چرا هکرها به بهره برداری از پل های بلاک چین ادامه می دهند؟

در 7 ژانویه 2022، ویتالیک بوترین، یکی از بنیانگذاران اتریوم هشدار داد در مورد امنیت پل های زنجیره بلوکی او پیشاپیش استدلال می‌کرد که پل زدن دارایی‌ها در زنجیره‌های بلوکی هرگز از تضمین‌های مشابه ماندن در یک بلاک چین برخوردار نخواهد بود. حق با او بود.

تبدیل ایمن دارایی ها بین بلاک چین ها تضمین نشده است. به‌طور دقیق، هیچ‌کس نمی‌تواند یک دارایی را به بلاک چین دیگری «ارسال» یا «پل» کند. در عوض، دارایی ها بر روی یک زنجیره سپرده، قفل یا سوزانده می شوند. سپس اعتبار، باز شده، یا بر روی زنجیره دوم ضرب شده است.

بدتر از آن، بلاک چین ها نمی توانند به اطلاعات خارج از زنجیره دسترسی پیدا کنند. هیچ بلاک چینی نمی تواند به طور بومی تأیید کند که هر دارایی چند بلاک چینی "پل" شده است. در بهترین حالت، اوراکل های شخص ثالث صحت اطلاعات خارج از زنجیره را تأیید می کنند و آن داده ها را برای استفاده در زنجیره تفسیر می کنند. با این حال، این اولین لایه اعتماد را به فرآیند پل زدن معرفی می کند: اعتماد به اوراکل های داده. لایه بعدی اعتماد، متولیان است.

به طور معمول، پل زدن با سپرده گذاری یک دارایی نزد یک متولی و دریافت نسخه «پیچیده» آن دارایی از متولی در بلاک چین دوم انجام می شود. کاربر باید به نگهبان اعتماد کند که هم دارایی اصلی را حفظ کند و هم دارایی بسته بندی شده را آزاد کند.

گاهی اوقات، این متولی می تواند به شکل یک قرارداد DAO یا هوشمند باشد. در هر صورت - چه یک DAO یا یک نهاد شرکتی مانند BitGo (متولی جهان بزرگترین دارایی بسته بندی شده، بیت کوین پیچیده شده) — پل زدن چندین لایه اعتماد را معرفی می کند.

در ادامه، لایه بعدی اعتماد، قابلیت تبدیل و برابری قیمت است. به زبان ساده، دریافت یک دارایی پل کافی نیست. علاوه بر این، کاربر باید به این اطمینان ادامه دهد که می‌تواند آن دارایی را در آینده به صورت 1 به 1 برگرداند. یک دارایی اصلی باید برابر با یک دارایی بسته بندی شده باشد. این ریسک برابری قیمت است.

حداقل، دارایی پل شده باید برابری با دارایی اصلی را حفظ کند. بنابراین، به این ترتیب، کاربر نه تنها در لحظه مبادله، بلکه تا زمانی که از یک دارایی بسته بندی شده در آینده استفاده می کند، به فرآیند پل زدن اعتماد می کند.

به طور خلاصه، تمام خطرات امنیتی یک دارایی به طور تصاعدی برای همتایان پل (پیچیده شده) خود چند برابر می شوند.

نگران این هستید که Tether Limited یک USDT را به قیمت 1 دلار بازخرید نکند؟ همان USDT را به یک بلاک چین که توسط Tether Limited پشتیبانی نمی‌شود، پل کنید و ریسک‌های شما با متولی(ها)، قراردادهای هوشمند، نقدینگی، برابری قیمت و مهم‌تر از همه، این که آیا پل قبل از اینکه نیاز به بازگشت به آن داشته باشید، سوخته نمی‌شود یا خیر، چند برابر شده است. ایمنی

به نوعی، پل های زنجیره ای متقابل مانند کرم چاله ها هستند: آنها مواد را در فضا منتقل می کنند، اما خود به خود شکل می گیرند و از بین می روند.

در واقع، Wormhole نام پر سرمایه‌گذاری‌ترین پل جهان است که زنجیره‌های بلوکی اتریوم و سولانا را به هم متصل می‌کند. بود هک - مانند بسیاری از پل ها. در زیر یک لیست است.

بهره برداری چند زنجیره ای در 19 ژانویه 2022

مهاجمین دزدیده شد 3 میلیون دلار در بهره برداری از پل زنجیره ای متقابل بلاک چین در ابتدای سال. Multichain پیام‌های اولیه‌ای را صادر کرد که باعث شد کاربران این کار را انجام دهند سوال آیا وجوه آنها امن بود یا خیر. آی تی هشدار داد کاربران می‌توانند توکن‌های WETH، MATIC، AVAX، PERI، OMT و WBNB را از قراردادهای هوشمند آسیب‌دیده بر روی پلتفرم خود خارج کنند.

