Am 7. Januar 2022, Ethereum-Mitbegründer Vitalik Buterin gewarnt über die Sicherheit von Cross-Blockchain-Bridges. Er argumentierte vorausschauend, dass die Überbrückung von Vermögenswerten über Blockchains niemals die gleichen Garantien genießen würde wie der Verbleib in einer Blockchain. Er hatte recht.
Die sichere Konvertierbarkeit von Vermögenswerten zwischen Blockchains ist nicht garantiert. Um genau zu sein, niemand kann einen Vermögenswert tatsächlich an eine andere Blockchain „senden“ oder „überbrücken“. Stattdessen werden Vermögenswerte in einer Kette hinterlegt, gesperrt oder verbrannt; dann gutgeschrieben, entsperrt oder auf der zweiten Kette geprägt.
Schlimmer noch, Blockchains können nicht auf Off-Chain-Informationen zugreifen. Keine Blockchain kann nativ verifizieren, dass ein Multi-Blockchain-Asset „überbrückt“ ist. Bestenfalls bestätigen Orakel von Drittanbietern die Wahrhaftigkeit von Off-Chain-Informationen und interpretieren diese Daten für die Verwendung in der Kette. Dies führt jedoch die erste Vertrauensebene in den Überbrückungsprozess ein: Vertrauen in Datenorakel. Die nächste Vertrauensebene sind die Treuhänder.
Typischerweise erfolgt die Überbrückung, indem ein Vermögenswert bei einer Depotbank hinterlegt wird und eine „verpackte“ Version dieses Vermögenswerts von der Depotbank in der zweiten Blockchain erhalten wird. Der Benutzer muss darauf vertrauen, dass der Treuhänder sowohl das ursprüngliche Asset sicher verwahrt als auch das verpackte Asset freigibt.
Manchmal kann dieser Verwalter die Form eines DAO oder Smart Contract annehmen. In jedem Fall – ob ein DAO oder eine Unternehmenseinheit wie BitGo (der Verwalter der weltweiten höchste verpacktes Gut, eingewickeltes Bitcoin) – Bridging führt mehrere Vertrauensebenen ein.
Die nächste Ebene des Vertrauens sind Konvertibilität und Preisparität. Vereinfacht gesagt reicht es nicht aus, ein Bridge-Asset erhalten zu haben. Ein Benutzer muss außerdem weiterhin darauf vertrauen, dass er in der Lage sein wird, diesen Vermögenswert auf einer 1-zu-1-Basis in die Zukunft zurück zu überbrücken. Ein Original-Asset muss einem umschlossenen Asset entsprechen. Dies ist das Preisparitätsrisiko.
Der überbrückte Vermögenswert muss mindestens die Parität mit dem ursprünglichen Vermögenswert beibehalten. Auf diese Weise vertraut der Benutzer dem Bridging-Prozess nicht nur im Moment des Austauschs, sondern auch so lange, wie er ein verpacktes Asset in der Zukunft verwendet.
Zusammenfassend vervielfachen sich alle Sicherheitsrisiken eines Vermögenswerts exponentiell für ihre überbrückten (verpackten) Gegenstücke.
Sind Sie besorgt darüber, dass Tether Limited einen USDT nicht für 1 $ einlöst? Überbrücken Sie dieselbe USDT mit einer Blockchain, die nicht von Tether Limited unterstützt wird, und Ihre Risiken haben sich durch Depotbank(en), Smart Contracts, Liquidität, Preisparität und vor allem, ob die Brücke nicht abbrennt, bevor Sie zurückkehren müssen, vervielfacht Sicherheit.
In gewisser Weise sind Cross-Blockchain-Brücken wie Wurmlöcher: Sie transportieren Material durch den Raum, aber sie bilden und vernichten sich spontan.
Tatsächlich ist Wormhole der Name der am besten kapitalisierten Brücke der Welt, die die Blockchains von Ethereum und Solana verbindet. Es war gehackt – wie viele Brücken. Nachfolgend finden Sie eine Liste.
Multichain-Exploit am 19. Januar 2022
Angreifer Tisch 3 Millionen US-Dollar in einem Exploit der Cross-Blockchain-Bridge von Multichain zu Beginn des Jahres. Multichain gab eine erste Nachricht heraus, die die Benutzer dazu veranlasste Frage ob ihre Gelder sicher waren. Es gewarnt Benutzer, die Token WETH, MATIC, AVAX, PERI, OMT und WBNB von betroffenen Smart Contracts auf seiner Plattform zurückzuziehen.
Mehrkette später sagte Ein Angreifer gab 259 ETH zurück, die bei dem Angriff gestohlen wurden. Halteseil erstarren USDT auf Adressen, die mit dem Exploit verknüpft sind.
Qubit-Exploit am 27. Januar 2022
Qubit-Finanzen verloren 206,809 BNB (80 Millionen US-Dollar) in einem Exploit von QBridge am 27. Januar 2022. Das Projekt baute sein Protokoll auf Binance Chain auf.
Der Exploit hat auf betrügerische Weise 77,162 qXETH geprägt, die die Angreifer gegen BNB-Token einlösen konnten. Qubit bot an, mit dem Angreifer zu verhandeln, um die Gelder wiederzuerlangen.
