در 7 ژانویه 2022، ویتالیک بوترین، یکی از بنیانگذاران اتریوم هشدار داد در مورد امنیت پل های زنجیره بلوکی او پیشاپیش استدلال میکرد که پل زدن داراییها در زنجیرههای بلوکی هرگز از تضمینهای مشابه ماندن در یک بلاک چین برخوردار نخواهد بود. حق با او بود.
تبدیل ایمن دارایی ها بین بلاک چین ها تضمین نشده است. بهطور دقیق، هیچکس نمیتواند یک دارایی را به بلاک چین دیگری «ارسال» یا «پل» کند. در عوض، دارایی ها بر روی یک زنجیره سپرده، قفل یا سوزانده می شوند. سپس اعتبار، باز شده، یا بر روی زنجیره دوم ضرب شده است.
بدتر از آن، بلاک چین ها نمی توانند به اطلاعات خارج از زنجیره دسترسی پیدا کنند. هیچ بلاک چینی نمی تواند به طور بومی تأیید کند که هر دارایی چند بلاک چینی "پل" شده است. در بهترین حالت، اوراکل های شخص ثالث صحت اطلاعات خارج از زنجیره را تأیید می کنند و آن داده ها را برای استفاده در زنجیره تفسیر می کنند. با این حال، این اولین لایه اعتماد را به فرآیند پل زدن معرفی می کند: اعتماد به اوراکل های داده. لایه بعدی اعتماد، متولیان است.
به طور معمول، پل زدن با سپرده گذاری یک دارایی نزد یک متولی و دریافت نسخه «پیچیده» آن دارایی از متولی در بلاک چین دوم انجام می شود. کاربر باید به نگهبان اعتماد کند که هم دارایی اصلی را حفظ کند و هم دارایی بسته بندی شده را آزاد کند.
گاهی اوقات، این متولی می تواند به شکل یک قرارداد DAO یا هوشمند باشد. در هر صورت - چه یک DAO یا یک نهاد شرکتی مانند BitGo (متولی جهان بزرگترین دارایی بسته بندی شده، بیت کوین پیچیده شده) — پل زدن چندین لایه اعتماد را معرفی می کند.
در ادامه، لایه بعدی اعتماد، قابلیت تبدیل و برابری قیمت است. به زبان ساده، دریافت یک دارایی پل کافی نیست. علاوه بر این، کاربر باید به این اطمینان ادامه دهد که میتواند آن دارایی را در آینده به صورت 1 به 1 برگرداند. یک دارایی اصلی باید برابر با یک دارایی بسته بندی شده باشد. این ریسک برابری قیمت است.
حداقل، دارایی پل شده باید برابری با دارایی اصلی را حفظ کند. بنابراین، به این ترتیب، کاربر نه تنها در لحظه مبادله، بلکه تا زمانی که از یک دارایی بسته بندی شده در آینده استفاده می کند، به فرآیند پل زدن اعتماد می کند.
به طور خلاصه، تمام خطرات امنیتی یک دارایی به طور تصاعدی برای همتایان پل (پیچیده شده) خود چند برابر می شوند.
نگران این هستید که Tether Limited یک USDT را به قیمت 1 دلار بازخرید نکند؟ همان USDT را به یک بلاک چین که توسط Tether Limited پشتیبانی نمیشود، پل کنید و ریسکهای شما با متولی(ها)، قراردادهای هوشمند، نقدینگی، برابری قیمت و مهمتر از همه، این که آیا پل قبل از اینکه نیاز به بازگشت به آن داشته باشید، سوخته نمیشود یا خیر، چند برابر شده است. ایمنی
به نوعی، پل های زنجیره ای متقابل مانند کرم چاله ها هستند: آنها مواد را در فضا منتقل می کنند، اما خود به خود شکل می گیرند و از بین می روند.
در واقع، Wormhole نام پر سرمایهگذاریترین پل جهان است که زنجیرههای بلوکی اتریوم و سولانا را به هم متصل میکند. بود هک - مانند بسیاری از پل ها. در زیر یک لیست است.
بهره برداری چند زنجیره ای در 19 ژانویه 2022
مهاجمین دزدیده شد 3 میلیون دلار در بهره برداری از پل زنجیره ای متقابل بلاک چین در ابتدای سال. Multichain پیامهای اولیهای را صادر کرد که باعث شد کاربران این کار را انجام دهند سوال آیا وجوه آنها امن بود یا خیر. آی تی هشدار داد کاربران میتوانند توکنهای WETH، MATIC، AVAX، PERI، OMT و WBNB را از قراردادهای هوشمند آسیبدیده بر روی پلتفرم خود خارج کنند.
چند زنجیره بعد گفت: یک مهاجم 259 ETH سرقت شده در این حمله را پس داد. تتر مسدود شده USDT در آدرس های مرتبط با اکسپلویت.
اکسپلویت کیوبیت در 27 ژانویه 2022
کیوبیت فاینانس از دست رفته 206,809 BNB (80 میلیون دلار) در بهره برداری از QBridge در 27 ژانویه 2022. این پروژه پروتکل خود را بر روی زنجیره بایننس ایجاد کرد.
این اکسپلویت به طور تقلبی 77,162 qXETH را استخراج کرد که مهاجمان میتوانستند آن را برای توکنهای BNB بازخرید کنند. کیوبیت پیشنهاد داد که با مهاجم برای بازپس گیری وجوه مذاکره کند.
