რატომ აგრძელებენ ჰაკერები ბლოკჩეინ ხიდების ექსპლუატაციას?

7 წლის 2022 იანვარს Ethereum-ის თანადამფუძნებელი ვიტალიკ ბუტერინი გააფრთხილა ბლოკჩეინ ხიდების უსაფრთხოების შესახებ. ის წინასწარმეტყველურად ამტკიცებდა, რომ აქტივების გადაკვეთა ბლოკჩეინზე არასოდეს იქნებოდა ისეთივე გარანტიებით, როგორც ერთ ბლოკჩეინში დარჩენა. ის მართალი იყო.

აქტივების უსაფრთხო კონვერტირება ბლოკჩეინებს შორის არ არის გარანტირებული. უფრო ზუსტად რომ ვთქვათ, არავის შეუძლია რეალურად „გააგზავნოს“ ან „ხიდი“ აქტივის სხვა ბლოკჩეინზე. ამის ნაცვლად, აქტივები დეპონირებულია, იკეტება ან იწვება ერთ ჯაჭვზე; შემდეგ დარიცხული, განბლოკილი ან მეორე ჯაჭვზე მოჭრილი.

უფრო უარესი, ბლოკჩეინებს არ შეუძლიათ წვდომა ჯაჭვის გარეთ არსებულ ინფორმაციაზე. ვერცერთი ბლოკჩეინი ვერ ადასტურებს, რომ ნებისმიერი მრავალბლოკჩეინის აქტივი არის „ხიდი“. საუკეთესო შემთხვევაში, მესამე მხარის ორაკულები ადასტურებენ არაჯაჭვური ინფორმაციის სინამდვილეს და ამ მონაცემების ინტერპრეტაციას ჯაჭვური გამოყენებისთვის. თუმცა, ეს შემოაქვს ნდობის პირველ ფენას ხიდის პროცესზე: ნდობა მონაცემთა ორაკულებზე. ნდობის შემდეგი ფენა არის მეურვეები.

როგორც წესი, ხიდი ხდება მეურვესთან ერთი აქტივის დეპონირებით და ამ აქტივის „შეფუთული“ ვერსიის მიღებით მეორე ბლოკჩეინზე მყოფი მეურვეისგან. მომხმარებელი უნდა ენდოს მეურვეს, როგორც თავდაპირველი აქტივის შენახვა, ასევე შეფუთული აქტივის გათავისუფლება.

ზოგჯერ, ამ მეურვეს შეუძლია მიიღოს DAO ან ჭკვიანი კონტრაქტის ფორმა. ნებისმიერ შემთხვევაში - იქნება ეს DAO თუ კორპორატიული სუბიექტი, როგორიცაა BitGo (მსოფლიოს მეურვე ყველაზე დიდი შეფუთული აქტივი, გახვეული ბიტკოინი) — ხიდი შემოაქვს ნდობის რამდენიმე ფენას.

ვაგრძელებთ, ნდობის შემდეგი ფენა არის კონვერტირებადობა და ფასის პარიტეტი. მარტივად რომ ვთქვათ, საკმარისი არ არის ხიდის აქტივის მიღება. მომხმარებელმა დამატებით უნდა გააგრძელოს ნდობა, რომ მომავალში შეძლებს ამ აქტივის უკან დაბრუნებას 1-1-ის საფუძველზე. ერთი ორიგინალური აქტივი უნდა იყოს შეფუთული აქტივის ტოლი. ეს არის ფასის პარიტეტის რისკი.

მინიმუმ, ხიდი აქტივი უნდა შეინარჩუნოს პარიტეტი თავდაპირველ აქტივთან. ასე რომ, ამ გზით მომხმარებელი ენდობა ხიდის პროცესს არა მხოლოდ გაცვლის მომენტში, არამედ მანამ, სანამ ისინი იყენებენ შეფუთულ აქტივს მომავალში.

მოკლედ, აქტივის უსაფრთხოების ყველა რისკი ექსპონენტურად მრავლდება მათი ხიდის (შეფუთული) კოლეგებისთვის.

