У гэтым годзе хакеры скралі 1.4 мільярда долараў з дапамогай крыптамастаў

У гэтым годзе крыптаінвестары моцна пацярпелі ад узломаў і махлярства. Адной з прычын з'яўляецца тое, што кіберзлачынцы знайшлі асабліва карысны спосаб дабрацца да іх: масты.

Блокчэйн-масты, якія злучаюць сеткі для хуткай замены токенаў, набіраюць папулярнасць як спосаб здзяйснення транзакцый карыстальнікамі крыпта. Але выкарыстоўваючы іх, крыпта-энтузіясты абыходзяць цэнтралізаваны абмен і выкарыстоўваюць сістэму, якая ў асноўным неабароненая.

Згодна з дадзенымі кампаніі Chainalysis, якая займаецца аналітыкай блокчейна, з пачатку года ў агульнай складанасці каля 1.4 мільярда долараў было страчана з-за ўзломаў гэтых міжланцужных мастоў. Самай буйной асобнай падзеяй стала рэкордныя 615 мільёнаў долараў выкрадзены з Ronin, брыдж, які падтрымлівае папулярную гульню з незаменнымі токенамі Axie Infinity, якая дазваляе карыстальнікам зарабляць грошы падчас гульні.

Быў таксама 320 мільёнаў долараў скрадзеныя ў Wormhole, крыпта-мост, які падтрымліваецца кампаніяй высокачашчыннага гандлю з Уол-стрыт Jump Trading. У чэрвені мост Horizon ад Harmony пацярпеў ад нападу на 100 мільёнаў долараў. А на мінулым тыдні, амаль 200 мільёнаў даляраў былі захопленыя хакерамі у парушэнні, нацэленым на Nomad.

«Блокчэйн-масты сталі плёнам для кібер-злачынцаў, у іх зачыненыя крыпта-актывы на мільярды долараў», — сказаў у інтэрв'ю Том Робінсан, сузаснавальнік і галоўны навуковы супрацоўнік фірмы Elliptic, якая займаецца аналітыкай блокчейнаў. «Гэтыя масты былі парушаныя хакерамі рознымі спосабамі, што сведчыць аб тым, што ўзровень іх бяспекі не паспявае за коштам актываў, якія яны трымаюць».

Эксплуатацыі мастоў адбываюцца з ашаламляльнай хуткасцю, улічваючы, што гэта такая новая з'ява. Згодна з дадзенымі Chainalysis, сума, выкрадзеная ў ходзе крадзяжоў мастоў, складае 69% сродкаў, скрадзеных у выніку ўзломаў, звязаных з крыптаваннем, у 2022 годзе.

Мост - гэта частка праграмнага забеспячэння, якая дазваляе камусьці адпраўляць токены з адной сеткі блокчейн і атрымліваць іх па асобнай ланцугу. Блокчейны - гэта сістэмы размеркаванай кнігі, якія ляжаць у аснове розных крыптавалют.

Пры замене маркера з адной ланцужкі на іншую - як пры адпраўцы эфір ад Ethereum да сеткі Solana — інвестар уносіць токены ў смарт-кантракт, фрагмент кода ў блокчейне, які дазваляе аўтаматычна выконваць пагадненні без умяшання чалавека.

Затым гэтая крыпта «чаканіцца» на новым блокчейне ў выглядзе так званага загорнутага токена, які ўяўляе прэтэнзію на арыгінальныя манеты эфіру. Затым токен можна гандляваць у новай сетцы. Гэта можа быць карысна для інвестараў, якія выкарыстоўваюць Ethereum, які стаў сумна вядомы раптоўнымі скокамі камісій і больш працяглым часам чакання, калі сетка занятая.

«Звычайна яны трымаюць велізарныя сумы грошай», — сказаў Адрыян Хетман, тэхнічны кіраўнік фірмы па бяспецы крыпта Imunefi. «Гэтыя сумы грошай і тое, колькі трафіку праходзіць праз масты, з'яўляюцца вельмі прывабнай кропкай нападу».

Уразлівасць мастоў часткова звязана з неакуратнай тэхнікай.

