7 թվականի հունվարի 2022-ին Ethereum-ի համահիմնադիր Վիտալիկ Բուտերինը զգուշացրել խաչաձեւ բլոկչեյն կամուրջների անվտանգության մասին։ Նա կանխամտածված պնդում էր, որ բլոկչեյնների միջոցով ակտիվների կամրջումը երբեք չի վայելի նույն երաշխիքները, ինչ մեկ բլոկչեյնի ներսում մնալը: Նա ճիշտ էր։
Բլոկչեյնների միջև ակտիվների անվտանգ փոխարկելիությունը երաշխավորված չէ: Ավելի ճշգրիտ լինելու համար, ոչ ոք չի կարող իրականում «ուղարկել» կամ «կամրջել» ակտիվ այլ բլոկչեյն: Փոխարենը, ակտիվները ավանդադրվում, կողպվում կամ այրվում են մեկ շղթայի վրա. ապա հաշվեգրվել, ապակողպվել կամ հատվել երկրորդ շղթայի վրա:
Ավելի վատ, բլոկչեյնները չեն կարող մուտք գործել շղթայից դուրս տեղեկատվություն: Ոչ մի բլոկչեյն չի կարող ի սկզբանե ստուգել, որ որևէ բազմաբլոկային ակտիվի «կամրջված է»: Լավագույն դեպքում, երրորդ կողմի օրակուլները հաստատում են շղթայից դուրս տեղեկատվության ճշմարտացիությունը և մեկնաբանում են այդ տվյալները շղթայական օգտագործման համար: Այնուամենայնիվ, սա ներկայացնում է կամրջման գործընթացին վստահության առաջին շերտը՝ վստահություն տվյալների օրակուլներին: Վստահության հաջորդ շերտը խնամակալներն են:
Սովորաբար, կամրջումը տեղի է ունենում մեկ ակտիվ պահառուի մոտ ավանդ դնելով և երկրորդ բլոկչեյնի պահառուից այդ ակտիվի «փաթաթված» տարբերակը ստանալու միջոցով: Օգտատերը պետք է վստահի պահառուին և՛ սկզբնական ակտիվի պահպանման, և՛ փաթեթավորված ակտիվի ազատման հարցում:
Երբեմն այս պահառուն կարող է ունենալ DAO կամ խելացի պայմանագրի ձև: Ամեն դեպքում, լինի դա DAO, թե կորպորատիվ կազմակերպություն, ինչպիսին BitGo-ն է (աշխարհի պահառուն ամենամեծ փաթեթավորված ակտիվ, փաթաթված բիտկոին) — կամրջումը ներկայացնում է վստահության մի քանի շերտեր:
Շարունակելով՝ վստահության հաջորդ շերտը փոխարկելիությունն է և գների հավասարությունը: Պարզ ասած, բավական չէ կամուրջ ակտիվ ստանալը: Օգտատերը պետք է նաև շարունակի վստահել, որ ապագայում կկարողանա կամրջել այդ ակտիվը 1-ի դիմաց սկզբունքով: Մեկ բնօրինակ ակտիվը պետք է հավասար լինի մեկ փաթեթավորված ակտիվին: Սա գների հավասարության ռիսկ է:
Առնվազն կամրջված ակտիվը պետք է պահպանի հավասարությունը սկզբնական ակտիվի հետ: Այսպիսով, այս կերպ օգտվողը վստահում է կամրջման գործընթացին ոչ միայն փոխանակման պահին, այլ նաև այնքան ժամանակ, քանի դեռ նրանք օգտագործում են փաթեթավորված ակտիվը ապագայում:
Ամփոփելով, ակտիվի անվտանգության բոլոր ռիսկերը երկրաչափականորեն բազմապատկվում են իրենց կամրջված (փաթաթված) գործընկերների համար:
Մտահոգվա՞ծ եք, որ Tether Limited-ը չի մարում մեկ USDT 1 դոլարով: Կամրջեք այդ նույն USDT-ն բլոկչեյնի հետ, որը չի աջակցվում Tether Limited-ի կողմից, և ձեր ռիսկերը բազմապատկվել են պահառու(ներով), խելացի պայմանագրերով, իրացվելիությամբ, գների համարժեքությամբ և, ամենաշատը, արդյոք կամուրջը չի այրվի, նախքան դուք պետք է հետ անցնեք: անվտանգություն.
