Нажмите "Enter", чтобы перейти к контенту

С межсетевых крипто мостов украдено уже более 1 миллиарда долларов в 2022 году

Horizon Bridge от Harmony стал жертвой взлома на 100 миллионов долларов.

Перевод статьи «Over $1 Billion Stolen From Bridges So far in 2022…»

Harmony — это блокчейн Proof-of-Stake (PoS), который описывает себя как «открытый и быстрый» с «приложениями Ethereum с двухсекундной скоростью завершения транзакций и в 100 раз более низкими комиссиями». Для облегчения межсетевых транзакций Harmony создала Horizon — мост, который работает на Harmony, Ethereum и Binance Smart Chain. Согласно веб-сайту Harmony, мост полностью проверен. Однако, как подчеркивает Cointelegraph, опасения по поводу безопасности этого моста были высказаны ранее в этом году в ветке Twitter с подробным описанием уязвимостей конструкции моста.

Объем украденных средств с крипто бриджей за первые три месяца 2022 года
Объем украденных средств с крипто бриджей за первые три месяца 2022 года

24 июня Harmony обнаружил кражу с моста Horizon Bridge. Эта кража произошла в ходе 14 транзакций в Ethereum и Binance Smart Chain, в ходе которых хакер украл различные активы, включая ETH, BNB, USDT, USDC и Dai. На момент объявления Harmony оценила убытки в 100 миллионов долларов.

Информации о том, как хакеру удалось украсть эти средства, пока не поступало. Хотя с тех пор несколько пользователей Twitter предположили, что это могло быть связано с компрометацией двух из пяти мультиподписных адресов, что, возможно, указывает на компрометацию закрытого ключа. Из пяти других мостов, атакованных в этом году, только один был взломан из-за компрометации закрытого ключа. В марте северокорейская Lazarus Group скомпрометировала узлы валидации сети Ronin, что позволило им вывести средства из мультичейн моста Ronin. 

После кражи хакер использовал различные децентрализованные биржи (DEX) для обмена токенов на ETH — распространенный метод, используемый хакерами DeFi. В настоящее время 98 миллионов долларов США в ETH хранятся на адресе Ethereum хакера, а активы на 1,79 миллиона долларов хранятся на адресе хакера Binance Smart Chain.   

Примечательно, что хакер получил сообщение, которое, по-видимому, было отправлено от Harmony, с предложением вести переговоры о возврате средств.

В твите, опубликованном 24 июня, Harmony заявила, что «мы также уведомили биржи и остановили мост Horizon, чтобы предотвратить дальнейшие транзакции. Команда всецело занята расследованием».

Почему мосты уязвимы?

С начала 2022 года произошло пять других заметных атак на мосты, в том числе два из пяти крупнейших ограблений криптовалюты за все время. В январе хакеры воспользовались уязвимостью в Multichain, что позволило им в течение нескольких дней увести у пользователей 3 миллиона долларов. Всего несколько дней спустя уязвимость в мосте Qubit Finance была использована, и хакеры украли более 80 миллионов долларов. В феврале были атакованы еще два моста, в том числе Wormhole, где хакеры украли 325 миллионов долларов. Наконец, в марте с моста Ронин было украдено 540 миллионов долларов в результате атаки, которую с тех пор приписывают северокорейской группе Lazarus.

Из-за увеличения числа громких атак на мосты за последние несколько месяцев многие люди, включая Виталия Бутерина, обсудили основные проблемы безопасности. 

Мосты уязвимы для взлома по ряду причин. Во-первых, они поддерживают большие запасы ликвидности, а это означает, что они являются заманчивой мишенью для хакеров. Чтобы люди могли использовать мосты для перемещения своих средств, активы блокируются в одной цепочке блоков и разблокируются или чеканятся в другой. В результате эти сервисы содержат большие объемы криптоактивов.

Во-вторых, критика мостов фокусируется на отсутствии децентрализации. Для ускорения транзакций некоторым мостам требуется небольшое количество валидаторов или подписей для утверждения транзакций. Это недавно продемонстрировала атака на мост Ронин, в ходе которой пять из девяти валидаторов были скомпрометированы, что привело к потере средств. В данном случае четверо из этих валидаторов контролировались одним и тем же лицом.

Наконец, скорость инноваций в пространстве DeFi иногда приводит к отсутствию внимания к безопасности. Хотя многие децентрализованные приложения (DApps) проходят проверку безопасности после кражи, внедряя меры, включая аудит и вознаграждение за обнаружение ошибок, эти меры не всегда принимаются до атаки. В результате сервисы остаются уязвимыми для различных методов атак, особенно кода и экономических эксплойтов.