Zincirler Arası Köprü Saldırılarının Özeti 2022

Okuma zamanı: 6 dakika

Daha yeni blok zincirleri kullanıma sunulmaya devam ettikçe, zincirler arası köprüler, blok zinciri ekosistemleri arasındaki birlikte çalışabilirliği geliştirmek için her zamankinden daha vazgeçilmez hale geliyor. 

Bununla birlikte, yeni yenilik aynı zamanda çok sayıda saldırı vektörü için zemin hazırlıyor. Chainalysis'e göre, Zincirler arası köprü hileleri tek başına 69'de çalınan fonların %2022'unu oluşturuyor. 

13 olmuştur Çapraz zincir köprüsü

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>zincirler arası köprü saldırıları, 2022 en çok saldırıların olduğu yıl oldu çoğunluk. 

Bu makale, daha iyi netlik için 2022'deki tüm zincirler arası hack olaylarının bir özetini vermektedir. zincirler arası köprülerin güvenliği bugünün zamanlarında. 

Zincirler Arası Köprüler, Kripto Varlıkların Birlikte Çalışabilirliğini Nasıl Sağlar?

A'nın işleyişini anlayalım Çapraz zincir köprüsü

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>bir örnek üzerinden zincirler arası köprü. 

Bir kullanıcının Ethereum ağında varlıkları vardır ancak bunları Polygon'da kullanması gerekir. Hemen Coinbase veya Binance gibi merkezi bir borsa arar ve elindeki ETH'leri Polygon'da kullanmak üzere MATIC'e dönüştürür. 

Şimdi, kalan MATIC jetonunun tekrar ETH'ye dönüştürülmesini istiyor. Dolayısıyla aynı süreci tekrar yaşamak zorunda kalacaktır. 

İlginç bir şekilde, zincirler arası köprüler süreci düzleştirir ve varlıkları farklı blok zinciri ağları arasında ileri geri aktarmanın daha kolay bir yolunu sağlar. 

Bunu nasıl yapıyor?

Çapraz zincir köprülerin çoğu, birlikte çalışabilirliği sağlamak için kilit ve nane modelinde çalışır. 

Kullanıcının Polygon ağında ETH belirteçlerini kullanmak istediği aynı senaryo. aracılığıyla nasıl yapabileceğine bakalım. Çapraz zincir köprüsü

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>çapraz zincir köprüsü.

• Kullanıcı, ETH jetonunu Ethereum zincirindeki belirli bir adrese gönderebilir ve işlem ücretini ödeyebilir. 
• ETH belirteçleri, doğrulayıcı tarafından akıllı bir sözleşmede kilitlenir veya bir saklama hizmeti tarafından tutulur.
• Artık kilitli ETH belirteçlerine eşit değerde MATIC belirteçleri Poligon zincirinde (yani hedef zincir) basılıyor
• Kullanıcı, MATIC jetonunu cüzdanına alır ve işlem yapmak için kullanabilir. 

Kullanıcı ETH jetonunu geri almak isterse ne olur?

İşte burada 'jetonların yakılması' devreye giriyor. 

• Kullanıcı cüzdanda kalan MATIC jetonunu Poligon zincirindeki belirli bir adrese gönderebilir. 
• Bu MATIC belirteçleri, fonların yeniden kullanılamayacağı şekilde yakılır.
• Akıllı sözleşmeler veya saklama hizmeti, ETH belirtecini serbest bırakır ve bunları kullanıcının cüzdanına yatırır. 

Gerçekte, zincirler arası köprüler, bir blok zincirinden diğerine kullanılacak belirteçleri sararak çalışır. 

Bir kullanıcı Bitcoin'i Ethereum ağında kullanmak isterse, zincirler arası köprüler, Bitcoin blok zincirindeki BTC'yi Ethereum blok zincirinde sarılmış Bitcoin'e (wBTC) dönüştürür. 

Buna bakarak, kaynak ve hedef blok zinciri olarak iki farklı akıllı sözleşme kullandığı için önemli karmaşıklıklar olduğunu rahatlıkla söyleyebiliriz. Bu nedenle, her iki taraftan da sorunlar kullanıcının fonlarını riske atar. 

Köprüler İki Tür Olabilir: Güvenilir ve Güvensiz

Genel olarak, köprü tipi, fonlar üzerinde kimin güce sahip olduğunu belirler. 

Güvenilir köprüler köprüler aracılığıyla aktarılan fonların velayetini alan merkezi kuruluşlar tarafından işletilmektedir.

Güvensiz köprüler akıllı sözleşmeler ve algoritmalar üzerinde çalışır ve akıllı sözleşmenin kendisi her eylemi başlatır. Bu şekilde, kullanıcılar varlıkları üzerinde kontrol sahibi olur. 

Zincirler Arası Köprü İhlallerine Yol Açan Kesintiler

2021-22'deki son saldırı kayıtları, DeFi köprülerinin saldırganlar tarafından en çok aranan hedefler olduğunu açıkça gösteriyor. 

Zincirler arası köprülerin kuruluşundan bu yana meydana gelen hacklerin izini sürmek

Daha önce de belirtildiği gibi, 2022 hacklerin çoğuna katkıda bulunuyor ve tüm bu hacklerde neyin yanlış gittiğine bakalım. 

BSC (Denetlenmemiş) 

"BSC token merkezinden çalınan 2 milyon dolar değerinde 586 milyon BNB tokeni."

BSC belirteç merkezi eski Binance Beacon zinciri ile BNB zincirini birbirine bağlayan bir Binance köprüsüdür. Saldırgan, Binance Beacon zincirinde sahte para yatırma kanıtı göstererek BNB köprüsünden 2 milyon BNB bastı.