გაწუხებთ, რომ Tether Limited-მა არ გამოისყიდოს ერთი USDT 1 დოლარად? გადაიტანეთ იგივე USDT ბლოკჩეინზე, რომელსაც არ აქვს Tether Limited-ის მხარდაჭერა და თქვენი რისკები გამრავლდა მეურვე(ებ)ით, ჭკვიანი კონტრაქტებით, ლიკვიდურობით, ფასის თანასწორობით და, რაც მთავარია, არ დაიწვება თუ არა ხიდი, სანამ არ დაგჭირდებათ უკან დაბრუნება. უსაფრთხოება.

გარკვეულწილად, ბლოკჩეინ-ჯვარედინი ხიდები ჭიის ხვრელებს ჰგავს: ისინი ახორციელებენ მასალის გადატანას სივრცეში, მაგრამ ისინი წარმოიქმნება და ნადგურდება სპონტანურად.

სინამდვილეში, Wormhole არის მსოფლიოში ყველაზე კარგად კაპიტალიზებული ხიდის სახელი, რომელიც აკავშირებს Ethereum-ისა და Solana-ს ბლოკჩეინებს. Ის იყო hacked - როგორც ბევრი ხიდი. ქვემოთ არის სია.

Multichain ექსპლოიტი 19 წლის 2022 იანვარს

თავდამსხმელები მოიპარეს 3 მილიონი დოლარი Multichain cross-blockchain ხიდის ექსპლოატაციაში წლის დასაწყისში. Multichain-მა გამოუშვა პირველადი შეტყობინებები, რამაც გამოიწვია მომხმარებლები კითხვა იყო თუ არა მათი სახსრები უსაფრთხო. ის გააფრთხილა მომხმარებლებმა ამოიღონ WETH, MATIC, AVAX, PERI, OMT და WBNB ტოკენები მის პლატფორმაზე დაზარალებული ჭკვიანი კონტრაქტებიდან.

Multichain მოგვიანებით განაცხადა ერთმა თავდამსხმელმა დააბრუნა თავდასხმის დროს მოპარული 259 ETH. ტეტერი გაყინული USDT ექსპლოიტთან დაკავშირებულ მისამართებზე.

კუბიტის ექსპლოატი 27 წლის 2022 იანვარს

Qubit Finance დაკარგა 206,809 BNB ($80 მილიონი) QBridge-ში 27 წლის 2022 იანვარს. პროექტმა შექმნა თავისი პროტოკოლი Binance Chain-ზე.

ექსპლოიტმა თაღლითურად შეადგინა 77,162 qXETH, რომელიც თავდამსხმელებს შეეძლოთ გამოეყიდათ BNB ტოკენებისთვის. კუბიტმა შესთავაზა თავდამსხმელთან მოლაპარაკება თანხების დასაბრუნებლად.

კუბიტი ცდილობს ჰაკერთან კონტაქტის დამყარებას.

Wormhole-ის ექსპლუატაცია 2 წლის 2022 თებერვალს

120,000 წლის 2 თებერვალს თავდამსხმელებმა თაღლითურად შეადგინეს 2022 შეფუთული ETH სოლანას ბლოკჩეინზე Wormhole ხიდის გამოყენებით. მათ შექმნეს გაყალბებული ხელმოწერის ანგარიში, რათა დაადასტურონ თავიანთი ტრანზაქციები.

პარადიგმის მკვლევარმა შეცვალა შეტევა და დაადგინა, რომ Wormhole-მა ვერ შეასრულა უფრო ძლიერი ვალიდაციის პროტოკოლი მისი მფარველი ხელმოწერებისთვის.

tl;dr – Wormhole-მა სათანადოდ არ დაადასტურა ყველა შეყვანის ანგარიში, რამაც თავდამსხმელს საშუალება მისცა გაყალბებულიყო მეურვის ხელმოწერები და გამოეწერა 120,000 ETH სოლანაზე, საიდანაც მათ 93,750 დააბრუნეს Ethereum-თან.
- samczsun (@samczsun) თებერვალი 3, 2022

მკვლევარი ხსნის Wormhole-ის მრავალას მილიონი დოლარის ზარალს.