Ինչ-որ կերպ, խաչաձեւ բլոկչեյն կամուրջները նման են որդերի. նրանք նյութը տեղափոխում են տիեզերք, բայց ձևավորվում և ոչնչացվում են ինքնաբերաբար:
Իրականում, Wormhole-ը աշխարհի ամենալավ կապիտալացված կամրջի անունն է, որը կապում է Ethereum-ի և Solana-ի բլոկչեյնները: Դա եղել է hacked - ինչպես շատ կամուրջներ: Ստորև բերված է ցուցակ:
Multichain exploit-ը 19 թվականի հունվարի 2022-ին
հարձակվողները գողացան Տարեսկզբին Multichain խաչմերուկային բլոկչեյն կամրջի շահագործումից 3 միլիոն դոլար: Multichain-ը թողարկել է նախնական հաղորդագրություններ, որոնք օգտատերերին պատճառ են դարձել հարց արդյո՞ք նրանց միջոցներն ապահով էին: Այն զգուշացրել օգտվողները հանում են WETH, MATIC, AVAX, PERI, OMT և WBNB նշանները իր հարթակի վրա ազդված խելացի պայմանագրերից:
Multichain ավելի ուշ ասել հարձակվողներից մեկը վերադարձրել է հարձակման ժամանակ գողացված 259 ETH: Կապել սառեցրեց USDT՝ շահագործման հետ կապված հասցեների վրա:
Qubit-ի շահագործումը 27 թվականի հունվարի 2022-ին
Qubit Finance կորցրել է 206,809 BNB (80 միլիոն դոլար)՝ QBridge-ի շահագործման մեջ 27 թվականի հունվարի 2022-ին: Նախագիծը կառուցեց իր արձանագրությունը Binance Chain-ի վրա:
The exploit-ը խարդախությամբ հատել է 77,162 qXETH, որը հարձակվողները կարող էին մարել BNB նշանների համար: Կուբիթն առաջարկել է բանակցել հարձակվողի հետ՝ միջոցները վերականգնելու համար։
Wormhole-ի շահագործումը 2 թվականի փետրվարի 2022-ին
120,000 թվականի փետրվարի 2-ին հարձակվողները խաբեությամբ 2022 փաթաթված ETH են կազմել Solana-ի բլոկչեյնի վրա՝ օգտագործելով Wormhole կամուրջը: Նրանք ստեղծել են կեղծված ստորագրության հաշիվ՝ իրենց գործարքները վավերացնելու համար:
Paradigm-ի հետազոտողը հակադարձ նախագծել է հարձակումը և որոշել, որ Wormhole-ը չի կարողացել կիրառել ավելի ամուր վավերացման արձանագրություն իր պահապան ստորագրությունների համար:
Meter.io-ի Meter Passport-ի շահագործումը 5 թվականի փետրվարի 2022-ին
Meter.io-ի Meter Passport կամուրջը կորցրել է 4.4 թվականի փետրվարի 5-ին 2022 միլիոն դոլար արժողությամբ շահագործում: Շահագործումը ուղղված էր Moonriver խելացի պայմանագրային հարթակին Polkadot's Kusama ցանցում: Հարձակվողները գողացել են BNB-ն և փաթաթել ETH-ը, այնուհետև BNB-ն նետել են UniSwap ապակենտրոնացված բորսայում:
Այս շահագործումը առաջացրեց BNB-ի գնի կտրուկ անկում, որը թույլ տվեց այլ անհատների ձեռք բերել էժան BNB և օգտագործել այն որպես գրավ վարկեր այնպիսի հարթակներում, ինչպիսին Hundred Crisis-ն է: Վարկերը առաջացրել են տուժած վարկային հավելվածների մատակարարման հետ կապված խնդիրներ:
Ronin Bridge-ի շահագործումը 29 թվականի մարտի 2022-ին
հարձակվողները գողացան 173,600 ETH և 25.5 միլիոն USDC (մոտ 600 միլիոն դոլար) Ronin կամրջից 29 թվականի մարտի 2022-ին: Շահագործումը ներառում էր վավերացնող հանգույցների մասնավոր բանալիների հասանելիություն: Ռոնինի կամրջի կառուցապատողները դադարեցրել են ավանդներն ու դուրսբերումները, մինչև քննիչները հնարավորություն չունենան պարզելու, թե ինչ է տեղի ունեցել:
