पर निर्भर करता है, एक ऐसा परिदृश्य जिसके बारे में विटालिक ने सावधानी के शब्दों में ढील दी वर्ष की शुरुआत में। अंतरिक्ष में इंटरऑपरेबिलिटी की आवश्यकता स्पष्ट से अधिक है। बहरहाल, इस प्रकार के प्लेटफॉर्म में अधिक मजबूत सुरक्षा उपायों की जरूरत है। 

दुर्भाग्य से, चुनौती को आसानी से दूर नहीं किया जाएगा। भरोसेमंद और भरोसेमंद दोनों प्लेटफॉर्म उनके डिजाइन में खामियां पेश करते हैं। ये अंतर्निहित क्रॉस-चेन दोष ध्यान देने योग्य हो गए हैं। 80 में हैकर्स में खोए 1.2 बिलियन डॉलर में से 2022% से अधिक शोषित पुलों के माध्यम से आए हैं। 

इसके अलावा, जैसे-जैसे उद्योग में मूल्य बढ़ता जा रहा है, हैकर्स भी अधिक परिष्कृत होते जा रहे हैं। सोशल इंजीनियरिंग और फ़िशिंग हमलों जैसे पारंपरिक साइबर हमलों ने वेब3 कथा के लिए अनुकूलित किया है। 

मल्टीचैन दृष्टिकोण जहां सभी टोकन संस्करण प्रत्येक ब्लॉकचेन के मूल निवासी हैं, अभी भी दूर है। इसलिए, क्रॉस-चेन प्लेटफॉर्म को पिछली घटनाओं से सीखना चाहिए और यथासंभव सफल हमलों की संख्या को कम करने के लिए अपनी प्रक्रियाओं को मजबूत करना चाहिए।

पर मूल पोस्ट पढ़ें द डिफ्रेंट

• कॉइनस्मार्ट। यूरोप का सर्वश्रेष्ठ बिटकॉइन और क्रिप्टो एक्सचेंज।
• प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। नि: शुल्क प्रवेश।
• क्रिप्टोहॉक। Altcoin रडार। मुफ्त परीक्षण।
• स्रोत: https://thedefiant.io/hackers-target-blockchain-bridges/