Ինչու են հաքերները շարունակում օգտագործել խաչաձեւ բլոկչեյն կամուրջները

7 թվականի հունվարի 2022-ին Ethereum-ի համահիմնադիր Վիտալիկ Բուտերինը զգուշացրել խաչաձեւ բլոկչեյն կամուրջների անվտանգության մասին։ Նա կանխամտածված պնդում էր, որ բլոկչեյնների միջոցով ակտիվների կամրջումը երբեք չի վայելի նույն երաշխիքները, ինչ մեկ բլոկչեյնի ներսում մնալը: Նա ճիշտ էր։

Բլոկչեյնների միջև ակտիվների անվտանգ փոխարկելիությունը երաշխավորված չէ: Ավելի ճշգրիտ լինելու համար, ոչ ոք չի կարող իրականում «ուղարկել» կամ «կամրջել» ակտիվ այլ բլոկչեյն: Փոխարենը, ակտիվները ավանդադրվում, կողպվում կամ այրվում են մեկ շղթայի վրա. ապա հաշվեգրվել, ապակողպվել կամ հատվել երկրորդ շղթայի վրա:

Ավելի վատ, բլոկչեյնները չեն կարող մուտք գործել շղթայից դուրս տեղեկատվություն: Ոչ մի բլոկչեյն չի կարող ի սկզբանե ստուգել, որ որևէ բազմաբլոկային ակտիվի «կամրջված է»: Լավագույն դեպքում, երրորդ կողմի օրակուլները հաստատում են շղթայից դուրս տեղեկատվության ճշմարտացիությունը և մեկնաբանում են այդ տվյալները շղթայական օգտագործման համար: Այնուամենայնիվ, սա ներկայացնում է կամրջման գործընթացին վստահության առաջին շերտը՝ վստահություն տվյալների օրակուլներին: Վստահության հաջորդ շերտը խնամակալներն են:

Սովորաբար, կամրջումը տեղի է ունենում մեկ ակտիվ պահառուի մոտ ավանդ դնելով և երկրորդ բլոկչեյնի պահառուից այդ ակտիվի «փաթաթված» տարբերակը ստանալու միջոցով: Օգտատերը պետք է վստահի պահառուին և՛ սկզբնական ակտիվի պահպանման, և՛ փաթեթավորված ակտիվի ազատման հարցում:

Երբեմն այս պահառուն կարող է ունենալ DAO կամ խելացի պայմանագրի ձև: Ամեն դեպքում, լինի դա DAO, թե կորպորատիվ կազմակերպություն, ինչպիսին BitGo-ն է (աշխարհի պահառուն ամենամեծ փաթեթավորված ակտիվ, փաթաթված բիտկոին) — կամրջումը ներկայացնում է վստահության մի քանի շերտեր:

Շարունակելով՝ վստահության հաջորդ շերտը փոխարկելիությունն է և գների հավասարությունը: Պարզ ասած, բավական չէ կամուրջ ակտիվ ստանալը: Օգտատերը պետք է նաև շարունակի վստահել, որ ապագայում կկարողանա կամրջել այդ ակտիվը 1-ի դիմաց սկզբունքով: Մեկ բնօրինակ ակտիվը պետք է հավասար լինի մեկ փաթեթավորված ակտիվին: Սա գների հավասարության ռիսկ է:

Առնվազն կամրջված ակտիվը պետք է պահպանի հավասարությունը սկզբնական ակտիվի հետ: Այսպիսով, այս կերպ օգտվողը վստահում է կամրջման գործընթացին ոչ միայն փոխանակման պահին, այլ նաև այնքան ժամանակ, քանի դեռ նրանք օգտագործում են փաթեթավորված ակտիվը ապագայում:

Ամփոփելով, ակտիվի անվտանգության բոլոր ռիսկերը երկրաչափականորեն բազմապատկվում են իրենց կամրջված (փաթաթված) գործընկերների համար:

Մտահոգվա՞ծ եք, որ Tether Limited-ը չի մարում մեկ USDT 1 դոլարով: Կամրջեք այդ նույն USDT-ն բլոկչեյնի հետ, որը չի աջակցվում Tether Limited-ի կողմից, և ձեր ռիսկերը բազմապատկվել են պահառու(ներով), խելացի պայմանագրերով, իրացվելիությամբ, գների համարժեքությամբ և, ամենաշատը, արդյոք կամուրջը չի այրվի, նախքան դուք պետք է հետ անցնեք: անվտանգություն.