چند زنجیره بعد گفت: یک مهاجم 259 ETH سرقت شده در این حمله را پس داد. تتر مسدود شده USDT در آدرس های مرتبط با اکسپلویت.

اکسپلویت کیوبیت در 27 ژانویه 2022

کیوبیت فاینانس از دست رفته 206,809 BNB (80 میلیون دلار) در بهره برداری از QBridge در 27 ژانویه 2022. این پروژه پروتکل خود را بر روی زنجیره بایننس ایجاد کرد.

این اکسپلویت به طور تقلبی 77,162 qXETH را استخراج کرد که مهاجمان می‌توانستند آن را برای توکن‌های BNB بازخرید کنند. کیوبیت پیشنهاد داد که با مهاجم برای بازپس گیری وجوه مذاکره کند.

کیوبیت سعی می کند با یک هکر ارتباط برقرار کند.

بهره برداری کرم چاله در 2 فوریه 2022

مهاجمان در 120,000 فوریه 2 با استفاده از پل Wormhole، 2022 ETH پیچیده شده بر روی بلاک چین سولانا را جعل کردند. آنها یک حساب امضای جعلی ایجاد کردند تا تراکنش های خود را تأیید کنند.

یک محقق پارادایم این حمله را مهندسی معکوس کرد و تشخیص داد که Wormhole نتوانسته پروتکل اعتبارسنجی قوی‌تری را برای امضاهای نگهبان خود پیاده‌سازی کند.

tl;dr – Wormhole همه حساب‌های ورودی را به‌درستی تأیید نکرد، که به مهاجم اجازه می‌داد امضای محافظ را جعل کند و 120,000 ETH را در Solana ضرب کند که 93,750 آن را به اتریوم برگرداند.
- samczsun (samczsun) فوریه 3، 2022

یک محقق ضرر چند صد میلیون دلاری Wormhole را توضیح می دهد.

بهره برداری Meter.io's Meter Passport در 5 فوریه 2022

پل گذرنامه متری Meter.io از دست رفته 4.4 میلیون دلار در یک اکسپلویت در 5 فوریه 2022. این اکسپلویت پلتفرم قرارداد هوشمند Moonriver در شبکه کوساما Polkadot را هدف قرار داد. مهاجمان BNB را دزدیدند و ETH را بسته بندی کردند و سپس BNB را در صرافی غیرمتمرکز UniSwap انداختند.

این سوء استفاده باعث کاهش شدید قیمت BNB شد که به سایر افراد اجازه داد تا BNB ارزان را جمع آوری کرده و از آن به عنوان وثیقه برای وام در پلتفرم هایی مانند Hundred Crisis استفاده کنند. این وام ها باعث ایجاد مشکلاتی در تامین برنامه های وام آسیب دیده شد.

1. حدود ساعت 6 صبح به وقت اقیانوس آرام، ما شناسایی کردیم که فردی می‌تواند از آسیب‌پذیری پل استفاده کند تا مقدار زیادی توکن BNB و WETH را برش دهد و ذخیره پل برای BNB در WETH را تخلیه کند.
— ⚡️Meter.io⚡️ (@Meter_IO) فوریه 5، 2022

اتریوم پیچیده با اتریوم یکسان نیست.

بهره برداری از پل رونین در 29 مارس 2022

مهاجمین دزدیده شد 173,600 ETH و 25.5 میلیون USDC (حدود 600 میلیون دلار) از پل رونین در 29 مارس 2022. این سوء استفاده شامل دسترسی به کلیدهای خصوصی گره های اعتبارسنجی بود. توسعه دهندگان پل رونین سپرده گذاری و برداشت را متوقف کردند تا زمانی که محققان فرصتی پیدا کنند تا مشخص کنند چه اتفاقی افتاده است.

توسعه دهندگان زنجیره جانبی Ronin بازی Axie Infinity را ساختند تا در هزینه ها صرفه جویی کنند. متأسفانه آنها در زمینه امنیت به خطر افتادند.