بهره برداری کرم چاله در 2 فوریه 2022
مهاجمان در 120,000 فوریه 2 با استفاده از پل Wormhole، 2022 ETH پیچیده شده بر روی بلاک چین سولانا را جعل کردند. آنها یک حساب امضای جعلی ایجاد کردند تا تراکنش های خود را تأیید کنند.
یک محقق پارادایم این حمله را مهندسی معکوس کرد و تشخیص داد که Wormhole نتوانسته پروتکل اعتبارسنجی قویتری را برای امضاهای نگهبان خود پیادهسازی کند.
بهره برداری Meter.io's Meter Passport در 5 فوریه 2022
پل گذرنامه متری Meter.io از دست رفته 4.4 میلیون دلار در یک اکسپلویت در 5 فوریه 2022. این اکسپلویت پلتفرم قرارداد هوشمند Moonriver در شبکه کوساما Polkadot را هدف قرار داد. مهاجمان BNB را دزدیدند و ETH را بسته بندی کردند و سپس BNB را در صرافی غیرمتمرکز UniSwap انداختند.
این سوء استفاده باعث کاهش شدید قیمت BNB شد که به سایر افراد اجازه داد تا BNB ارزان را جمع آوری کرده و از آن به عنوان وثیقه برای وام در پلتفرم هایی مانند Hundred Crisis استفاده کنند. این وام ها باعث ایجاد مشکلاتی در تامین برنامه های وام آسیب دیده شد.
بهره برداری از پل رونین در 29 مارس 2022
مهاجمین دزدیده شد 173,600 ETH و 25.5 میلیون USDC (حدود 600 میلیون دلار) از پل رونین در 29 مارس 2022. این سوء استفاده شامل دسترسی به کلیدهای خصوصی گره های اعتبارسنجی بود. توسعه دهندگان پل رونین سپرده گذاری و برداشت را متوقف کردند تا زمانی که محققان فرصتی پیدا کنند تا مشخص کنند چه اتفاقی افتاده است.
توسعه دهندگان زنجیره جانبی Ronin بازی Axie Infinity را ساختند تا در هزینه ها صرفه جویی کنند. متأسفانه آنها در زمینه امنیت به خطر افتادند.
اکسپلویت WonderHero در 7 آوریل 2022
قهرمان شگفت انگیز کشف بهره برداری از پل آن در 7 آوریل 2022، زمانی که ارزش توکن WND بومی آن به طور غیرمنتظره ای 50٪ کاهش یافت. در این حمله 300,000 دلار در توکن های WND از دست داد.
WonderHero وب سایت، بازی، پل، سپرده ها و برداشت های خود را در حین بررسی متوقف کرد. بازی، بازار و سیستم بازدهی را دوباره راه اندازی کرد. از آن زمان، WonderHero + نوشته شده در تحلیلی که تایید می کند پل Binance آن به خطر افتاده است.
اکسپلویت پل هورایزن هارمونی وان در 23 ژوئن 2022
پل هورایزن هارمونی وان در 100 ژوئن 23 2022 میلیون دلار را در اثر سوء استفاده از دست داد. تیم آن گفت: برای بررسی این سوء استفاده با مقامات مجری قانون و کارشناسان پزشکی قانونی همکاری می کرد. آدرسی که برای دریافت وجوه دزدیده شده استفاده می شود، یک «بهره بردار پل Horizon” برچسب روی Etherscan. Horizon Bridge Exploiter در حال حاضر کمی بیش از 93,000 دلار توکن دارد.
ادامه مطلب: با هک شدن استارتآپ کریپتو Nomad به قیمت ۱۹۰ میلیون دلار، پلهای بین بلاکچینی همچنان شکسته میشوند.
بهره برداری ChainSwap در 10 جولای 2022
ChainSwap 20 میلیون توکن WILD را در 10 ژوئیه 2022 در یک سوء استفاده از دست داد. Wilder World از WILD به عنوان توکن اصلی خود استفاده می کند. یک کاربر با نام مستعار توییتر و "شهروند" دنیای وایلدر متوجه شدم اکسپلویت ChainSwap در 10 جولای 2022. این اکسپلویت همچنین روی توکنهای Antimatter، Optionroom، Umbrellabank، Nord، Razor، Peri، Unido، Oro، Vortex، Blank و Unifarm تأثیر گذاشت.
ChainSwap پل زنجیره هوشمند Ethereum-Binance خود را در حین بررسی مسدود کرد.
قبل از این حادثه، ChainSwap رنج یک اکسپلویت دیگر که در آن 800,000 دلار توکن در 2 ژوئیه از دست داد. توانست بخشی از این ضررها را در آن حمله جبران کند.
Nomad exploit در 2 آگوست 2022
مهاجمین دزدیده شد 190 میلیون دلار توکن با بهرهبرداری از یک آسیبپذیری در قرارداد هوشمند Nomad در 2 اوت 2022. زمانی که روش مورد استفاده برای بهرهبرداری از قرارداد هوشمند عمومی شد، یک حمله جمعی مقدار قابلتوجهی از پول را تخلیه کرد.
CISO آندرسن هوروویتز پیشنهاد که برخی غارتگران ممکن است استثمارگران «کلاه سفید» بوده باشند که قصد داشتند پول را از دست بازیگران شرور دور نگه دارند. عشایر گفت: در حال کار با مجری قانون و شرکت های امنیتی خصوصی برای بررسی و تحقیق بود متشکرم بازیگران کلاه سفید به دلیل ابتکار عمل برای محافظت از بودجه.
برای اطلاع از اخبار بیشتر، ما را دنبال کنید توییتر و اخبار گوگل یا به پادکست تحقیقی ما گوش دهید نوآوری: شهر بلاک چین.
منبع: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/