Čas branja: 5 min
Raziskovanje vdorov, ki vodijo do milijonskih izgub.
Prečni verižni mostovi ne potrebujejo predstavitve. Uporabljajo se že nekaj časa in so odličen način za premikanje sredstev iz ene verige v drugo. Mostovi pomagajo izboljšati našo izkušnjo v Web3, saj QuillAudits pomaga izboljšati varnost protokolov. Ker gre pri mostovih za veliko sredstev, je edino smiselno zagotoviti njihovo varnost, varnost pa je v takšnih protokolih pogosto na prvem mestu. Kljub temu je bilo leto 2022 polno vdorov med verigami.
- Januar: Qubit — 80 milijonov dolarjev
- Februar: Wormhole - 375 milijonov dolarjev
- Marec: most Ronin - 624 milijonov dolarjev
- Junij: Harmony - 97 milijonov dolarjev
- Avgust: Nomad Bridge - 190 milijonov dolarjev
Kaj se je zgodilo?
Pogovorimo se posamezno o vsakem zgoraj omenjenem vdoru med verigami, da izvemo, kaj je šlo z njimi narobe, in se izobrazimo za sprejemanje boljših odločitev.
qubit
27. januarja 2022 je Qubit, primer a
” data-gt-translate-attributes=”[{"attribute":"data-cmtooltip", "format":"html"}]”>cross-chain bridge, was hacked. The series of transactions were as follows, after getting 77,162 qxETH through an exploit, the attacker used it to borrow 15,688 wETH and then convert it to 767 BTC-B then using these funds to get hold of stablecoins and put in some protocols. This whole resulted in $80 million of total value lost.
Presenetljivo je to izkoriščanje posledica logične napake v Qubit Finance Koda. Ta napaka je napadalcem omogočila pošiljanje zlonamernih vnosov pogodbenim funkcijam, kar je povzročilo umik žetonov na BSC, medtem ko na Ethereum ni bilo nakazilo.
Koda pogodbe Qubit
V samem jedru te izkoriščene ranljivosti je bila funkcija tokenAddress.safeTransferFrom() v kodi Qubit Finance; napadalec je ugotovil, da se ta funkcija ne povrne, ko je tokenAddress ničelna.
Wormhole
Črvovina, eden izmed priljubljenih mostov, ki omogoča medverižne transakcije, ki povezujejo verige blokov Solana in ethereum, je leta 320 izgubila okoli 2022 milijonov dolarjev in je bila na drugem mestu za mostom Ronin (več o tem kasneje).
2. februarja 2022 je napadalec poskušal obiti postopek preverjanja mostu Wormhole na Solani. Napadalec je zaobšel korak preverjanja in uspešno vnesel lažni račun sysvar ter zloglasno skoval 120,000 wETH. Tvit 3. februarja je objavil 320 milijonov dolarjev vreden izkoriščanje njihovega protokola. Da bi rešili situacijo, je matična družba Wormhole prijavila dobavo etra, da bi nadomestila ukradeno, potem ko ni prejela nobenega odgovora za nagrado v višini 10 milijonov $ v zameno za ukradena sredstva napadalcu.
Presenečeni bi bili, če bi izvedeli, da je bilo vse to mogoče zaradi samo ene zastarele funkcije. DA!!, koren tega podviga je bila zastarela funkcija »load_current_index« pod »verify_signatures«, ki se ukvarja s postopkom preverjanja. Težava z zastarelo funkcijo »load_current_index« je bila v tem, da ni preverila pristnosti vnesenega »sysvar account«, da je dejansko »system sysvar«, kar je napadalcu ustvarilo prostor za izkoriščanje.
Vir: - Link
Ronin most
Prikriti vdor, ki ga naslednjih 6 dni sploh niso opazili, dokler uporabnik ni obvestil ekipe o nezmožnosti dviga približno 5k ETH z mostu, kar je privedlo do odkritja ukradenih sredstev.
Ta vdor naj bi bil napad severnokorejske skupine Lazarus in je povzročil izgubo okoli 600 milijonov dolarjev. To je bil vdor, ki je temeljil na ogrožanju zasebnih ključev validatorskih vozlišč z napadi lažnega predstavljanja kot glavni vzrok za izkoriščanje.
Omrežje ronin uporablja nabor devetih validatorskih vozlišč za odobritev transakcije na mostu, polog ali dvig pa potrebuje odobritev večine, to je petih od teh vozlišč. Novembra 2021 je Axie DAO začasno dovolil Sky Mavisu podpisovanje transakcij v njegovem imenu, toda uganite kaj? Dodatek ni bil nikoli ukinjen.
