Hakeri šogad ir nozaguši 1.4 miljardus dolāru, izmantojot kripto tiltus

Kriptofondu investorus šogad smagi skāruši hakeri un krāpniecība. Viens no iemesliem ir tas, ka kibernoziedznieki ir atraduši īpaši noderīgu ceļu, kā tos sasniegt: tiltus.

Blockchain tilti, kas vāji savieno tīklus, lai nodrošinātu ātru marķieru apmaiņu, kļūst arvien populārāki kā veids, kā kriptovalūtu lietotāji var veikt darījumus. Taču, tos izmantojot, kriptogrāfijas entuziasti apiet centralizētu apmaiņu un izmanto sistēmu, kas lielākoties ir neaizsargāta.

Saskaņā ar blokķēdes analīzes uzņēmuma Chainalysis datiem, kopš gada sākuma šo pārrobežu ķēžu tiltu pārkāpumu dēļ kopumā ir zaudēti aptuveni 1.4 miljardi ASV dolāru. Lielākais atsevišķais notikums bija rekordliels 615 miljonu dolāru iemetiens paņemts no Ronin — tilta, kas atbalsta populāro neatvietojamo marķieru spēli Axie Infinity, kas ļauj lietotājiem nopelnīt naudu spēlējot.

Bija arī No Wormhole nozagti 320 miljoni dolāru, kriptogrāfijas tilts, ko atbalsta Volstrītas augstfrekvences tirdzniecības uzņēmums Jump Trading. Jūnijā Harmony's Horizon tilts cieta 100 miljonu dolāru vērto uzbrukumu. Un pagājušajā nedēļā, hakeri sagrāba gandrīz 200 miljonus dolāru pārkāpumā, kura mērķis ir Nomad.

"Blockchain tilti ir kļuvuši par zemu augli kibernoziedzniekiem, un tajos ir bloķēti kriptovalūtu aktīvi miljardiem dolāru vērtībā," intervijā sacīja Toms Robinsons, blokķēdes analīzes uzņēmuma Elliptic līdzdibinātājs un galvenais zinātnieks. "Hakeri ir pārkāpuši šos tiltus dažādos veidos, kas liecina, ka to drošības līmenis nav bijis kopsolī ar viņu rīcībā esošo aktīvu vērtību."

Tilta ekspluatācijas notiek pārsteidzošā ātrumā, ņemot vērā, ka tā ir tik jauna parādība. Saskaņā ar Chainalysis datiem tiltu aplaupīšanas laikā nozagtā summa veido 69% no līdzekļiem, kas līdz šim nozagti ar kriptovalūtu saistītos uzlaupījumos līdz šim 2022. gadā.

Tilts ir programmatūras daļa, kas ļauj kādam nosūtīt marķierus no viena blokķēdes tīkla un saņemt tos atsevišķā ķēdē. Blokķēdes ir sadalītas virsgrāmatas sistēmas, kas ir dažādu kriptovalūtu pamatā.

Mainot žetonu no vienas ķēdes uz otru, piemēram, nosūtot dažus ēteris no ethereum līdz Solana tīklam — investors nogulda žetonus viedā līgumā, blokķēdes koda daļā, kas ļauj līgumiem automātiski izpildīt bez cilvēka iejaukšanās.

Pēc tam šī kriptovalūta tiek “kalta” jaunā blokķēdē tā sauktā iesaiņota marķiera veidā, kas apzīmē pretenziju uz oriģinālajām ētera monētām. Pēc tam marķieri var tirgot jaunā tīklā. Tas var būt noderīgi investoriem, kuri izmanto ethereum, kas ir kļuvis bēdīgi slavens ar pēkšņām maksu kāpnēm un ilgāku gaidīšanas laiku, kad tīkls ir aizņemts.

"Viņiem parasti ir milzīgas naudas summas," sacīja Adrians Hetmens, kriptovalūtu drošības firmas Immunefi tehnoloģiju vadītājs. "Šīs naudas summas un satiksmes plūsma caur tiltiem ir ļoti vilinošs uzbrukuma punkts."

Tiltu neaizsargātību daļēji var izsekot aplietās inženierijas dēļ.

