هکرها در سال جاری با استفاده از پل های رمزنگاری 1.4 میلیارد دلار سرقت کرده اند

سرمایه گذاران کریپتو در سال جاری به شدت تحت تاثیر هک ها و کلاهبرداری ها قرار گرفته اند. یکی از دلایل این است که مجرمان سایبری یک راه بسیار مفید برای دسترسی به آنها پیدا کرده اند: پل ها.

پل‌های بلاک چین که به‌طور ضعیف شبکه‌ها را به هم متصل می‌کنند تا امکان تبادل سریع توکن‌ها را فراهم کنند، به عنوان راهی برای تراکنش‌های کاربران رمزارز محبوبیت پیدا می‌کنند. اما در استفاده از آنها، علاقه مندان به ارزهای دیجیتال یک صرافی متمرکز را دور می زنند و از سیستمی استفاده می کنند که عمدتاً محافظت نشده است.

بر اساس ارقام شرکت تجزیه و تحلیل بلاک چین Chainalysis، در مجموع حدود 1.4 میلیارد دلار به دلیل نقض این پل‌های زنجیره‌ای متقابل از ابتدای سال تاکنون از دست رفته است. بزرگترین رویداد واحد بود رکورد فروش 615 میلیون دلاری از رونین ربوده شده است، پلی که از بازی توکن غیرقابل تغییر محبوب Axie Infinity پشتیبانی می کند، که به کاربران اجازه می دهد در حین بازی درآمد کسب کنند.

همچنین وجود داشت 320 میلیون دلار از Wormhole به سرقت رفت، یک پل کریپتو که توسط شرکت تجارت فرکانس بالا جامپ تریدینگ وال استریت حمایت می شود. در ماه ژوئن، پل هارمونیز هورایزن مورد حمله 100 میلیون دلاری قرار گرفت. و هفته گذشته، حدود 200 میلیون دلار توسط هکرها کشف و ضبط شد در یک رخنه که Nomad را هدف قرار داده است.

تام رابینسون، یکی از بنیانگذاران و دانشمند ارشد شرکت تجزیه و تحلیل بلاک چین Elliptic، در مصاحبه ای گفت: «پل های بلاک چین به میوه ای برای مجرمان سایبری تبدیل شده اند که میلیاردها دلار دارایی رمزنگاری شده در آنها قفل شده است. این پل‌ها توسط هکرها به روش‌های مختلف نقض شده‌اند، که نشان می‌دهد سطح امنیت آن‌ها با ارزش دارایی‌هایی که در اختیار دارند همگام نیست.»

با توجه به اینکه این یک پدیده جدید است، بهره برداری از پل با سرعت قابل توجهی رخ می دهد. بر اساس داده‌های Chainalysis، مقدار دزدیده شده در دزدی پل، 69 درصد از وجوه سرقت شده در هک‌های مرتبط با رمزارز را تا کنون در سال 2022 تشکیل می‌دهد.

پل نرم‌افزاری است که به کسی اجازه می‌دهد تا توکن‌هایی را از یک شبکه بلاک چین ارسال کند و آنها را در یک زنجیره جداگانه دریافت کند. بلاک چین ها سیستم های دفتر کل توزیع شده ای هستند که زیربنای ارزهای دیجیتال مختلف را تشکیل می دهند.

هنگام تعویض یک توکن از یک زنجیره به زنجیره دیگر - مانند ارسال برخی اتر از اتریوم تا شبکه سولانا – یک سرمایه‌گذار توکن‌ها را به یک قرارداد هوشمند سپرده می‌کند، قطعه‌ای از کد روی بلاک چین که توافق‌ها را قادر می‌سازد تا به طور خودکار بدون دخالت انسان اجرا شوند.

سپس آن رمزارز در قالب یک توکن به اصطلاح پیچیده، در یک بلاک چین جدید «ضربه» می‌شود، که نشان‌دهنده ادعایی بر روی سکه‌های اتر اصلی است. سپس توکن را می توان در یک شبکه جدید معامله کرد. این می‌تواند برای سرمایه‌گذارانی که از اتریوم استفاده می‌کنند، مفید باشد، که به دلیل افزایش ناگهانی کارمزدها و زمان‌های انتظار طولانی‌تر زمانی که شبکه مشغول است، بدنام شده است.

آدریان هتمن، سرپرست فناوری در شرکت امنیت ارز دیجیتال Immunefi گفت: «آنها معمولاً مقادیر زیادی پول دارند. این مقدار پول و میزان ترافیکی که از طریق پل ها می گذرد، یک نقطه حمله بسیار فریبنده است.»

آسیب پذیری پل ها را می توان تا حدی در مهندسی نامرغوب ردیابی کرد.

