More

    Cum să devii milionar: exploatarea vulnerabilităților de tip ”cross-chain bridge”

    Agresiunile cibernetice de tip ”cross-chain bridge” îndreptate împotriva platformelor de schimb a monedelor virtuale au devenit un eveniment comun în ultima perioadă.

    Punțile ”cross-chain” sunt concepute pentru a rezolva problema interoperabilității între blockchain-urile diferite și reprezintă un protocol care permite unui utilizator să transfere active digitale dintr-un blockchain în altul.

    De exemplu, Fire este un protocol de tip ”cross-chain” care permite utilizatorilor să mute criptomonede între diferite blockchain-uri bazate pe contracte inteligente (smart contracts), cum ar fi Elrond și HECO (Huobi Ecochain).

    Contractele inteligente sunt aplicații / programe stocate în blockchain care pot automatiza un flux de lucru și rulează atunci când sunt îndeplinite anumite condiții prestabilite. De obicei, acestea sunt utilizate pentru a automatiza executarea unui acord, astfel încât toți participanții să fie imediat siguri de rezultat, fără implicarea unui intermediar și într-un timp scurt.

    Punțile ”cross-chain” sunt o țintă atractivă, deoarece acestea dispun de un punct central de stocare a fondurilor care are rolul de a garanta activele transmise către blockchain-ul receptor. Indiferent de modul în care sunt stocate aceste fonduri – blocate într-un contract inteligent sau la un custode centralizat – punctul de stocare devine o țintă.

    Cu toate acestea, din cauza faptului că nu există o singură soluție universal valabilă a acestui tip de protocol, proiectarea eficientă a bridge-urilor este o provocare tehnică nerezolvată. Modelele variate se pot transforma în vectori de atac noi care pot fi exploatați de actori malițioși.

    Dovadă stau o serie de agresiuni cibernetice care începând cu 2022 au afectat mai multe platforme de schimb a criptomonedelor, fiind furate monede virtuale în valoare de peste 1 miliard de dolari (USD).

    Binance

    În data de 07.10.2022, o vulnerabilitate a bridge-ului ”cross-chain” nativ din cadrul Binance, cunoscut ca ”BSC Token Hub”, a condus la retregerea neautorizată a 2 milioane de monede virtuale BNB (Binance Coin) în valoare totală de 568 milioane USD. Monede BNB în valoare de 110 milioane USD nu au putut fi recuperate.

    Nomad

    În august 2022, protocolul ”cross-chain” Nomad a fost ținta unui atac cibernetic, după ce persoane rău intenționate au exploatat o vulnerabilitate cauzată de o actualizare a contractelor proiectului. Nomad permite utilizatorului să trimită și să primească token-uri între Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) și lanțurile de blocuri Milkomeda C1. Urmare a acestei agresiuni cibernetice au fost retrase active digitale în valoare de 190 de milioane USD.

    Harmony

    În data de 23.06.2022, a avut loc o agresiune asupra bridge-ului Horizon Ethereum, dezvoltat de Harmony, care a presupus realizarea unor tranzacții suspecte în valoare de aproximativ 100 de milioane USD în monedă virtuală. Conform reprezentanților companiei, agresiunea a avut loc pe fondul compromiterii cheilor private de criptare, ulterior fiind semnate o serie de tranzacții frauduloase.

    Axie Infinity

    La fel ca și în cazul Horizon Ethereum, la sfârșitul lunii martie 2022, a fost identificată o breșă de securitate în cadrul bridge-ului ”cross-chain” Ronin, care a condus la furtul a aproximativ 625 milioane dolari în monedă virtuală (173.600 Ethereum și 25,5 milioane USD Coin).

    Specialiștii Chainalisys consideră că un prim pas important pentru a elimina / limita cauzele unor astfel de agresiuni cibernetice ar fi auditarea extrem de riguroasă a codului sursă a protocoalelor, iar cele mai puternice și mai sigure contracte inteligente să fie utilizate ca șabloane pe care dezvoltatorii să le îmbunătățească.

    De asemenea, entitățile care oferă servicii în domeniul criptomonedelor ar trebui să investească în măsuri de securitate și formare pentru angajații acestora să fie la curent cu tehnicile, tacticile și procedurile utilizate de grupările sponsorizate statal și cele de criminalitate informatică.

    Ultimele articole

    Articole similare