Ringkasan Serangan Jembatan Lintas Rantai 2022

Diterbitkan Ulang Oleh Plato

Followers: 0

Waktu Baca: 6 menit

Saat blockchain yang lebih baru terus diluncurkan, jembatan lintas rantai menjadi lebih diperlukan dari sebelumnya untuk meningkatkan interoperabilitas antara ekosistem blockchain.

Karena itu, inovasi baru ini juga memunculkan sejumlah besar vektor serangan. Menurut Chainalysis, Retas jembatan lintas rantai saja membuat hingga 69% dari dana yang dicuri pada tahun 2022.

Sudah ada 13 Jembatan lintas rantai

Protokol jembatan lintas rantai menyediakan infrastruktur untuk memindahkan token dari satu blockchain ke blockchain lainnya. Transfer token lintas rantai dicapai dengan mengunci token pada kontrak cerdas rantai sumber dan mencetak token yang setara pada blockchain tujuan dan sebaliknya untuk membuka kunci token pada rantai sumber.

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>serangan jembatan lintas rantai bolak-balik, dengan tahun 2022 menjadi tahun yang paling banyak mayoritas.

Artikel ini memberikan ringkasan tentang semua peristiwa peretasan lintas rantai tahun 2022 untuk kejelasan yang lebih baik tentang keamanan jembatan lintas rantai di zaman sekarang.

Bagaimana Jembatan Lintas Rantai Menghasilkan Interoperabilitas Aset Kripto?

Mari kita memahami operasi a Jembatan lintas rantai

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>jembatan lintas rantai melalui contoh.

Seorang pengguna memiliki aset di jaringan Ethereum tetapi perlu menggunakannya di Polygon. Dia segera mencari pertukaran terpusat seperti Coinbase atau Binance dan mengubah kepemilikan ETH-nya menjadi MATIC untuk digunakan di Polygon.

Sekarang, dia ingin token MATIC yang tersisa diubah kembali menjadi ETH. Jadi, dia harus melalui proses yang sama lagi.

Menariknya, jembatan lintas rantai membuat prosesnya lurus dan menyediakan cara yang lebih mudah untuk mentransfer aset bolak-balik antara jaringan blockchain yang berbeda.

Bagaimana cara melakukannya?

Kebanyakan cross-chain bridge berfungsi pada model lock-and-mint untuk mencapai interoperabilitas.

Skenario yang sama di mana pengguna ingin menggunakan token ETH di jaringan Polygon. Mari kita lihat bagaimana dia bisa melakukannya melalui a Jembatan lintas rantai

” data-gt-translate-attributes=”[{“atribut”:”data-cmtooltip”, “format”:”html”}]”>jembatan lintas rantai.

Pengguna dapat mengirim token ETH ke alamat tertentu di rantai Ethereum dan membayar biaya transaksi.
Token ETH dikunci dalam kontrak pintar oleh validator atau dipegang oleh layanan kustodian.
Sekarang token MATIC dengan nilai yang sama dengan token ETH yang dikunci dicetak pada rantai Polygon (yaitu rantai tujuan)
Pengguna menerima token MATIC di dompetnya dan dia dapat menggunakannya untuk melakukan transaksi

Bagaimana jika pengguna ingin mendapatkan kembali token ETH-nya?

Di sinilah 'pembakaran token' muncul.

Pengguna dapat mengirim token MATIC mereka yang tersisa di dompet ke alamat tertentu di rantai Polygon.
Token MATIC ini dibakar sedemikian rupa sehingga dana tidak dapat digunakan kembali
Kontrak pintar atau layanan kustodian melepaskan token ETH dan mengkreditkannya ke dompet pengguna.

Pada kenyataannya, jembatan lintas rantai bekerja dengan membungkus token untuk digunakan dari satu blockchain ke blockchain lainnya.