برای مثال، هک پل Horizon هارمونی به دلیل تعداد محدودی از اعتبارسنجی‌هایی که برای تأیید تراکنش‌ها مورد نیاز بودند، امکان‌پذیر بود. هکرها فقط باید دو حساب از مجموع پنج حساب را به خطر بیاندازند تا رمزهای عبور لازم برای برداشت وجه را بدست آورند.

وضعیت مشابهی در مورد رونین رخ داد. هکرها فقط باید پنج نفر از نه اعتبارسنجی شبکه را متقاعد کنند که کلیدهای خصوصی خود را برای دسترسی به رمزارز قفل شده در سیستم تحویل دهند.

در مورد Nomad، دستکاری پل برای هکرها بسیار ساده تر بود. مهاجمان می‌توانستند هر مقداری را وارد سیستم کنند و سپس وجوه را برداشت کنند، حتی اگر دارایی‌های کافی در پل سپرده نشده باشد. طبق گفته Elliptic، آنها به هیچ مهارت برنامه نویسی نیاز نداشتند، و بهره برداری های آنها باعث شد کپی کاران به انباشته شدن، منجر به هشتمین سرقت رمزنگاری شده در تمام دوران ها شوند.

عشایر است ارائه به هکرها پاداشی تا 10٪ برای بازیابی وجوه کاربران و می گوید که از پیگیری قانونی علیه هر هکری که 90٪ دارایی های خود را بازگرداند خودداری می کند.

Nomad به CNBC گفت که "متعهد است که جامعه خود را در صورت یادگیری بیشتر به روز نگه دارد" و "از همه کسانی که به سرعت برای محافظت از منابع مالی اقدام کردند قدردانی می کند."

پل ها یک ابزار ضروری در صنعت مالی غیرمتمرکز (DeFi) هستند که جایگزین ارزهای دیجیتال برای سیستم بانکی است.

با DeFi، به جای اینکه بازیکنان متمرکز شات ها را صدا کنند، مبادلات پول توسط یک قطعه کد قابل برنامه ریزی به نام قرارداد هوشمند مدیریت می شود. این قرارداد بر روی یک بلاک چین عمومی نوشته شده است، مانند ethereum or سولانا، و زمانی اجرا می شود که شرایط خاصی برآورده شود و نیاز به یک واسطه مرکزی را نفی کند. 

هتمن گفت: «ما نمی توانیم به سادگی آن دارایی ها را جابه جا کنیم. "به همین دلیل است که ما به پل های بلاک چین نیاز داریم."

همانطور که فضای DeFi به تکامل خود ادامه می‌دهد، توسعه‌دهندگان باید زنجیره‌های بلوکی را با هم کار کنند تا اطمینان حاصل کنند که دارایی‌ها و داده‌ها می‌توانند به راحتی بین شبکه‌ها جریان داشته باشند.

آستون بونسن، یکی از بنیانگذاران QuikNode، که زیرساخت بلاک چین را برای توسعه دهندگان و شرکت ها فراهم می کند، گفت: "بدون آنها، دارایی ها روی زنجیره های بومی قفل می شوند."

اما آنها خطرناک هستند.

دیوید کارلایل، رئیس امور نظارتی در Elliptic، گفت: «آنها عملاً بدون حکومت هستند. آنها "بسیار آسیب پذیر در برابر هک یا استفاده در جنایاتی مانند پولشویی هستند."

بر اساس گزارش ها، مجرمان از سال 540 حداقل 2020 میلیون دلار سود غیرقانونی را از طریق پلی به نام RenBridge منتقل کرده اند. تحقیق جدید که Elliptic در اختیار CNBC قرار داد.

کارلایل گفت: «یک سوال مهم این است که آیا پل ها مشمول مقررات می شوند، زیرا آنها بسیار شبیه صرافی های رمزنگاری هستند که قبلاً تنظیم شده اند.

این هفته دفتر کنترل دارایی های خارجی وزارت خزانه داری آمریکا یا OFAC، تحریم تورنادو کش را اعلام کرد، یک میکسر محبوب ارزهای دیجیتال که آمریکایی ها را از استفاده از این سرویس منع می کند. میکسرها ابزارهایی هستند که توکن های کاربر را با مجموعه ای از وجوه دیگر ترکیب می کنند تا هویت افراد و نهادهای درگیر را پنهان کنند.

کارلایل گفت که آشکار شده است که «تنظیم‌کننده‌های ایالات متحده آماده هستند تا خدمات DeFi را که فعالیت غیرقانونی را تسهیل می‌کنند، دنبال کنند».

تماشا کردن: آدریان هتمن از Immunefi توضیح می دهد که چگونه هکرها 200 میلیون دلار سرقت کردند