Sammanfattning av Cross-chain Bridge Attacks 2022 PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.

Sammanfattning av Cross-chain Bridge Attacks 2022

Tidsstämpel: 14 november 2022 9:06

Lästid: 6 minuter

När nyare blockkedjor fortsätter att lanseras blir tvärkedjebryggor mer oumbärliga än någonsin för att förbättra interoperabiliteten mellan blockkedjeekosystem. 

Med det sagt lägger den nya innovationen också ytan för ett stort antal attackvektorer. Enligt Chainalysis, Cross-chain bro hacks Enbart utgör upp till 69 % av stulna pengar 2022. 

Det har varit 13 Tvärkedjebro

Cross-chain broprotokoll tillhandahåller infrastrukturen för att flytta tokens från en blockchain till en annan. Tvärkedjeöverföring av tokens uppnås genom att låsa tokens på källkedjans smarta kontrakt och prägla motsvarande tokens på destinationsblockkedjan och vice versa för att låsa upp tokens på källkedjan.

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]">tvärkedjeöverskridande broattacker fram och tillbaka, med 2022 som det år med flest majoritet. 

Den här artikeln ger en kortfattad översikt över alla 2022 års korskedjade hackhändelser för bättre klarhet om säkerhet för tvärkedjebroar i dagens tider. 

Hur ger cross-chain broar interoperabilitet mellan kryptotillgångar?

Låt oss förstå funktionen av en Tvärkedjebro

Cross-chain broprotokoll tillhandahåller infrastrukturen för att flytta tokens från en blockchain till en annan. Tvärkedjeöverföring av tokens uppnås genom att låsa tokens på källkedjans smarta kontrakt och prägla motsvarande tokens på destinationsblockkedjan och vice versa för att låsa upp tokens på källkedjan.

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]">brygga över ett exempel. 

En användare har tillgångar på Ethereum-nätverket men måste använda dem på Polygon. Han söker omedelbart en centraliserad börs som Coinbase eller Binance och konverterar sina ETH-innehav till MATIC för att använda på Polygon. 

Nu vill han att den återstående MATIC-token ska konverteras tillbaka till ETH. Så han kommer att behöva gå igenom samma process igen. 

Intressant är att tvärkedjebryggor får processen rak och ger ett enklare sätt att överföra tillgångar fram och tillbaka mellan olika blockkedjenätverk. 

Hur gör den det?

De flesta tvärkedjebryggor fungerar på lås-och-myntmodellen för att uppnå interoperabilitet. 

Samma scenario där användaren vill använda ETH-tokens på polygonnätverket. Låt oss titta på hur han kan göra det genom en Tvärkedjebro

Cross-chain broprotokoll tillhandahåller infrastrukturen för att flytta tokens från en blockchain till en annan. Tvärkedjeöverföring av tokens uppnås genom att låsa tokens på källkedjans smarta kontrakt och prägla motsvarande tokens på destinationsblockkedjan och vice versa för att låsa upp tokens på källkedjan.

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>tvärkedjebrygga.

  • Användaren kan skicka ETH-token till en specifik adress i Ethereum-kedjan och betala transaktionsavgiften. 
  • ETH-tokensen är låsta i ett smart kontrakt av valideraren eller innehas av en vårdnadstjänst.
  • Nu präglas MATIC-tokens av värde lika med låsta ETH-tokens på polygonkedjan (dvs destinationskedjan)
  • Användaren får MATIC-token i sin plånbok och han kan använda den för att göra transaktioner 

Vad händer om användaren vill få tillbaka sin ETH-token?

Det är här "bränning av polletter" kommer in i bilden. 

  • Användaren kan skicka sin återstående MATIC-token i plånboken till en specifik adress i polygonkedjan. 
  • Dessa MATIC-tokens bränns så att medlen inte kan återanvändas
  • De smarta kontrakten eller vårdnadstjänsten släpper ETH-tokenet och krediterar dem i användarens plånbok. 

I verkligheten fungerar cross-chain broar genom att slå in tokens som ska användas från en blockchain till en annan. 

Om en användare vill använda Bitcoin i Ethereum-nätverket, konverterar tvärkedjebryggor BTC i Bitcoin blockchain till inslagna Bitcoin (wBTC) på Ethereum blockchain. 

Genom att titta på detta kan vi enkelt säga att det finns betydande komplexiteter som källa, och destinationsblockkedjan använder två olika smarta kontrakt. Och därför riskerar problem från båda sidor användarens pengar. 

Broar kan vara av två typer: pålitliga och tillförlitliga

I stort sett avgör brotypen vem som har makten över fonderna. 

Pålitliga broar drivs av centrala enheter som tar hand om de medel som överförs via broar.

Trolösa broar funktion på smarta kontrakt och algoritmer, och själva det smarta kontraktet initierar varje åtgärd. Så på det sättet har användarna kontroll över sina tillgångar. 

Störningar som ledde till brobrott över kedjan

Nya register över hacks från 2021-22 visar tydligt att DeFi-broar är de mest eftertraktade målen för angripare. 

Sammanfattning av Cross-chain Bridge Attacks 2022 PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.