Bilgisayar korsanı, kanıtları doğrulayan ve iki işlemden her biri 1 milyon BNB ödünç alan Binance köprüsündeki kusurdan yararlandı. 

Saldırgan daha sonra ödünç alınan fonu BSC borç verme platformu Venus protokolünde teminat olarak kullandı ve likidite anında diğer blockchain ağlarına aktarıldı.

Göçebe Saldırısı

“Göçebe köprüsü, 190 milyon dolarlık likidite kaybederek vahşi bir saldırı nedeniyle düştü”

Nomad, herkesin katılabileceği ve yararlanabileceği, izinsiz bir hack'e dönüştü. Rutin sözleşme yükseltmesinin ardından, Kopya sözleşmesi bir hatayla başlatıldı. 

process() işlevi, zincirler arası ileti yürütülmesinden sorumludur ve iletileri işlemek için merkle kökünü doğrulamak üzere dahili bir gereksinime sahiptir. 

İstismarcı, kodlama hatasından yararlanarak, geçerliliğini 'kanıtlamak' zorunda kalmadan process() işlevini doğrudan çağırabildi.

Koddaki hata, 0'lık 'mesajlar' değerini (eski mantığa göre geçersiz) 'kanıtlanmış' olarak doğruladı. Dolayısıyla bu, herhangi bir process() çağrısının geçerli olarak onaylandığı ve köprüden fonların kullanılmasına yol açtığı anlamına geliyordu.

Pek çok bilgisayar korsanı, Etherscan aracılığıyla aynı process() işlev çağrısının basit bir kopyala/yapıştır işlemiyle büyük miktarda parayı yağmalama şansını yakaladı. 

Uyum Köprüsü

"Harmony, özel bir anahtar uzlaşması nedeniyle 100 milyon dolardan fazla kaybederek zor yola girdi"

Harmony köprüsü, saldırı vektörünün iki adrese erişim sağlamayı başardığı 2/5 multisig ile güvence altına alındı. 

Bilgisayar korsanı, herhangi bir işlemi geçmek için gerekli olan ele geçirilmiş adresi kullandı ve sonunda köprüden ellerine 100 milyon dolar aldı. 

Özel anahtarın ele geçirilmesinin, bilgisayar korsanının bu sıcak cüzdanları çalıştıran sunuculara erişim kazanmasından kaynaklanabileceğinden çok az kişi şüpheleniyor. 

Ronin Ağı (denetlenmemiş)

"Kripto hacklerinin en büyüğü – Ronin ~624 milyon $'a yararlanıyor"

Ronin, işlemleri onaylamak için dokuz doğrulayıcı ile Yetki Kanıtı modeli üzerinde çalışan bir Ethereum yan zinciriydi.

Para yatırma ve çekme işlemlerini onaylamak için dokuz doğrulayıcı onayından beşi gereklidir. Bunun dışında, dört doğrulayıcı dahili ekip üyesidir ve işlemleri yetkilendirmek için yalnızca bir imza daha gerekir. 

Bilgisayar korsanı, dört dahili doğrulama düğümünü ele geçirmenin yanı sıra bu beşinci imzaya da erişim sağlayarak Ronin köprü sözleşmesindeki fonları tüketti. 

Ne yazık ki, saldırı neredeyse bir hafta sonra tespit edildi. 

Metre.io (Denetlenmemiş)

“Köprü saldırısı nedeniyle Meter.io'dan 4.4 milyon dolar çalındı”

ChainSafe'in ChainBridge çatalı olan Meter.io, ERC20 işleyicisi tarafından para yatırma yönteminde yapılan bir değişiklikle kullanıma sunuldu. 

Para yatırma yöntemindeki tutarsızlıklar, bilgisayar korsanı tarafından kaldıraç olarak kullanıldı ve bilgisayar korsanı, keyfi bir meblağ göndererek fonları yağmaladı. arama verileri.

Solucan deliği

"Hacker'ın süreçte 326 milyon dolar netleştirdiği solucan deliği olayı"

Bir Solana köprüsü olan Wormhole, 120 bin ETH'nin Ethereum'a yatırıldığına inanacak şekilde manipüle edildi, bu da bilgisayar korsanının Solana'da eşdeğer sarılmış varlıkları basmasına izin verdi. 

Bilgisayar korsanları, 'Solana_program::sysvar::instructions' ve 'Solana_program'daki adresi doğru şekilde doğrulamayan eksikliklerden yararlandı. Saldırgan bunu kullanarak yalnızca 0.1 ETH içeren bir adres sağladı ve Solana'da 120 bin sarılı ETH'yi sahtekarlıkla basmak için sahte bir 'İmza seti' oluşturdu. 

Qbridge (Denetlenmemiş)

“80 milyon dolarlık istismar için mercek altında Qbridge”

Qubit, Ethereum ve BSC arasındaki varlıkların zincirler arası teminatlandırılmasına izin verir.

Hatadaki mantık hatası, xETH'yi Ethereum'da ETH depozitosu olmadan BSC'de kullanılabilir hale getirdi. Bu, bilgisayar korsanlarının Ethereum sözleşmesinde kilitli herhangi bir mevduatı olmamasına rağmen Qubit'te teminat kredileri almasına neden oldu. 

Zincirler Arası Köprü Güvenliği Konusunda Biraz Işık

Protokol tasarımında yerleşik olarak bulunan güvenlik önlemlerine ek olarak, kapsamlı ve düzenli denetim kontrolleri gerçekleştirmek, saldırıların risk yüzeyini en aza indirir. QuillAudits'in öncüsü olarak Tier-1 denetim firması projeleri güvence altına almak için iyi bir küresel itibara sahip. 

10 Görünümler