To pomeni, da lahko Sky Mavis še vedno ustvarja podpise. Napadalec je to izkoristil in najprej ogrozil sisteme Sky Mavis ter izkoristil te podpise za ustvarjanje podpisa iz validatorja tretje osebe, ki ga nadzira Axie DAO. Skratka, z dostopom do sistemov Sky Mavis bi lahko napadalec ustvaril veljavne podpise za pet validatorjev omrežja ronin in nato uspešno črpal sredstva.
Harmony
23. junija 2022 je bil most Harmony ogrožen in na mostu so bili povezani različni žetoni, vključno z ETH, WETH, WBTC, USDT, USDC itd. Z rekordno izgubo okoli 97 milijonov dolarjev je Harmony bridge postal žrtev križa -chain hack podoben Roninu.
Za izvedbo transakcije bi uporabnik potreboval vsaj 2 od 5 MultiSig, kar pomeni, da sta bila za potrditev transakcije potrebna 2 ključa od skupno 5 ključev. Toda napadalci so ogrozili 2 ključa za odtekanje denarja. Vse to je bilo mogoče, ker so lahko napadalci dostopali do zadostnega števila teh ključev in jih dešifrirali.
Nomadski most
Bil je 1. avgust 2022, ko se je Nomad Bridged soočil z izkoriščanjem, ki je povzročilo 190 milijonov dolarjev izgube. Bil je
” data-gt-translate-attributes=”[{"attribute":"data-cmtooltip", "format":"html"}]”>cross-chain bridge between Ethereum, Moonbeam, Avalanche, Evmos and Mikomeda.
Na tretjem mestu z izgubo v višini 190 milijonov dolarjev je bil most ogrožen zaradi ranljivosti v procesu inicializacije, kar je napadalcem omogočilo, da zaobidejo postopek preverjanja in črpajo sredstva iz pogodbe o mostu.
Napadalec je lahko neposredno poklical funkcijo “process()”, ki je prevzela parameter “_message”. Napadalec s poljubnim »_message« je uspel zaobiti preverjanje. Kasneje je morala pogodba zagotoviti, da je zgoščena vrednost sporočila dokazana s funkcijo acceptableRoot(). Nato se vse skrči na funkcijo "prove()", ki ima zahtevano izjavo, ki jo je treba izpolniti. Napadalec bi lahko uspešno izvedel napad samo zato, ker bi ničla kot veljaven potrjen koren lahko zaobšla zahtevano preverjanje.
zaključek
Glede na statistiko leta 2022 je jasno, da so bili mostovi tarča, ki je povzročila milijonske izgube. 5 izkoriščanj na medverižnih protokolih je predstavljalo približno 56 % celotnega Web3. Kljub temu, da gre za eno najbolj uporabnih orodij, je varnost mostov pomanjkljiva in postajajo žrtve napadov.
Verjetno bomo kmalu videli še več takih napadov na mostove. V teh okoliščinah je izjemno pomembno, da mostovi zavarujejo sebe in svoje uporabnike. V prihajajočem spletnem dnevniku se bomo vrnili z revizijskimi smernicami, ki vam bodo pomagale razumeti nekaj ključnih preverjanj, ki jih potrebujemo za zagotovitev varnosti protokola.
Medtem pa ne pozabite, da ni druge možnosti kot iti na revizijo. Z revizijo ste lahko prepričani o varnosti. Ne le to, uporabniki bodo obotavljali zaupati protokolu. Revizija je v korist vseh, zato poskrbite za revizijo svojega projekta in pomagajte pri izvedbi Web3 varnejše mesto. In kdo je boljši za revizijo kot QuillAudits? Obiščite našo spletno stran še danes in si oglejte več takih blogov.
23 Ogledov
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://blog.quillhash.com/2023/03/23/part-1-bridging-the-blockchain-a-deep-dive-into-cross-chain-hacks-and-failures/
- : je
- $ 10 milijonov
- 000
- 1
- 2021
- 2022
- 27.