شما نمی توانید این را بسازید
هکر 600 میلیون دلار ETH از بلاک چین Ronin که زیربنای Axie است سرقت می کند
سپس هکر کوتاه می‌کند Ronin & AXS (توکن Axie) و می‌داند به محض انتشار اخبار که توکن‌ها به شدت کاهش می‌یابند.
اما هیچ کس متوجه نمی شود و آنها در مدت کوتاهی قبل از انتشار اخبار منحل می شوند
- اریک گلدن ؟؟؟ (@ericgoldenx) مارس 29، 2022

بازی Axie Infinity موسوم به بازی برای کسب درآمد 600 میلیون دلار از پول کاربران خود را از دست داد.

اکسپلویت WonderHero در 7 آوریل 2022

قهرمان شگفت انگیز کشف بهره برداری از پل آن در 7 آوریل 2022، زمانی که ارزش توکن WND بومی آن به طور غیرمنتظره ای 50٪ کاهش یافت. در این حمله 300,000 دلار در توکن های WND از دست داد.

WonderHero وب سایت، بازی، پل، سپرده ها و برداشت های خود را در حین بررسی متوقف کرد. بازی، بازار و سیستم بازدهی را دوباره راه اندازی کرد. از آن زمان، WonderHero + نوشته شده در تحلیلی که تایید می کند پل Binance آن به خطر افتاده است.

اکسپلویت پل هورایزن هارمونی وان در 23 ژوئن 2022

پل هورایزن هارمونی وان در 100 ژوئن 23 2022 میلیون دلار را در اثر سوء استفاده از دست داد. تیم آن گفت: برای بررسی این سوء استفاده با مقامات مجری قانون و کارشناسان پزشکی قانونی همکاری می کرد. آدرسی که برای دریافت وجوه دزدیده شده استفاده می شود، یک «بهره بردار پل Horizon” برچسب روی Etherscan. Horizon Bridge Exploiter در حال حاضر کمی بیش از 93,000 دلار توکن دارد.

1/ تیم هارمونی سرقتی را که صبح امروز در پل افق روی داده بود شناسایی کرده اند به مبلغ تقریبی. 100 میلیون دلار ما همکاری با مقامات ملی و متخصصان پزشکی قانونی را برای شناسایی مجرم و بازیابی وجوه دزدیده شده آغاز کرده ایم.
بیشتر ؟
- هارمونی؟ (@harmonyprotocol) ژوئن 23، 2022

هکرها 100 میلیون دلار از پل بین بلاک چین Harmony ONE سرقت کردند.

ادامه مطلب: با هک شدن استارت‌آپ کریپتو Nomad به قیمت ۱۹۰ میلیون دلار، پل‌های بین بلاک‌چینی همچنان شکسته می‌شوند.

بهره برداری ChainSwap در 10 جولای 2022

ChainSwap 20 میلیون توکن WILD را در 10 ژوئیه 2022 در یک سوء استفاده از دست داد. Wilder World از WILD به عنوان توکن اصلی خود استفاده می کند. یک کاربر با نام مستعار توییتر و "شهروند" دنیای وایلدر متوجه شدم اکسپلویت ChainSwap در 10 جولای 2022. این اکسپلویت همچنین روی توکن‌های Antimatter، Optionroom، Umbrellabank، Nord، Razor، Peri، Unido، Oro، Vortex، Blank و Unifarm تأثیر گذاشت.

ChainSwap پل زنجیره هوشمند Ethereum-Binance خود را در حین بررسی مسدود کرد.

قبل از این حادثه، ChainSwap رنج یک اکسپلویت دیگر که در آن 800,000 دلار توکن در 2 ژوئیه از دست داد. توانست بخشی از این ضررها را در آن حمله جبران کند.

Nomad exploit در 2 آگوست 2022

مهاجمین دزدیده شد 190 میلیون دلار توکن با بهره‌برداری از یک آسیب‌پذیری در قرارداد هوشمند Nomad در 2 اوت 2022. زمانی که روش مورد استفاده برای بهره‌برداری از قرارداد هوشمند عمومی شد، یک حمله جمعی مقدار قابل‌توجهی از پول را تخلیه کرد.

CISO آندرسن هوروویتز پیشنهاد که برخی غارتگران ممکن است استثمارگران «کلاه سفید» بوده باشند که قصد داشتند پول را از دست بازیگران شرور دور نگه دارند. عشایر گفت: در حال کار با مجری قانون و شرکت های امنیتی خصوصی برای بررسی و تحقیق بود متشکرم بازیگران کلاه سفید به دلیل ابتکار عمل برای محافظت از بودجه.

برای اطلاع از اخبار بیشتر، ما را دنبال کنید توییتر و اخبار گوگل یا به پادکست تحقیقی ما گوش دهید نوآوری: شهر بلاک چین.

منبع: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/