Напрыклад, узлом Harmony's Horizon Bridge стаў магчымым з-за абмежаванай колькасці валідатараў, неабходных для зацвярджэння транзакцый. Хакерам трэба было ўзламаць толькі два з пяці акаўнтаў, каб атрымаць паролі, неабходныя для зняцця сродкаў.

Аналагічная сітуацыя адбылася і з Роніным. Хакерам трэба было толькі пераканаць пяць з дзевяці валідатараў у сетцы перадаць свае прыватныя ключы, каб атрымаць доступ да крыпты, заблакіраванай у сістэме.

У выпадку Nomad хакерам было значна прасцей маніпуляваць мостам. Зламыснікі маглі ўвесці ў сістэму любую каштоўнасць, а затым вывесці сродкі, нават калі ў брыдж не было дастаткова актываў. Па дадзеных Elliptic, ім не спатрэбіліся навыкі праграмавання, і іх подзвігі прывялі да таго, што пераймальнікі наваліліся, што прывяло да восьмага па велічыні крадзяжу крыпты за ўсе часы.

Качаўнік ёсць прапанова хакерам прэмію да 10% за вяртанне сродкаў карыстальнікаў і заяўляе, што ўстрымаецца ад судовых іскаў супраць любых хакераў, якія вернуць 90% актываў, якія яны забралі.

Nomad сказаў CNBC, што «імкнецца інфармаваць сваю супольнасць па меры таго, як яна даведаецца больш» і «ўдзячны ўсім тым, хто хутка дзейнічаў, каб абараніць сродкі».

Масты з'яўляюцца важным інструментам у індустрыі дэцэнтралізаванага фінансавання (DeFi), якая з'яўляецца альтэрнатывай крыпта банкаўскай сістэме.

У DeFi замест цэнтралізаваных гульцоў, якія вырашаюць задачы, абмен грашыма кіруецца праграмаваным кодам, які называецца смарт-кантрактам. Гэты кантракт напісаны на агульнадаступным блокчейне, напрыклад Эфириума or саляна, і ён выконваецца пры выкананні пэўных умоў, адмаўляючы патрэбу ў цэнтральным пасярэдніку. 

«Мы не можам проста перамясціць гэтыя актывы», - сказаў Гетман. «Вось чаму нам патрэбны блокчейн-масты».

Паколькі прастора DeFi працягвае развівацца, распрацоўшчыкам трэба будзе зрабіць блокчейны ўзаемасумяшчальнымі, каб гарантаваць, што актывы і даныя могуць бесперашкодна перацякаць паміж сеткамі.

«Без іх актывы заблакіраваны на ўласных ланцужках», - сказаў Остан Банзен, сузаснавальнік QuikNode, які забяспечвае інфраструктуру блокчэйна для распрацоўшчыкаў і кампаній.

Але яны рызыкоўныя.

"Яны практычна не кіруюцца", - сказаў Дэвід Карлайл, кіраўнік аддзела рэгулявання ў Elliptic. Яны «вельмі ўразлівыя да ўзломаў або выкарыстання ў такіх злачынствах, як адмыванне грошай».

З 540 года злачынцы перавялі незаконна атрыманых даходаў на суму не менш за 2020 мільёнаў долараў праз мост пад назвай RenBridge. новае даследаванне што Elliptic перадаў CNBC.

«Адно з галоўных пытанняў заключаецца ў тым, ці будуць масты падвяргацца рэгуляванню, паколькі яны дзейнічаюць вельмі падобна на крыптабіржы, якія ўжо рэгулююцца», — сказаў Карлайл.

На гэтым тыдні Упраўленне па кантролі за замежнымі актывамі Міністэрства фінансаў ЗША, або OFAC, абвясціў санкцыі супраць Tornado Cash, папулярны міксер крыптавалют, які забараняе амерыканцам карыстацца паслугай. Змяшальнікі - гэта інструменты, якія спалучаюць токены карыстальніка з пулам іншых сродкаў, каб схаваць асобу задзейнічаных асоб і арганізацый.

Карлайл сказаў, што становіцца відавочным, што «рэгулятары ЗША гатовыя пераследваць паслугі DeFi, якія садзейнічаюць незаконнай дзейнасці».

ЧАСЫ: Адрыян Гетман з Immunefi тлумачыць, як хакеры скралі 200 мільёнаў долараў