Piemēram, uzlaušana uz Harmony's Horizon tilta bija iespējama, jo bija ierobežots pārbaudītāju skaits, kas bija nepieciešams darījumu apstiprināšanai. Hakeriem vajadzēja tikai uzlauzt divus no pieciem kontiem, lai iegūtu līdzekļu izņemšanai nepieciešamās paroles.

Līdzīga situācija notika ar Roninu. Hakeriem vajadzēja tikai pārliecināt piecus no deviņiem tīkla pārbaudītājiem nodot savas privātās atslēgas, lai piekļūtu sistēmā bloķētai kriptovalūtai.

Nomad gadījumā ar tiltu hakeriem bija daudz vienkāršāk manipulēt. Uzbrucēji varēja ievadīt sistēmā jebkuru vērtību un pēc tam izņemt līdzekļus, pat ja tiltā nebija pietiekami daudz līdzekļu. Viņiem nebija vajadzīgas nekādas programmēšanas prasmes, un viņu varoņdarbi noveda pie kopētāju uzkrāšanās, izraisot visu laiku astoto lielāko kriptovalūtu zādzību, norāda Elliptic.

Nomad ir piedāvājot hakerus atlīdzību līdz 10% apmērā, lai atgūtu lietotāju līdzekļus, un saka, ka tā atturēsies no tiesvedības pret hakeriem, kuri atdod 90% no paņemtajiem aktīviem.

Nomads sacīja CNBC, ka ir "apņēmies atjaunināt savu kopienu, kad tā uzzina vairāk" un "pavērtē visus tos, kuri ātri rīkojās, lai aizsargātu līdzekļus".

Tilti ir būtisks instruments decentralizētās finanšu (DeFi) nozarē, kas ir kriptovalūtu alternatīva banku sistēmai.

Izmantojot DeFi, tā vietā, lai centralizēti spēlētāji izsauktu šāvienu, naudas apmaiņu pārvalda programmējams koda fragments, ko sauc par viedo līgumu. Šis līgums ir uzrakstīts publiskā blokķēdē, piemēram, ethereum or solana, un tas tiek izpildīts, kad ir izpildīti noteikti nosacījumi, tādējādi noliedzot nepieciešamību pēc centrālā starpnieka. 

"Mēs nevaram vienkārši pārvietot šos aktīvus," sacīja Hetmans. "Tāpēc mums ir nepieciešami blokķēdes tilti."

Tā kā DeFi telpa turpina attīstīties, izstrādātājiem būs jāpadara blokķēdes sadarbspējīgas, lai nodrošinātu, ka aktīvi un dati var netraucēti plūst starp tīkliem.

"Bez tiem aktīvi ir bloķēti vietējās ķēdēs," sacīja Ostons Bunsens, QuikNode līdzdibinātājs, kas nodrošina blokķēdes infrastruktūru izstrādātājiem un uzņēmumiem.

Bet tie ir riskanti.

"Tie faktiski nav pārvaldīti," sacīja Deivids Kārlails, Elliptic regulatīvo lietu vadītājs. Viņi ir “ļoti neaizsargāti pret uzlaušanu vai izmantošanu tādos noziegumos kā naudas atmazgāšana”.

Saskaņā ar 540. gada noziedznieki ir pārskaitījuši nelikumīgi iegūtus ienākumus vismaz 2020 miljonu dolāru vērtībā, izmantojot tiltu ar nosaukumu RenBridge. jauns pētījums ko Elliptic nodrošināja CNBC.

"Viens galvenais jautājums ir par to, vai tilti tiks pakļauti regulējumam, jo ​​tie darbojas līdzīgi kriptovalūtu biržām, kas jau ir regulētas," sacīja Kārlails.

Šonedēļ ASV Finanšu ministrijas Ārvalstu aktīvu kontroles birojs jeb OFAC, paziņoja par sankcijām pret Tornado Cash, populārs kriptovalūtu mikseris, aizliedzot amerikāņiem izmantot pakalpojumu. Mikseri ir rīki, kas apvieno lietotāja marķierus ar citu līdzekļu kopumu, lai slēptu iesaistīto personu un vienību identitāti.

Kārlails sacīja, ka kļūst skaidrs, ka "ASV regulatori ir gatavi meklēt DeFi pakalpojumus, kas veicina nelikumīgas darbības."

SKATS: Adrians Hetmans no Immunefi skaidro, kā hakeri nozaga 200 miljonus dolāru