Ինչ-որ կերպ, խաչաձեւ բլոկչեյն կամուրջները նման են որդերի. նրանք նյութը տեղափոխում են տիեզերք, բայց ձևավորվում և ոչնչացվում են ինքնաբերաբար:

Իրականում, Wormhole-ը աշխարհի ամենալավ կապիտալացված կամրջի անունն է, որը կապում է Ethereum-ի և Solana-ի բլոկչեյնները: Դա եղել է hacked - ինչպես շատ կամուրջներ: Ստորև բերված է ցուցակ:

Multichain exploit-ը 19 թվականի հունվարի 2022-ին

հարձակվողները գողացան Տարեսկզբին Multichain խաչմերուկային բլոկչեյն կամրջի շահագործումից 3 միլիոն դոլար: Multichain-ը թողարկել է նախնական հաղորդագրություններ, որոնք օգտատերերին պատճառ են դարձել հարց արդյո՞ք նրանց միջոցներն ապահով էին: Այն զգուշացրել օգտվողները հանում են WETH, MATIC, AVAX, PERI, OMT և WBNB նշանները իր հարթակի վրա ազդված խելացի պայմանագրերից:

Multichain ավելի ուշ ասել հարձակվողներից մեկը վերադարձրել է հարձակման ժամանակ գողացված 259 ETH: Կապել սառեցրեց USDT՝ շահագործման հետ կապված հասցեների վրա:

Qubit-ի շահագործումը 27 թվականի հունվարի 2022-ին

Qubit Finance կորցրել է 206,809 BNB (80 միլիոն դոլար)՝ QBridge-ի շահագործման մեջ 27 թվականի հունվարի 2022-ին: Նախագիծը կառուցեց իր արձանագրությունը Binance Chain-ի վրա:

The exploit-ը խարդախությամբ հատել է 77,162 qXETH, որը հարձակվողները կարող էին մարել BNB նշանների համար: Կուբիթն առաջարկել է բանակցել հարձակվողի հետ՝ միջոցները վերականգնելու համար։

Qubit-ը փորձում է կապ հաստատել հաքերի հետ.

Wormhole-ի շահագործումը 2 թվականի փետրվարի 2022-ին

120,000 թվականի փետրվարի 2-ին հարձակվողները խաբեությամբ 2022 փաթաթված ETH են կազմել Solana-ի բլոկչեյնի վրա՝ օգտագործելով Wormhole կամուրջը: Նրանք ստեղծել են կեղծված ստորագրության հաշիվ՝ իրենց գործարքները վավերացնելու համար:

Paradigm-ի հետազոտողը հակադարձ նախագծել է հարձակումը և որոշել, որ Wormhole-ը չի կարողացել կիրառել ավելի ամուր վավերացման արձանագրություն իր պահապան ստորագրությունների համար:

tl;dr – Wormhole-ը պատշաճ կերպով չի վավերացրել բոլոր մուտքային հաշիվները, ինչը հարձակվողին թույլ է տվել կեղծել խնամակալի ստորագրությունները և 120,000 ETH գումար հավաքել Solana-ի վրա, որից նրանք կամրջել են 93,750-ը դեպի Ethereum:
- samczsun (@samczsun) Փետրվարի 3, 2022

Մի հետազոտող բացատրում է Wormhole-ի հարյուր միլիոն դոլարի կորուստը:

