क्रॉस-चेन ब्रिज अटैक्स 2022 का सारांश

समय पढ़ें: 6 मिनट

जैसे-जैसे नए ब्लॉकचेन लॉन्च होते जा रहे हैं, ब्लॉकचेन इकोसिस्टम के बीच इंटरऑपरेबिलिटी बढ़ाने के लिए क्रॉस-चेन ब्रिज पहले से कहीं ज्यादा अपरिहार्य होते जा रहे हैं। 

ऐसा कहने के बाद, नया नवाचार बड़ी संख्या में हमलावर वैक्टरों के लिए सतह भी तैयार करता है। चैनालिसिस के अनुसार, क्रॉस-चेन ब्रिज हैक्स अकेले 69 में चुराए गए धन का 2022% हिस्सा बनाते हैं। 

13 हो गए हैं क्रॉस-चेन ब्रिज

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>क्रॉस-चेन ब्रिज हमले आगे और पीछे होते हैं, 2022 सबसे अधिक वाला वर्ष है बहुमत। 

यह लेख 2022 की सभी क्रॉस-चेन हैक घटनाओं का संक्षिप्त विवरण प्रदान करता है ताकि इस पर बेहतर स्पष्टता हो सके क्रॉस-चेन पुलों की सुरक्षा आज के समय में। 

क्रॉस-चेन ब्रिज क्रिप्टो एसेट्स की इंटरऑपरेबिलिटी कैसे देते हैं?

आइए ए के संचालन को समझें क्रॉस-चेन ब्रिज

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>एक उदाहरण के माध्यम से क्रॉस-चेन ब्रिज। 

एक उपयोगकर्ता के पास एथेरियम नेटवर्क पर संपत्ति है लेकिन उन्हें पॉलीगॉन पर उपयोग करने की आवश्यकता है। वह तुरंत कॉइनबेस या बिनेंस जैसे केंद्रीकृत एक्सचेंज की तलाश करता है और पॉलीगॉन पर उपयोग करने के लिए अपने ईटीएच होल्डिंग्स को मैटिक में परिवर्तित करता है। 

अब, वह चाहता है कि शेष MATIC टोकन को वापस ETH में परिवर्तित किया जाए। ऐसे में उसे फिर से उसी प्रक्रिया से गुजरना होगा। 

दिलचस्प बात यह है कि क्रॉस-चेन ब्रिज सीधे प्रक्रिया प्राप्त करते हैं और विभिन्न ब्लॉकचेन नेटवर्क के बीच संपत्ति को आगे और पीछे स्थानांतरित करने का एक आसान तरीका प्रदान करते हैं। 

इससे ऐसा कैसे होता है?

इंटरऑपरेबिलिटी हासिल करने के लिए ज्यादातर क्रॉस-चेन ब्रिज लॉक-एंड-मिंट मॉडल पर काम करते हैं। 

वही परिदृश्य जिसमें उपयोगकर्ता पॉलीगॉन नेटवर्क पर ईटीएच टोकन का उपयोग करना चाहता है। आइए देखें कि वह इसे कैसे कर सकता है क्रॉस-चेन ब्रिज

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>क्रॉस-चेन ब्रिज।

• उपयोगकर्ता एथेरियम श्रृंखला पर एक विशिष्ट पते पर ईटीएच टोकन भेज सकता है और लेनदेन शुल्क का भुगतान कर सकता है। 
• ETH टोकन सत्यापनकर्ता द्वारा एक स्मार्ट अनुबंध में बंद कर दिए जाते हैं या एक कस्टोडियल सेवा द्वारा आयोजित किए जाते हैं।
• अब लॉक किए गए ETH टोकन के बराबर मूल्य के MATIC टोकन पॉलीगॉन चेन (यानी डेस्टिनेशन चेन) पर बनाए गए हैं।
• उपयोगकर्ता अपने बटुए में MATIC टोकन प्राप्त करता है और वह इसका उपयोग लेनदेन करने के लिए कर सकता है 

क्या होगा यदि उपयोगकर्ता अपना ईटीएच टोकन वापस लेना चाहता है?