Wurmloch-Exploit am 2. Februar 2022
Angreifer prägten am 120,000. Februar 2 betrügerisch 2022 verpackte ETH auf Solanas Blockchain, indem sie die Wurmlochbrücke benutzten. Sie erstellten ein gefälschtes Signaturkonto, um ihre Transaktionen zu validieren.
Ein Paradigm-Forscher hat den Angriff rekonstruiert und festgestellt, dass Wormhole es versäumt hatte, ein robusteres Validierungsprotokoll für seine Guardian-Signaturen zu implementieren.
Meter Passport-Exploit von Meter.io am 5. Februar 2022
Die Meter Passport Bridge von Meter.io verloren Ein Exploit in Höhe von 4.4 Millionen US-Dollar am 5. Februar 2022. Der Exploit zielte auf die intelligente Vertragsplattform Moonriver im Kusama-Netzwerk von Polkadot ab. Die Angreifer stahlen BNB und verpackten ETH und luden die BNB dann auf die dezentrale Börse UniSwap.
Dieser Exploit verursachte einen Preisverfall von BNB, der es anderen Personen ermöglichte, billiges BNB zu erwerben und es als Sicherheit für Kredite auf Plattformen wie Hundred Crisis zu verwenden. Die Kredite führten zu Versorgungsproblemen bei den betroffenen Kredit-Apps.
Exploit Ronin Bridge am 29. März 2022
Angreifer Tisch 173,600 ETH und 25.5 Millionen USDC (etwa 600 Millionen US-Dollar) von der Ronin-Brücke am 29. März 2022. Der Exploit beinhaltete den Zugriff auf die privaten Schlüssel von Validator-Knoten. Die Entwickler der Ronin-Brücke stoppten die Ein- und Auszahlungen, bis die Ermittler Gelegenheit hatten, festzustellen, was passiert war.
Die Entwickler haben die Ronin-Sidechain des Axie Infinity-Spiels Ethereum gebaut, um Gebühren zu sparen. Leider haben sie bei der Sicherheit Kompromisse gemacht.
WonderHero-Exploit am 7. April 2022
WunderHero entdeckt ein Exploit seiner Bridge am 7. April 2022, als der Wert seines nativen WND-Tokens unerwartet um 50 % einbrach. Es verlor bei dem Angriff 300,000 US-Dollar an WND-Token.
WonderHero hat während der Untersuchung seine Website, sein Spiel, seine Bridge, seine Einzahlungen und Auszahlungen angehalten. Das Spiel, der Marktplatz und das Ertragssystem wurden neu gestartet. Seitdem WonderHero gepostet eine Analyse, die bestätigt, dass seine Binance-Brücke kompromittiert wurde.
Harmony Ones Horizon Bridge-Exploit am 23. Juni 2022
Die Horizon Bridge von Harmony One verlor am 100. Juni 23 bei einem Exploit 2022 Millionen US-Dollar. Sein Team sagte Es arbeitete mit Strafverfolgungsbehörden und Forensikern zusammen, um den Exploit zu untersuchen. Die Adresse, die verwendet wurde, um die gestohlenen Gelder zu erhalten, erhielt einen „Horizon Bridge-Exploiter”-Etikett auf Etherscan. Der Horizon Bridge Exploiter hält derzeit knapp über 93,000 US-Dollar an Token.
ChainSwap-Exploit am 10. Juli 2022
ChainSwap hat am 20. Juli 10 bei einem Exploit 2022 Millionen WILD-Token verloren. Wilder World verwendet WILD als natives Token. Ein pseudonymer Twitter-Nutzer und „Bürger“ von Wilder World bemerkt der ChainSwap-Exploit am 10. Juli 2022. Der Exploit betraf auch Antimaterie-, Optionroom-, Umbrellabank-, Nord-, Razor-, Peri-, Unido-, Oro-, Vortex-, Blank- und Unifarm-Token.
ChainSwap fror seine Ethereum-Binance Smart Chain Bridge während der Untersuchung ein.
Vor diesem Vorfall war ChainSwap erlitt Ein weiterer Exploit, bei dem es am 800,000. Juli 2 Dollar an Token verlor. Es gelang ihm, einige dieser Verluste bei diesem Angriff wieder auszugleichen.
Nomad-Exploit am 2. August 2022
Angreifer Tisch Token im Wert von 190 Millionen US-Dollar durch Ausnutzung einer Schwachstelle im Smart Contract von Nomad am 2. August 2022. Nachdem die Methode zur Ausnutzung des Smart Contracts öffentlich wurde, verschlang ein Massenangriff eine beträchtliche Menge des Geldes.
CISO von Andressen Horowitz vorgeschlagen dass einige Plünderer „White Hat“-Ausbeuter gewesen sein könnten, die darauf abzielten, Geld aus den Händen schändlicher Akteure zu halten. Nomade sagte Es arbeitete mit Strafverfolgungsbehörden und privaten Sicherheitsfirmen zusammen, um Nachforschungen anzustellen und dankte den White-Hat-Akteuren dafür, dass sie die Initiative zum Schutz der Gelder ergriffen haben.
Folgen Sie uns für weitere informierte Neuigkeiten Twitter und Google News oder hören Sie sich unseren investigativen Podcast an Innoviert: Blockchain City.
Quelle: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/