С межсетевых крипто мостов украдено уже более 1 миллиарда долларов в 2022 году

Horizon Bridge от Harmony стал жертвой взлома на 100 миллионов долларов.

Перевод статьи “Over $1 Billion Stolen From Bridges So far in 2022…”

Harmony — это блокчейн Proof-of-Stake (PoS), который описывает себя как «открытый и быстрый» с «приложениями Ethereum с двухсекундной скоростью завершения транзакций и в 100 раз более низкими комиссиями». Для облегчения межсетевых транзакций Harmony создала Horizon — мост, который работает на Harmony, Ethereum и Binance Smart Chain. Согласно веб-сайту Harmony, мост полностью проверен. Однако, как подчеркивает Cointelegraph, опасения по поводу безопасности этого моста были высказаны ранее в этом году в ветке Twitter с подробным описанием уязвимостей конструкции моста.

So all in all, if two of the four multisig signers are compromised, we're going to see another 9 figure hack. Considering all that's been going on lately, it'd be interesting to hear some details from @harmonyprotocol on how these EOAs are secured.

— Ape Dev (@_apedev) April 1, 2022

24 июня Harmony обнаружил кражу с моста Horizon Bridge. Эта кража произошла в ходе 14 транзакций в Ethereum и Binance Smart Chain, в ходе которых хакер украл различные активы, включая ETH, BNB, USDT, USDC и Dai. На момент объявления Harmony оценила убытки в 100 миллионов долларов.

Информации о том, как хакеру удалось украсть эти средства, пока не поступало. Хотя с тех пор несколько пользователей Twitter предположили, что это могло быть связано с компрометацией двух из пяти мультиподписных адресов, что, возможно, указывает на компрометацию закрытого ключа. Из пяти других мостов, атакованных в этом году, только один был взломан из-за компрометации закрытого ключа. В марте северокорейская Lazarus Group скомпрометировала узлы валидации сети Ronin, что позволило им вывести средства из мультичейн моста Ronin. 

Harmony Protocol's Horizon bridge was hacked and $100 million were drained earlier today.

The bridge was essentially a 2 of 5 multisig. If any 2 addresses told it to transfer funds to someone, it did.

The hacker compromised 2 addresses and made them drain the money. 🧵👇 pic.twitter.com/hv1JWDy9WQ

— Mudit Gupta (@Mudit__Gupta) June 24, 2022

После кражи хакер использовал различные децентрализованные биржи (DEX) для обмена токенов на ETH — распространенный метод, используемый хакерами DeFi. В настоящее время 98 миллионов долларов США в ETH хранятся на адресе Ethereum хакера, а активы на 1,79 миллиона долларов хранятся на адресе хакера Binance Smart Chain.   

Примечательно, что хакер получил сообщение, которое, по-видимому, было отправлено от Harmony, с предложением вести переговоры о возврате средств.

В твите, опубликованном 24 июня, Harmony заявила, что «мы также уведомили биржи и остановили мост Horizon, чтобы предотвратить дальнейшие транзакции. Команда всецело занята расследованием».

Почему мосты уязвимы?

С начала 2022 года произошло пять других заметных атак на мосты, в том числе два из пяти крупнейших ограблений криптовалюты за все время. В январе хакеры воспользовались уязвимостью в Multichain, что позволило им в течение нескольких дней увести у пользователей 3 миллиона долларов. Всего несколько дней спустя уязвимость в мосте Qubit Finance была использована, и хакеры украли более 80 миллионов долларов. В феврале были атакованы еще два моста, в том числе Wormhole, где хакеры украли 325 миллионов долларов. Наконец, в марте с моста Ронин было украдено 540 миллионов долларов в результате атаки, которую с тех пор приписывают северокорейской группе Lazarus.

Из-за увеличения числа громких атак на мосты за последние несколько месяцев многие люди, включая Виталия Бутерина, обсудили основные проблемы безопасности. 

Мосты уязвимы для взлома по ряду причин. Во-первых, они поддерживают большие запасы ликвидности, а это означает, что они являются заманчивой мишенью для хакеров. Чтобы люди могли использовать мосты для перемещения своих средств, активы блокируются в одной цепочке блоков и разблокируются или чеканятся в другой. В результате эти сервисы содержат большие объемы криптоактивов.

Во-вторых, критика мостов фокусируется на отсутствии децентрализации. Для ускорения транзакций некоторым мостам требуется небольшое количество валидаторов или подписей для утверждения транзакций. Это недавно продемонстрировала атака на мост Ронин, в ходе которой пять из девяти валидаторов были скомпрометированы, что привело к потере средств. В данном случае четверо из этих валидаторов контролировались одним и тем же лицом.

Наконец, скорость инноваций в пространстве DeFi иногда приводит к отсутствию внимания к безопасности. Хотя многие децентрализованные приложения (DApps) проходят проверку безопасности после кражи, внедряя меры, включая аудит и вознаграждение за обнаружение ошибок, эти меры не всегда принимаются до атаки. В результате сервисы остаются уязвимыми для различных методов атак, особенно кода и экономических эксплойтов.