यहीं पर 'टोकन जलाना' तस्वीर में आता है। 

• उपयोगकर्ता अपने शेष MATIC टोकन को वॉलेट में पॉलीगॉन श्रृंखला में एक विशिष्ट पते पर भेज सकते हैं। 
• ये MATIC टोकन ऐसे जलाए जाते हैं कि धन का पुन: उपयोग नहीं किया जा सकता है
• स्मार्ट अनुबंध या कस्टोडियल सेवा ETH टोकन जारी करती है और उन्हें उपयोगकर्ता के बटुए में जमा कर देती है। 

हकीकत में, क्रॉस-चेन पुल एक ब्लॉकचैन से दूसरे ब्लॉकचैन में उपयोग किए जाने वाले टोकन लपेटकर काम करते हैं। 

यदि कोई उपयोगकर्ता एथेरियम नेटवर्क में बिटकॉइन का उपयोग करना चाहता है, तो क्रॉस-चेन ब्रिज बिटकॉइन ब्लॉकचैन में बीटीसी को एथेरियम ब्लॉकचैन पर लिपटे बिटकॉइन (डब्ल्यूबीटीसी) में परिवर्तित कर देते हैं। 

इसे देखते हुए, हम आसानी से कह सकते हैं कि स्रोत के रूप में काफी जटिलताएँ हैं, और गंतव्य ब्लॉकचेन दो अलग-अलग स्मार्ट अनुबंधों का उपयोग करता है। और इसलिए, दोनों पक्षों के मुद्दे उपयोगकर्ता के धन को जोखिम में डालते हैं। 

पुल दो प्रकार के हो सकते हैं: विश्वसनीय और भरोसेमंद

मोटे तौर पर, ब्रिज का प्रकार यह निर्धारित करता है कि फंड पर किसका अधिकार है। 

विश्वसनीय पुल केंद्रीय संस्थाओं द्वारा संचालित होते हैं जो पुलों के माध्यम से हस्तांतरित धन को अपने कब्जे में लेते हैं।

भरोसेमंद पुल स्मार्ट कॉन्ट्रैक्ट्स और एल्गोरिदम पर कार्य करता है, और स्मार्ट कॉन्ट्रैक्ट स्वयं ही प्रत्येक कार्य को आरंभ करता है। इस प्रकार, उपयोगकर्ताओं का अपनी संपत्ति पर नियंत्रण होता है। 

व्यवधान जो क्रॉस-चेन ब्रिज के उल्लंघन का कारण बने

2021-22 के हैक के हालिया रिकॉर्ड स्पष्ट रूप से दर्शाते हैं कि डेफी पुल हमलावरों द्वारा सबसे अधिक मांग वाले लक्ष्य हैं। 

क्रॉस-चेन पुलों की नींव के बाद से अब तक हुए हैक को ट्रेस करना

जैसा कि पहले कहा गया है, 2022 अधिकांश हैक में योगदान देता है और देखते हैं कि इन सभी हैक में क्या गलत हुआ। 

बीएससी (अलेखापरीक्षित) 

"BSC टोकन हब से $2M मूल्य के 586M BNB टोकन चोरी हो गए।"

बीएससी टोकन हब एक Binance ब्रिज है जो पुराने Binance बीकन चेन और BNB चेन को जोड़ता है। हमलावर ने बिनेंस बीकन चेन पर डिपॉजिट का झूठा सबूत दिखाकर बीएनबी ब्रिज से 2एम बीएनबी बनाया।

हैकर ने बिनेंस ब्रिज की खामियों का फायदा उठाया, जिसने सबूतों को सत्यापित किया और प्रत्येक दो लेनदेन से 1M BNB उधार लिया। 

हमलावर ने तब उधार ली गई निधि का उपयोग BSC ऋण देने वाले प्लेटफॉर्म वीनस प्रोटोकॉल पर संपार्श्विक के रूप में किया था, और तरलता को तुरंत अन्य ब्लॉकचेन नेटवर्क में स्थानांतरित कर दिया गया था।

खानाबदोश हमला

"खानाबदोश पुल $190M तरलता खोने वाले एक क्रूर हमले के लिए गिर गया"

खानाबदोश एक अनुमति रहित हैक निकला जिसमें कोई भी शामिल हो सकता है और उसका फायदा उठा सकता है। रूटीन कॉन्ट्रैक्ट अपग्रेड के बाद, रेप्लिका कॉन्ट्रैक्ट को बग के साथ इनिशियलाइज़ किया गया था। 

प्रक्रिया () फ़ंक्शन क्रॉस-चेन संदेश निष्पादन के लिए ज़िम्मेदार है और संदेशों को संसाधित करने के लिए मर्कल रूट को मान्य करने के लिए आंतरिक आवश्यकता है। 

कोडिंग बग का लाभ उठाते हुए, शोषक उनकी वैधता को 'साबित' किए बिना सीधे प्रक्रिया () फ़ंक्शन को कॉल करने में सक्षम था।

कोड में बग ने 0 के 'संदेश' मान (अमान्य, विरासत तर्क के अनुसार) को 'सिद्ध' के रूप में मान्य किया। इस प्रकार, इसका मतलब है कि किसी भी प्रक्रिया () कॉल को वैध के रूप में अनुमोदित किया गया था, जिससे पुल से धन का शोषण हुआ।

कई हैकर्स ने एथरस्कैन के माध्यम से उसी प्रक्रिया () फ़ंक्शन कॉल की एक साधारण कॉपी/पेस्ट के माध्यम से बड़े पैमाने पर धन लूटने का मौका लिया। 