Մշակողները կառուցել են Axie Infinity խաղը Ethereum's Ronin sidechain-ը՝ վճարները խնայելու համար: Ցավոք, նրանք վտանգի ենթարկեցին անվտանգությանը։
WonderHero-ի շահագործումը 7 թվականի ապրիլի 2022-ին
Հրաշք հերոս հայտնաբերել իր կամուրջի շահագործումը 7 թվականի ապրիլի 2022-ին, երբ իր հայրենի WND նշանի արժեքը անսպասելիորեն ընկավ 50%-ով։ Հարձակման ժամանակ այն կորցրեց 300,000 դոլար WND նշաններով:
WonderHero-ն դադարեցրեց իր կայքը, խաղը, կամուրջը, ավանդները և դուրսբերումները հետաքննության ընթացքում: Այն վերսկսեց խաղը, շուկան և եկամտաբերությունը: Այդ ժամանակից ի վեր, WonderHero Փոխանցել վերլուծություն, որը հաստատում է, որ նրա Binance կամուրջը վտանգված է:
Harmony One's Horizon Bridge-ի շահագործումը 23 թվականի հունիսի 2022-ին
Harmony One's Horizon Bridge-ը 100 միլիոն դոլար կորցրեց 23 թվականի հունիսի 2022-ին շահագործման արդյունքում: Նրա թիմը ասել այն աշխատում էր իրավապահ մարմինների և դատաբժշկական փորձագետների հետ՝ հետաքննելու շահագործումը: Գողացված միջոցները ստանալու համար օգտագործվող հասցեն ստացել է «Horizon Bridge Exploiter” պիտակը Etherscan-ի վրա: Horizon Bridge Exploiter-ը ներկայումս ունի 93,000 դոլարից մի փոքր ավելի ժետոններ:
ChainSwap-ի շահագործումը 10 թվականի հուլիսի 2022-ին
ChainSwap-ը կորցրեց 20 միլիոն WILD ժետոն 10 թվականի հուլիսի 2022-ին շահագործման արդյունքում: Wilder World-ն օգտագործում է WILD-ը որպես իր բնօրինակ նշան: Twitter-ի կեղծանունով օգտատեր և Wilder World «քաղաքացի» նկատեց ChainSwap-ի շահագործումը 10թ. հուլիսի 2022-ին: Այս շահագործումը ազդել է նաև Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank և Unifarm նշանների վրա:
ChainSwap-ը սառեցրել է իր Ethereum-Binance խելացի շղթայի կամուրջը, մինչ այն ուսումնասիրում էր:
Մինչ այս միջադեպը ChainSwap տուժեց ևս մեկ շահագործում, որի արդյունքում հուլիսի 800,000-ին նա կորցրեց 2 դոլար ժետոններ: Նրան հաջողվեց փոխհատուցել այդ հարձակման ժամանակ այդ կորուստների մի մասը:
Քոչվորների շահագործումը 2 թվականի օգոստոսի 2022-ին
հարձակվողները գողացան 190 թվականի օգոստոսի 2-ին Nomad-ի խելացի պայմանագրում առկա խոցելիությունը շահագործելով 2022 միլիոն դոլար արժողությամբ նշան: Երբ խելացի պայմանագրի օգտագործման մեթոդը հրապարակվեց, զանգվածային հարձակումը զգալի գումար խլեց:
Անդրեսեն Հորովիցի CISO առաջարկել որ որոշ կողոպտիչներ կարող էին լինել «սպիտակ գլխարկի» շահագործողներ, որոնց նպատակն էր զերծ պահել փողը չար դերասանների ձեռքից: Քոչվոր ասել այն աշխատում էր իրավապահ մարմինների և անվտանգության մասնավոր ընկերությունների հետ՝ հետաքննելու և շնորհակալություն հայտնեց սպիտակ գլխարկի դերասաններին՝ միջոցները պաշտպանելու նախաձեռնություն ցուցաբերելու համար:
Ավելի տեղեկացված նորությունների համար հետևեք մեզ Twitter և Google News- ը կամ լսեք մեր հետաքննական փոդքաստը Նորարարություն՝ Blockchain City.
Աղբյուր՝ https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/