Jika pengguna ingin menggunakan Bitcoin di jaringan Ethereum, jembatan lintas rantai mengubah BTC dalam blockchain Bitcoin menjadi Bitcoin terbungkus (wBTC) di blockchain Ethereum.

Dengan melihat ini, kita dapat dengan mudah mengatakan ada kerumitan yang cukup besar sebagai sumbernya, dan blockchain tujuan menggunakan dua smart contract yang berbeda. Dan oleh karena itu, masalah dari kedua sisi membahayakan dana pengguna.

Jembatan Bisa Dari Dua Jenis: Tepercaya & Tanpa Kepercayaan

Secara umum, tipe jembatan menentukan siapa yang memegang kekuasaan atas dana tersebut.

Jembatan tepercaya dioperasikan oleh entitas pusat yang mengambil alih dana yang ditransfer melalui jembatan.

Jembatan tanpa kepercayaan berfungsi pada kontrak pintar dan algoritme, dan kontrak pintar itu sendiri memulai setiap tindakan. Jadi dengan cara itu, pengguna memiliki kendali atas aset mereka.

Gangguan Yang Menyebabkan Pelanggaran Jembatan Lintas Rantai

Catatan peretasan terbaru dari 2021-22 dengan jelas menggambarkan bahwa jembatan DeFi adalah target yang paling dicari oleh penyerang.

Ringkasan Serangan Jembatan Lintas Rantai 2022 Kecerdasan Data PlatoBlockchain. Pencarian Vertikal. Ai.

Menelusuri peretasan yang pernah terjadi sejak berdirinya jembatan lintas rantai

Seperti yang dikatakan sebelumnya, 2022 berkontribusi pada sebagian besar peretasan dan mari kita lihat apa yang salah di semua peretasan ini.

BSC (Tidak Diaudit)

“Token BNB 2 juta senilai $586 juta dicuri dari hub token BSC.”

hub token BSC adalah jembatan Binance yang menghubungkan rantai Binance Beacon lama dan rantai BNB. Penyerang dengan menunjukkan bukti setoran palsu pada rantai Binance Beacon, mencetak 2 juta BNB dari jembatan BNB.

Peretas mengeksploitasi kelemahan di jembatan Binance yang memverifikasi bukti dan meminjam masing-masing 1 juta BNB dari dua transaksi.

Penyerang kemudian menggunakan dana pinjaman sebagai jaminan pada platform pinjaman BSC protokol Venus, dan likuiditas langsung ditransfer ke jaringan blockchain lainnya.

Serangan Pengembara

“Jembatan pengembara jatuh karena serangan biadab yang kehilangan likuiditas $190 juta”

Nomad ternyata adalah peretasan tanpa izin yang dapat diikuti dan dieksploitasi oleh siapa saja. Mengikuti peningkatan kontrak rutin, kontrak Replika diinisialisasi dengan bug.

process() bertanggung jawab atas eksekusi pesan lintas rantai dan memiliki persyaratan internal untuk memvalidasi root merkle untuk memproses pesan.

Mengambil keuntungan dari bug pengkodean, pengeksploitasi dapat memanggil fungsi process() secara langsung tanpa harus 'membuktikan' validitasnya.

Bug dalam kode memvalidasi nilai 'pesan' dari 0 (tidak valid, menurut logika lawas) sebagai 'terbukti'. Jadi, ini berarti panggilan process() apa pun disetujui sebagai valid, yang mengarah ke eksploitasi dana dari bridge.

Banyak peretas mengambil kesempatan untuk menjarah uang besar-besaran melalui salinan/tempel sederhana dari panggilan fungsi process() yang sama melalui Etherscan.

Jembatan Harmoni

“Harmoni mengalami kesulitan, kehilangan lebih dari $100 juta karena kompromi kunci pribadi”

Jembatan harmoni diamankan oleh 2 dari 5 multisig, di mana vektor serangan berhasil mendapatkan akses ke dua alamat.