सद्भाव पुल

"सद्भाव एक निजी कुंजी समझौते के लिए $ 100M से अधिक खोने के कठिन रास्ते पर चला गया"

हार्मनी ब्रिज को 2 में से 5 मल्टीसिग द्वारा सुरक्षित किया गया था, जहां अटैक वेक्टर दो पतों तक पहुंच हासिल करने में कामयाब रहा। 

हैकर ने समझौता किए गए पते का उपयोग किया जो किसी भी लेनदेन को पारित करने के लिए आवश्यक था और अंत में पुल से $100M अपने हाथ में ले लिया। 

कुछ लोगों को संदेह है कि हैकर द्वारा इन हॉट वॉलेट को चलाने वाले सर्वर तक पहुंच प्राप्त करने के कारण निजी कुंजी समझौता हो सकता है। 

रोनीन नेटवर्क (अलेखापरीक्षित)

"क्रिप्टो हैकर्स का सबसे बड़ा - रोनिन ~ $ 624M के लिए शोषण"

रोनिन एक एथेरियम साइड-चेन था जो लेनदेन को मंजूरी देने के लिए नौ सत्यापनकर्ताओं के साथ प्राधिकरण मॉडल के प्रमाण पर काम करता था।

जमा और निकासी लेनदेन को मंजूरी देने के लिए नौ में से पांच सत्यापनकर्ताओं की मंजूरी आवश्यक है। इसमें से चार सत्यापनकर्ता आंतरिक टीम सदस्य हैं, और लेन-देन को अधिकृत करने के लिए केवल एक और हस्ताक्षर की आवश्यकता है। 

चार आंतरिक सत्यापनकर्ता नोड्स से समझौता करने के अलावा, हैकर ने रोनिन ब्रिज अनुबंध से धन की निकासी करते हुए, इस पांचवें हस्ताक्षर तक भी पहुंच प्राप्त की। 

अफसोस की बात यह है कि करीब एक सप्ताह बीत जाने के बाद हमले की पहचान की जा सकी। 

मीटर.आईओ (बिना जाँचा)

"पुल हमले के कारण Meter.io से $4.4M लिया गया"

मीटर.आईओ, चेनसेफ के चैनब्रिज का एक फोर्क, ईआरसी20 हैंडलर द्वारा डिपॉजिट पद्धति में बदलाव के साथ लॉन्च किया गया। 

डिपॉजिट मेथड में विसंगतियों का फायदा हैकर ने उठाया, जो खाते में मनमानी राशि भेजकर फंड लूट लेता है। कॉलडेटा.

wormhole

"हैकर के साथ वर्महोल की घटना प्रक्रिया में $326M की कमाई"

वर्महोल, एक सोलाना पुल, यह विश्वास करने के लिए हेरफेर किया गया था कि एथेरियम पर 120k ETH जमा किया गया था, जिसने हैकर को सोलाना पर समतुल्य लिपटे संपत्ति का खनन करने की अनुमति दी थी। 

हैकर्स ने 'सोलाना_प्रोग्राम :: सिसवार :: इंस्ट्रक्शंस' और 'सोलाना_प्रोग्राम' में कमियों का फायदा उठाया, जिससे पता सही तरीके से सत्यापित नहीं हुआ। इसका उपयोग करते हुए, हमलावर ने केवल 0.1 ETH वाला पता प्रदान किया और सोलाना पर 120k लिपटे ETH को धोखे से बनाने के लिए एक नकली 'सिग्नेचर सेट' तैयार किया। 

क्यूब्रिज (बिना जाँचा)

"80 मिलियन डॉलर के शोषण के लिए क्यूब्रिज लेंस के नीचे"

क्यूबिट एथेरियम और बीएससी के बीच संपत्ति के क्रॉस-चेन संपार्श्विककरण की अनुमति देता है।

बग में तर्क त्रुटि ने xETH को एथेरियम पर ETH जमा किए बिना BSC पर उपलब्ध कराया। इसने हैकर्स को एथेरियम अनुबंध में कोई जमा जमा नहीं होने के बावजूद क्यूबिट पर संपार्श्विक ऋण प्राप्त किया। 

क्रॉस-चेन ब्रिज सुरक्षा पर कुछ प्रकाश

प्रोटोकॉल डिज़ाइन के साथ अंतर्निहित सुरक्षा उपायों के अलावा, संपूर्ण और नियमित ऑडिट चेक-अप करने से हमलों की जोखिम सतह कम हो जाती है। QuillAudits अग्रणी के रूप में टियर -1 ऑडिटिंग फर्म परियोजनाओं को हासिल करने के लिए एक अच्छी वैश्विक प्रतिष्ठा के साथ। 

10 दृश्य