Meter.io-ի Meter Passport-ի շահագործումը 5 թվականի փետրվարի 2022-ին

Meter.io-ի Meter Passport կամուրջը կորցրել է 4.4 թվականի փետրվարի 5-ին 2022 միլիոն դոլար արժողությամբ շահագործում: Շահագործումը ուղղված էր Moonriver խելացի պայմանագրային հարթակին Polkadot's Kusama ցանցում: Հարձակվողները գողացել են BNB-ն և փաթաթել ETH-ը, այնուհետև BNB-ն նետել են UniSwap ապակենտրոնացված բորսայում:

Այս շահագործումը առաջացրեց BNB-ի գնի կտրուկ անկում, որը թույլ տվեց այլ անհատների ձեռք բերել էժան BNB և օգտագործել այն որպես գրավ վարկեր այնպիսի հարթակներում, ինչպիսին Hundred Crisis-ն է: Վարկերը առաջացրել են տուժած վարկային հավելվածների մատակարարման հետ կապված խնդիրներ:

1. Խաղաղ օվկիանոսի ժամանակով առավոտյան ժամը 6-ի սահմաններում մենք հայտնաբերեցինք, որ ինչ-որ մեկը կարողացել է օգտագործել կամրջի խոցելիությունը՝ մեծ քանակությամբ BNB և WETH թոքեններ հատելու համար և սպառել BNB-ի համար WETH-ի կամրջի պահուստը:
— ⚡️Meter.io⚡️ (@Meter_IO) Փետրվարի 5, 2022

Փաթաթված Ethereum-ը նույնը չէ, ինչ Ethereum-ը:

Ronin Bridge-ի շահագործումը 29 թվականի մարտի 2022-ին

հարձակվողները գողացան 173,600 ETH և 25.5 միլիոն USDC (մոտ 600 միլիոն դոլար) Ronin կամրջից 29 թվականի մարտի 2022-ին: Շահագործումը ներառում էր վավերացնող հանգույցների մասնավոր բանալիների հասանելիություն: Ռոնինի կամրջի կառուցապատողները դադարեցրել են ավանդներն ու դուրսբերումները, մինչև քննիչները հնարավորություն չունենան պարզելու, թե ինչ է տեղի ունեցել:

Մշակողները կառուցել են Axie Infinity խաղը Ethereum's Ronin sidechain-ը՝ վճարները խնայելու համար: Ցավոք, նրանք վտանգի ենթարկեցին անվտանգությանը։

Դուք չեք կարող դա հորինել
Հաքերը գողացել է 600 մլն դոլար ETH-ով Ronin բլոկչեյնից, որը գտնվում է Axie-ի հիմքում
Հաքերն այնուհետև կարճանում է Ronin & AXS (Axie թոքեն)՝ իմանալով, հենց որ լուրերը հայտնվեն, որ նշանները կտրուկ կնվազեն
Բայց ՈՉ ՈՔ չի նկատում, և նրանք լուծարվում են նորությունների հրապարակումից կարճ ժամանակ առաջ
- Էրիկ Գոլդեն ??? (@ericgoldenx) Մարտի 29, 2022

Axie Infinity-ի, այսպես կոչված, «խաղալ վաստակելու համար» խաղը կորցրել է իր օգտատերերի գումարից 600 միլիոն դոլար:

WonderHero-ի շահագործումը 7 թվականի ապրիլի 2022-ին

Հրաշք հերոս հայտնաբերել իր կամուրջի շահագործումը 7 թվականի ապրիլի 2022-ին, երբ իր հայրենի WND նշանի արժեքը անսպասելիորեն ընկավ 50%-ով։ Հարձակման ժամանակ այն կորցրեց 300,000 դոլար WND նշաններով:

WonderHero-ն դադարեցրեց իր կայքը, խաղը, կամուրջը, ավանդները և դուրսբերումները հետաքննության ընթացքում: Այն վերսկսեց խաղը, շուկան և եկամտաբերությունը: Այդ ժամանակից ի վեր, WonderHero Փոխանցել վերլուծություն, որը հաստատում է, որ նրա Binance կամուրջը վտանգված է:

Harmony One's Horizon Bridge-ի շահագործումը 23 թվականի հունիսի 2022-ին

Harmony One's Horizon Bridge-ը 100 միլիոն դոլար կորցրեց 23 թվականի հունիսի 2022-ին շահագործման արդյունքում: Նրա թիմը ասել այն աշխատում էր իրավապահ մարմինների և դատաբժշկական փորձագետների հետ՝ հետաքննելու շահագործումը: Գողացված միջոցները ստանալու համար օգտագործվող հասցեն ստացել է «Horizon Bridge Exploiter” պիտակը Etherscan-ի վրա: Horizon Bridge Exploiter-ը ներկայումս ունի 93,000 դոլարից մի փոքր ավելի ժետոններ:

1/ Harmony թիմը բացահայտել է այսօր առավոտյան «Հորիզոն» կամրջի վրա կատարված գողությունը մոտ. $100 մմ. Մենք սկսել ենք աշխատել ազգային իշխանությունների և դատաբժշկական փորձագետների հետ՝ հանցավորին հայտնաբերելու և գողացված միջոցները գտնելու համար:
Ավելին
- Հարմոնիա? (@harmonyprotocol) Հունիսի 23, 2022

Հաքերները 100 միլիոն դոլար են գողացել Harmony ONE-ի խաչմերուկային կամուրջից։

ChainSwap-ի շահագործումը 10 թվականի հուլիսի 2022-ին

ChainSwap-ը կորցրեց 20 միլիոն WILD ժետոն 10 թվականի հուլիսի 2022-ին շահագործման արդյունքում: Wilder World-ն օգտագործում է WILD-ը որպես իր բնօրինակ նշան: Twitter-ի կեղծանունով օգտատեր և Wilder World «քաղաքացի» նկատեց ChainSwap-ի շահագործումը 10թ. հուլիսի 2022-ին: Այս շահագործումը ազդել է նաև Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank և Unifarm նշանների վրա:

ChainSwap-ը սառեցրել է իր Ethereum-Binance խելացի շղթայի կամուրջը, մինչ այն ուսումնասիրում էր:

Մինչ այս միջադեպը ChainSwap տուժեց ևս մեկ շահագործում, որի արդյունքում հուլիսի 800,000-ին նա կորցրեց 2 դոլար ժետոններ: Նրան հաջողվեց փոխհատուցել այդ հարձակման ժամանակ այդ կորուստների մի մասը:

Քոչվորների շահագործումը 2 թվականի օգոստոսի 2022-ին

հարձակվողները գողացան 190 թվականի օգոստոսի 2-ին Nomad-ի խելացի պայմանագրում առկա խոցելիությունը շահագործելով 2022 միլիոն դոլար արժողությամբ նշան: Երբ խելացի պայմանագրի օգտագործման մեթոդը հրապարակվեց, զանգվածային հարձակումը զգալի գումար խլեց:

Անդրեսեն Հորովիցի CISO առաջարկել որ որոշ կողոպտիչներ կարող էին լինել «սպիտակ գլխարկի» շահագործողներ, որոնց նպատակն էր զերծ պահել փողը չար դերասանների ձեռքից: Քոչվոր ասել այն աշխատում էր իրավապահ մարմինների և անվտանգության մասնավոր ընկերությունների հետ՝ հետաքննելու և շնորհակալություն հայտնեց սպիտակ գլխարկի դերասաններին՝ միջոցները պաշտպանելու նախաձեռնություն ցուցաբերելու համար:

Ավելի տեղեկացված նորությունների համար հետևեք մեզ Twitter և Google News- ը կամ լսեք մեր հետաքննական փոդքաստը Նորարարություն՝ Blockchain City.

Աղբյուր՝ https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/