Как взламываются Cross-Chain Bridges?
24 октября 2022 г.Межсетевой мост — это технология, которая обеспечивает связь между двумя отдельными сетями блокчейнов, например, передачу и обмен активами, вызов функций в контрактах из других блокчейнов и многое другое. Другими словами, мосты позволяют пользователям передавать активы из одной сети в другую. Например, если у вас есть биткойн и вы хотите потратить его, как Ethereum, вы можете сделать это через мост.
Несомненно, у пользователей будет больше возможностей использовать мосты по мере роста количества различных блокчейнов. Однако если вы не знакомы с характеристиками каждого моста, вы можете столкнуться с непредвиденными рисками, поэтому используйте их с осторожностью.
Учитывая, что все эти крупные взломы происходят так часто и за такой короткий период времени, должно быть очевидно, что безопасность крайне необходима. Я расскажу о наиболее распространенных атаках моста и предоставлю список полезных ресурсов, которые помогут вам защитить себя от потенциальных проблем!
Лучшие лайфхаки 2022 года:
- BSC Bridge: 568 млн долларов. 7 октября 2022 года эксплойт затронул нативный межсетевой мост под названием «BSC Token Hub». Ошибка была в верификаторе моста. В общей сложности было снято 2 миллиона BNB, и Binance временно приостановила работу сети BSC, чтобы предотвратить дальнейший ущерб. Средства, снятые с BSC, оцениваются в 100-110 миллионов долларов. Дополнительная литература: blog.quillhash.com/ 11 октября 2022 г. – анализ хакерских атак на миллион долларов
2. Атаки Nomad: 200 миллионов долларов. Еще в августе хакеры использовали Nomad, чтобы украсть около 200 миллионов долларов. Основная причина атаки заключалась в том, что смарт-контракт Nomad не смог должным образом проверить ввод транзакции. Дополнительная литература: sm4rty.medium.com/nomad-bridges-200-million-exploit-postmortem -9d1cd83db1f7
3. Harmony Bridge: 100 миллионов долларов: в июне 2022 года мост Harmony Horizon был взломан путем кражи двух закрытых ключей. Атака привела к краже примерно 100 миллионов долларов в различных криптовалютах, включая Wrapped Ethereum (WETH), AAVE, SUSHI, DAI, Tether (USDT) и USD Coin (USDC). Затем злоумышленник использовал Tornado Cash для отмывания многих украденных токенов. Дополнительная литература: medium.com/harmony-one/harmonys-horizon-bridge-hack-1e8d283b6d66
4. Ronin Bridge: 600 млн долларов. В марте 2022 года был проведен масштабный взлом сети Ronin Network, сайдчейна на основе Ethereum для известной криптовалютной игры Axie Infinity. Злоумышленники украли около 173 600 ETH и 25,5 млн долларов США на общую сумму около 624 млн долларов. Злоумышленник якобы использовал взломанные закрытые ключи для фиктивного снятия средств с бридж-контракта Ronin в двух транзакциях. Дополнительная литература: blog.chainalysis.com/reports/axie-infinity-ronin-bridge -dprk-hack-seizure
5. Poly Network: 600 млн долларов 10 августа 2021 года компания Poly Network пострадала от взлома, в результате которого был убыток на сумму более 600 млн долларов. Взлом произошел в нескольких блокчейнах, включая Ethereum, Binance Smart Chain и Polygon. Это крупнейший взлом криптовалюты. Дополнительная литература: mudit.blog/poly-network-largest-crypto-hack
6. Взлом Wormhole Bridge: 320 миллионов долларов 2 февраля 2022 года Wormhole Bridge был взломан на 120 000 wETH на сумму 320 миллионов долларов. Хакер воспользовался уязвимостью в смарт-контракте и выпустил новые токены. После взлома сеть The Wormhole была отключена для устранения уязвимости. Дополнительная литература: rekt.news/wormhole-rekt
https://quillaudits.medium.com/bridge-security-in -blockchain-quillaudits-f4710d1d61d?embedable=true
Как взламываются мосты?
- Отсылка: Даниэль Моралес
Поддельные события:
Часто межсетевой мост отслеживает события депозита в одной цепочке блоков, чтобы инициировать передачу в другую. Если злоумышленник может сгенерировать событие депозита без внесения реального депозита или путем депозита с помощью бесполезного токена, то он может снять стоимость с моста на другом конце.
Ошибка проверки сообщения:
Перекрестные мосты выполняют проверку ввода или вывода средств перед фактическим выполнением каких-либо переводов. В прошлом было много случаев, когда отсутствие надлежащей проверки подписи приводило к взлому на миллионы долларов. Недавно сеть BSC подверглась атаке из-за аналогичной ошибки, и хакеры вывели в общей сложности 576 миллионов.
Отсутствие контроля доступа между контрактами в мостах блокчейна:
Важно иметь проверки управления доступом для критически важных функций, которые выполняют такие действия, как изменение владельца, перевод средств и токенов, приостановка и возобновление контрактов и т. д.
Захват валидатора:
Некоторые кроссчейн-мосты имеют набор валидаторов, которые голосуют за одобрение конкретной передачи. Если злоумышленник контролирует большинство этих валидаторов, он может одобрить поддельные и вредоносные переводы. Именно это произошло с этими валидаторами при взломе Ronin Network, когда злоумышленник завладел 5 из 9 валидаторов моста.
Утечка закрытого ключа администратора:
Если произойдет утечка ключа администратора смарт-контракта, все средства и операции смарт-контракта будут подвергнуты большому риску. Недавно мост Harmony был взломан путем кражи двух закрытых ключей. В результате атаки было украдено около 100 млн долларов США в различных криптовалютах.
В завершение хотелось бы сказать, что мы надеемся, что данная статья была для вас информативной и полезной! Спасибо за чтение! Самое важное, что я хотел донести до вас, можно выразить одним предложением:
<цитата>После того, как что-то находится в блокчейне, оно становится постоянным и доступным для всех. Поэтому, если в мосте есть уязвимость, вы можете быть уверены, что хакеры ею воспользуются.
Если мы, наконец, хотим дать людям возможность быть собственным банком, мы должны осознать, что в этом случае люди должны иметь возможность заменить все те услуги и действия, за которые традиционные банки получают деньги.
https://graph.org/Bridges-10-22?embedable=true
Да, похоже, там настоящее минное поле. Сохранить веру. Изучите новейшие методы атак, белые шпаргалки и защита. Только знание может победить знание преступника. В этом интеллектуальном поединке по боксу побеждают самые подготовленные, и мы хотим, чтобы это были именно вы!
Первоначально опубликовано здесь
Оригинал