- 77
- a
- Sposobna
- O meni
- nad
- dostop
- Račun
- doseže
- dejansko
- Prednost
- po
- vsi
- domnevno
- Dovoli
- alternativa
- in
- razglasitve
- Še ena
- odobritev
- odobri
- SE
- okoli
- AS
- At
- napad
- Napadi
- poskus
- Revizija
- revidiranih
- Avgust
- Avalanche
- Nagrada
- axie
- nazaj
- temeljijo
- BE
- ker
- počutje
- Boljše
- med
- blockchain
- verige blokov
- Blog
- blogi
- sposodim
- MOST
- premoščen
- mostovi
- premostitev
- BSC
- by
- klic
- CAN
- Vzrok
- verige
- preveriti
- Pregledi
- okoliščinah
- jasno
- Koda
- podjetje
- Ogroženo
- POTRJENO
- Naročilo
- nadzorom
- pretvorbo
- Core
- bi
- ustvaril
- Cross
- Cross-Chain
- ključnega pomena
- DAO
- Dnevi
- ponudba
- Ponudba
- odločitve
- Dešifriraj
- globoko
- globok potop
- depozit
- Kljub
- destinacija
- DID
- neposredno
- dont
- navzdol
- vsak
- izobraževanje
- zagotovitev
- Enakovredna
- Napaka
- itd
- ETH
- Eter
- ethereum
- Tudi
- vsi
- evmos
- Primer
- izvršiti
- izkušnje
- Izkoristite
- izkoriščanje
- Exploited
- izkorišča
- soočen
- olajšanje
- ponaredek
- Falling
- februar
- Nekaj
- prva
- napaka
- sledi
- za
- iz
- polno
- funkcija
- funkcije
- Skladi
- ustvarjajo
- dobili
- pridobivanje
- dogaja
- skupina
- kramp
- kramp
- žaga
- se je zgodilo
- Harmony
- hash
- Imajo
- pomoč
- Pomaga
- držite
- HTTPS
- Pomembnost
- in
- nezmožnost
- Vključno
- Posamezno
- Infrastruktura
- Predstavitev
- vprašanje
- IT
- ITS
- januar
- tipke
- Vedite
- Korejski
- Lazarus
- Skupina Lazarus
- vodi
- UČITE
- Led
- Verjeten
- povezovanje
- logično
- off
- izgube
- Sklop
- je
- Glavne
- Večina
- Znamka
- max širine
- pomeni
- omenjeno
- Sporočilo
- milijonov
- milijoni
- kovane
- kovanje
- Denar
- Moonbeam
- več
- Najbolj
- premikanje
- večznakovni
- Nimate
- potrebe
- mreža
- Naslednja
- vozlišča
- NOMAD
- sever
- november
- november 2021
- Številka
- of
- on
- ONE
- parameter
- matično podjetje
- del
- Ribarjenje
- lažni napadi
- Kraj
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Popular
- Stališče
- mogoče
- prednostna naloga
- zasebna
- Zasebni ključi
- Postopek
- Projekt
- protokol
- protokoli
- dokazano
- zagotavlja
- dal
- qubit
- Quillhash
- razumno
- zapis
- ne pozabite
- zamenjajte
- obvezna
- Odgovor
- rezultat
- vrnitev
- povrniti
- RONIN
- Ronin omrežje
- soba
- koren
- varnejši
- Varnost
- drugi
- zavarovanje
- varnost
- Serija
- nastavite
- Kratke Hlače
- podpisati
- Podpisi
- Podoben
- Razmere
- Nebo
- nebo mavis
- pametna
- pametna pogodba
- So
- Solana
- nekaj
- vir
- Spearno lažno predstavljanje
- Stablecoins
- Izjava
- statistika
- Korak
- Še vedno
- ukradeno
- ukradenih sredstev
- Uspešno
- taka
- dovolj
- dobavi
- presenečen
- sistemi
- Pogovor
- ciljna
- skupina
- da
- O
- Vir
- njihove
- Njih
- sami
- te
- tretja
- tretjih oseb
- skozi
- čas
- do
- danes
- Boni
- orodja
- vrh
- Skupaj za plačilo
- transakcija
- Transakcije
- prenos
- Zaupajte
- tweet
- pod
- razumeli
- odklepanje
- prihajajoče
- USDC
- USDT
- uporabnik
- Uporabniki
- POTRDI
- Validator
- vozlišča veljavnosti
- potrjevalci
- vrednost
- različnih
- Preverjanje
- preverjanje
- Žrtva
- obisk
- ranljivost
- način..
- wBTC
- Web3
- Spletna stran
- WETH
- Kaj
- ki
- medtem
- WHO
- celoti
- bo
- z
- umaknejo
- umik
- Črvina
- vredno
- bi
- Napačen
- Vi
- Vaša rutina za
- zefirnet
- nič