Spåra hacken som någonsin har hänt sedan grundandet av tvärkedjebroar

Som sagt tidigare bidrar 2022 till majoriteten av hackningarna och låt oss titta på vad som gick fel i alla dessa hack. 

BSC (Oreviderad) 

"2M BNB-token värd 586 miljoner dollar stulen från BSC-tokenhub."

BSC token nav är en Binance-bro som förbinder den gamla Binance Beacon-kedjan och BNB-kedjan. Angriparen genom att visa falskt bevis på insättning på Binance Beacon-kedjan, präglade 2M BNB från BNB-bron.

Hackaren utnyttjade felet i Binance-bryggan som verifierade bevis och lånade 1M BNB vardera från två transaktioner. 

Angriparen använde sedan den lånade fonden som säkerhet på BSC-utlåningsplattformen Venus-protokollet, och likviditeten överfördes omedelbart till andra blockkedjenätverk.

Nomad attack

"Nomad bridge föll för en vild attack som förlorade 190 miljoner dollar i likviditet"

Nomad visade sig vara ett tillståndslöst hack som vem som helst kunde vara med och utnyttja. Efter den rutinmässiga kontraktsuppgraderingen initierades Replica-kontraktet med en bugg. 

process()-funktionen ansvarar för exekvering av meddelanden över kedjan och har ett internt krav för att validera merkle-roten för att bearbeta meddelandena. 

Genom att dra fördel av kodningsfelet kunde exploatören anropa process()-funktionen direkt utan att behöva "bevisa" deras giltighet.

Felet i koden validerade "meddelanden"-värdet 0 (ogiltigt, enligt äldre logik) som "bevisat". Detta innebar alltså att varje process()-anrop godkändes som giltigt, vilket ledde till utnyttjande av medel från bryggan.

Många hackare tog chansen att plundra enorma pengar genom en enkel kopiera/klistra in samma process() funktionsanrop via Etherscan. 

Harmony Bridge

"Harmony gick den svåra vägen och förlorade över 100 miljoner dollar på en kompromiss med privat nyckel"

Harmony bridge säkrades med 2 av 5 multisig, där attackvektorn lyckades få tillgång till två adresser. 

Hackaren använde den komprometterade adressen som var nödvändig för att klara alla transaktioner och tog slutligen $100 miljoner i händerna från bron. 

Få misstänker att kompromissen med den privata nyckeln kan bero på att hackaren får tillgång till servrarna som kör dessa heta plånböcker. 

Ronin Network (oreviderat)

"Det största av kryptohackarna – Ronin utnyttjar för ~624 miljoner dollar"

Ronin var en Ethereum-sidokedja som arbetade på Proof of Authority-modellen med nio validatorer för att godkänna transaktioner.

Fem av nio validatorgodkännande krävs för att godkänna insättnings- och uttagstransaktioner. Av detta är fyra validerare interna gruppmedlemmar, och endast en signatur till behövs för att auktorisera transaktioner. 

Förutom att kompromissa med de fyra interna valideringsnoderna fick hackaren också tillgång till denna femte signatur, vilket dränerade pengarna från Ronin-brokontraktet. 

Tyvärr identifierades attacken efter nästan en vecka. 

Meter.io (Oreviderad)

"4.4 miljoner dollar togs från Meter.io på grund av broattack"

Meter.io, en gaffel av chainSafes ChainBridge, lanserades med en förändring av insättningsmetoden av ERC20-hanteraren. 

Avvikelserna i insättningsmetoden utnyttjades av hackaren, som plundrar bort pengar genom att skicka ett godtyckligt belopp i samtalsdata.

Maskhål

"Incident med maskhål med hackaren som tjänade 326 miljoner dollar i processen"

Wormhole, en Solana-bro, manipulerades för att tro att 120 XNUMX ETH deponerades på Ethereum, vilket gjorde det möjligt för hackaren att slå likvärdiga inslagna tillgångar på Solana. 

Hackarna utnyttjade bristerna i 'Solana_program::sysvar::instruktionerna' och i 'Solana_programmet' som inte verifierade adressen korrekt. Med hjälp av detta angav angriparen en adress som bara innehöll 0.1 ETH och producerade ett falskt "Signaturset" för att bedrägligt prägla 120k insvept ETH på Solana. 

Qbridge (Oreviderad)

"Qbridge under linsen för $80 miljoner utnyttjande"

Qubit tillåter korskedjad säkerhet av tillgångar mellan Ethereum och BSC.

Det logiska felet i buggen gjorde xETH tillgängligt på BSC utan en ETH-insättning på Ethereum. Detta fick hackare att förvärva säkerhetslån på Qubit trots att de inte hade några insättningar låsta i Ethereum-kontraktet. 

Lite ljus på Cross-Chain Bridge Security

Utöver de säkerhetsåtgärder som är inbyggda i protokolldesignen, minimerar grundliga och regelbundna granskningskontroller riskytan för attacker. QuillAudits pionjär som en Tier-1 revisionsbyrå med ett gott globalt rykte för att säkra projekt. 

10 Visningar

Tidsstämpel:

Mer från Pilbåt