Meter.io-ს მრიცხველის პასპორტის ექსპლუატაცია 5 წლის 2022 თებერვალს

Meter.io-ს მრიცხველის პასპორტის ხიდი დაკარგა 4.4 მილიონი აშშ დოლარი ექსპლოიტის სახით, 5 წლის 2022 თებერვალს. ექსპლოიტის მიზანი იყო Moonriver ჭკვიანი კონტრაქტის პლატფორმა Polkadot's Kusama ქსელში. თავდამსხმელებმა მოიპარეს BNB და შეფუთეს ETH და შემდეგ გადაყარეს BNB დეცენტრალიზებულ ბირჟაზე UniSwap-ზე.

ამ ექსპლოიატმა გამოიწვია BNB-ის ფასის ვარდნა, რამაც სხვა პირებს საშუალება მისცა შეეთვისებინათ იაფი BNB და გამოეყენებინათ იგი სესხებისთვის ისეთი პლატფორმებისთვის, როგორიცაა Hundred Crisis. სესხებმა გამოიწვია დაზარალებული სესხის აპლიკაციების მიწოდების პრობლემები.

1. დაახლოებით დილის 6 საათზე, წყნარი ოკეანის დროით, ჩვენ დავადგინეთ, რომ ვიღაცამ შეძლო ხიდის დაუცველობის ბერკეტის გამოყენება, რათა მოეხდინა დიდი რაოდენობით BNB და WETH ჟეტონები და ამოწურა ხიდის რეზერვი BNB-სთვის WETH-ზე.
— ⚡️Meter.io⚡️ (@Meter_IO) თებერვალი 5, 2022

შეფუთული ეთერიუმი არ არის იგივე, რაც ეთერიუმი.

რონინის ხიდის ექსპლუატაცია 29 წლის 2022 მარტს

თავდამსხმელები მოიპარეს 173,600 ETH და 25.5 მილიონი USDC (დაახლოებით $600 მილიონი) რონინის ხიდიდან 29 წლის 2022 მარტს. ექსპლოიტი მოიცავდა ვალიდატორის კვანძების პირად გასაღებებზე წვდომას. რონინის ხიდის დეველოპერებმა შეაჩერეს დეპოზიტები და გატანა, სანამ გამომძიებლებს არ მიეცათ საშუალება დაედგინათ რა მოხდა.

დეველოპერებმა შექმნეს Axie Infinity თამაში Ethereum's Ronin sidechain გადასახადების დაზოგვის მიზნით. სამწუხაროდ, მათ უსაფრთხოებაზე კომპრომისზე წავიდნენ.

თქვენ არ შეგიძლიათ ამის გამოგონება
ჰაკერი იპარავს 600 მლნ დოლარს ETH-ში Ronin ბლოკჩეინიდან, რომელიც ეფუძნება Axie-ს
შემდეგ ჰაკერმა შეამოწმა Ronin & AXS (Axie ჟეტონი) და იცის, როგორც კი ახალი ამბები გავრცელდება, რომ ტოკენები დაიკლებს
მაგრამ არავინ ამჩნევს და ისინი ლიკვიდირებულნი ხდებიან ახალი ამბების გამოსვლამდე
- ერიკ გოლდენი ??? (@ericgoldenx) მარტი 29, 2022

Axie Infinity-ის ეგრეთ წოდებულმა თამაშმა „ითამაშე მოსაპოვებლად“ დაკარგა მომხმარებლების ფულიდან 600 მილიონი დოლარი.

WonderHero ექსპლოიტი 7 წლის 2022 აპრილს

საოცრება გმირი აღმოაჩინეს მისი ხიდის ექსპლუატაცია 7 წლის 2022 აპრილს, როდესაც მისი მშობლიური WND ტოკენის ღირებულება მოულოდნელად დაეცა 50%-ით. თავდასხმისას მან დაკარგა $300,000 WND ტოკენებში.

WonderHero-მ შეაჩერა ვებსაიტი, თამაში, ხიდი, დეპოზიტები და თანხები გამოძიების დროს. მან განაახლა თამაში, ბაზარი და სარგებელი სისტემა. მას შემდეგ, WonderHero გამოქვეყნდა ანალიზი, რომელიც ადასტურებს, რომ მისი Binance ხიდი იყო გატეხილი.