Peretas menggunakan alamat yang dikompromikan yang diperlukan untuk melewati transaksi apa pun dan akhirnya mengambil $100 juta dari jembatan.

Sedikit yang menduga bahwa penyusupan kunci pribadi mungkin karena peretas mendapatkan akses ke server yang menjalankan dompet panas ini.

Jaringan Ronin (tidak diaudit)

“Peretasan kripto terbesar – Eksploitasi Ronin seharga ~$624 juta”

Ronin adalah rantai samping Ethereum yang bekerja pada model Proof of Authority dengan sembilan validator untuk menyetujui transaksi.

Lima dari sembilan persetujuan validator diperlukan untuk menyetujui transaksi deposit dan penarikan. Dari jumlah tersebut, empat validator adalah anggota tim internal, dan hanya diperlukan satu tanda tangan lagi untuk mengotorisasi transaksi.

Selain mengkompromikan empat node validator internal, peretas juga memperoleh akses ke tanda tangan kelima ini, menghabiskan dana dari kontrak jembatan Ronin.

Sayangnya, serangan itu teridentifikasi setelah hampir seminggu.

Meter.io (Tidak diaudit)

“$4.4 juta diambil dari Meter.io karena serangan jembatan”

Meter.io, fork dari ChainBridge chainSafe, diluncurkan dengan perubahan metode deposit oleh handler ERC20.

Perbedaan dalam metode deposit dimanfaatkan oleh peretas, yang merampok dana dengan mengirimkan jumlah yang sewenang-wenang di data panggilan.

Lubang cacing

“Insiden lubang cacing dengan peretas menghasilkan $326 juta dalam prosesnya”

Wormhole, jembatan Solana, dimanipulasi untuk percaya bahwa 120k ETH disimpan di Ethereum, yang memungkinkan peretas untuk mencetak aset terbungkus yang setara di Solana.

Peretas memanfaatkan kekurangan di 'Solana_program::sysvar::instructions' dan di 'Solana_program' yang tidak memverifikasi alamat dengan benar. Dengan menggunakan ini, penyerang memberikan alamat yang hanya berisi 0.1 ETH dan menghasilkan 'Signature set' palsu untuk secara curang mencetak 120k ETH yang dibungkus di Solana.

Qjembatan (Tidak diaudit)

“Qbridge di bawah lensa untuk eksploitasi $80 juta”

Qubit memungkinkan penjaminan lintas rantai aset antara Ethereum dan BSC.

Kesalahan logika dalam bug membuat xETH tersedia di BSC tanpa deposit ETH di Ethereum. Ini membuat peretas memperoleh pinjaman jaminan di Qubit meskipun tidak memiliki simpanan apa pun yang dikunci dalam kontrak Ethereum.

Beberapa Cahaya Pada Keamanan Jembatan Lintas Rantai

Selain langkah-langkah keamanan yang dibangun dengan desain protokol, melakukan pemeriksaan audit secara menyeluruh dan teratur meminimalkan risiko serangan. Pelopor QuillAudits sebagai a perusahaan audit Tier-1 dengan reputasi global yang baik untuk mengamankan proyek.

10 views

Stempel Waktu: November 14, 2022November 14, 2022

Stempel Waktu: Februari 3, 2023

Diterbitkan Ulang Oleh Plato

7 Tantangan Terbesar dengan Audit Kontrak Cerdas DeFi Hari Ini

Memahami Utilitas Masa Depan NFT

Bagaimana Audit Dapat Membantu Mendahulukan Tarikan Karpet

5 peretasan DeFi & NFts teratas pada tahun 2021 {Diagnosis dan solusi lengkap}

Pelajaran Dari Serangan Terhadap Tinyman, DEX Terbesar Di Algorand

Polygon ZK-RollUp: Penjelasan yang Sangat Sederhana

Tentang Kami

Pencarian Vertikal & Ai

Platform

Tetap Berhubung

Akun