Harmony One's Horizon Bridge-ის ექსპლუატაცია 23 წლის 2022 ივნისს

Harmony One's Horizon Bridge-მა 100 მილიონი დოლარი დაკარგა 23 წლის 2022 ივნისს. მისმა გუნდმა განაცხადა ის მუშაობდა სამართალდამცავ ორგანოებთან და სასამართლო ექსპერტიზის ექსპერტებთან ექსპლუატაციის გამოსაძიებლად. მისამართი, რომელიც გამოყენებული იყო მოპარული თანხების მისაღებად, მიიღო "Horizon Bridge Exploiter” ეტიკეტი Etherscan-ზე. Horizon Bridge Exploiter ამჟამად ფლობს 93,000$-ზე მეტს ტოკენებში.

1/ Harmony-ის გუნდმა დააფიქსირა ქურდობა, რომელიც მოხდა დღეს დილით ჰორიზონტის ხიდზე, დაახლოებით. $100 მმ. ჩვენ დავიწყეთ მუშაობა ეროვნულ ხელისუფლებასთან და სასამართლო ექსპერტიზის სპეციალისტებთან დამნაშავეების იდენტიფიცირებისთვის და მოპარული თანხების დასაბრუნებლად.
მეტი?
- ჰარმონია? (@harmonyprotocol) ივნისი 23, 2022

ჰაკერებმა 100 მილიონი დოლარი მოიპარეს Harmony ONE-ის ბლოკჩეინის ხიდიდან.

დაწვრილებით: ბლოკჩეინის ჯვარედინი ხიდები იშლება, როდესაც კრიპტო სტარტაპი Nomad გატეხეს 190 მილიონ დოლარად

ChainSwap ექსპლოატი 10 წლის 2022 ივლისს

ChainSwap-მა დაკარგა 20 მილიონი WILD ჟეტონი ექსპლოიტის შედეგად 10 წლის 2022 ივლისს. Wilder World იყენებს WILD-ს, როგორც მშობლიურ ტოკენს. Twitter-ის ფსევდონიმიანი მომხმარებელი და Wilder World-ის „მოქალაქე“ შენიშნა ChainSwap-ის ექსპლოიტი 10 წლის 2022 ივლისს. ექსპლოიტი ასევე შეეხო Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank და Unifarm ტოკენებს.

ChainSwap-მა გააყინა თავისი Ethereum-Binance სმარტ ჯაჭვის ხიდი გამოძიების დროს.

ამ ინციდენტამდე, ChainSwap განიცადა კიდევ ერთი ექსპლოიტი, რომლის დროსაც მან 800,000 დოლარი დაკარგა ტოკენებში 2 ივლისს. მან მოახერხა ამ თავდასხმის დროს ზარალის ანაზღაურება.

მომთაბარე ექსპლოატი 2 წლის 2022 აგვისტოს

თავდამსხმელები მოიპარეს 190 წლის 2 აგვისტოს Nomad-ის სმარტ კონტრაქტში არსებული დაუცველობის გამოყენებით 2022 მილიონი დოლარის ტოკენები. მას შემდეგ რაც სმარტ კონტრაქტის გამოყენების მეთოდი საჯარო გახდა, მასობრივმა თავდასხმამ ფულის მნიშვნელოვანი რაოდენობა ამოიღო.

ანდრესენ ჰოროვიცის CISO შესთავაზა რომ ზოგიერთი მძარცველი შესაძლოა ყოფილიყო „თეთრი ქუდის“ ექსპლუატატორები, რომელთა მიზანი იყო ბოროტმოქმედი მსახიობების ხელიდან ფულის დაკავება. მომთაბარე განაცხადა იგი მუშაობდა სამართალდამცავ და კერძო დაცვის ფირმებთან, რათა გამოეძიათ და მადლობა გადაუხადა თეთრი ქუდის მსახიობები სახსრების დაცვის ინიციატივის გამო.

მეტი ინფორმირებული სიახლეებისთვის, მოგვყევით Twitter მდე Google ამბები ან მოუსმინეთ ჩვენს საგამოძიებო პოდკასტს ინოვაცია: ბლოკჩეინის ქალაქი.

წყარო: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/