Въпросите за оперативната съвместимост възникват, тъй като според Chainalysis кражбите от хакерски атаки на кръстосани вериги вече представляват 69 % от всички хакерски атаки.
Проучване, проведено от платформата за блокчейн данни Chainalysis, изчислява, че досега през 2022 г. от хакове на cross-chain мостове са били загубени 2 млрд. долара.
Chainalysis посочва в доклада, че този проблем сега „представлява значителна заплаха за изграждането на доверие в блокчейн технологията“.
Освен това изследователите заявиха, че хакването на мостове е предпочитано от севернокорейски хакери, на които се смята, че се дължи половината от откраднатите до момента 2 млрд. долара.
Докладът идва по петите на мостовия хак Nomad, при който бяха откраднати 191 млн. долара. Nomad свързва блоковите вериги Ethereum, Avalanche, Evmos, Moonbeam и Milkomeda.
Мостовете между веригите имат множество точки на уязвимост
Мостовете за кръстосани вериги свързват различни блокчейн вериги, като позволяват прехвърлянето на данни или токени между иначе несъвместими вериги. Технологията е част от стремежа да се направи оперативно съвместима цялата криптоекосистема.
Мостовете правят възможно използването на активи в различна блокчейн, без да се налага да се излиза извън веригата, за да се търгува за необходимия токен на борса. Обикновено те функционират чрез процес на преобразуване на активи, като се използва механизъм за заключване-изгаряне.
Въпреки това мостовете са податливи на няколко уязвимости, включително единична точка на отказ/централизация, ниска ликвидност, тъй като централизираният субект трябва да поддържа пул от активи, технически уязвимости, тъй като механизмът lock-mint-burn се управлява от интелигентни договори, и цензура.
Препоръки за верижен анализ
В доклада на Chainalysis се казва, че до момента през тази година са извършени 13 отделни хаквания на мостове, което представлява 69% от всички откраднати средства.
Изследователите са направили диаграма на разбивката на други хакерски атаки спрямо хакерските атаки на мостове, която не показва никаква забележима закономерност. Преди третото тримесечие на 2021 г. мостови хакове не са съществували. Но през първото тримесечие на 2022 г. се наблюдава пик на средствата, откраднати от мостове; това съвпада с пика на общите откраднати средства.
Източник: blog.chainalysis.com
Chainalysis заяви в доклада, че преди това борсите са били основната цел на хакерите. Но повишената сигурност на борсите е принудила хакерите да търсят по-нови, по-уязвими цели за атака.
За да се противодейства на проблема, изследователите призоваха за строги одити на кода на интелигентните договори и за използване на доказани договори като шаблон, върху който разработчиците да надграждат. Chainalysis също така съветва в доклада за „безгрижието на човешката природа“, като казва, че екипите се нуждаят от обучение, за да разпознават „сложни тактики на социално инженерство“.
Въпреки че не е споменат поименно в доклада, горният коментар е във връзка с хакването на моста Ronin, при което потребителите на Axie Infinity загубиха 615 млн. долара – по-късно платформата възстанови тази сума.
Наскоро стана ясно, че хакването на моста Ronin е било организирано от севернокорейски хакери, насочени към старши инженер с фалшива работа. Процесът е включвал фалшиви интервюта, завършващи с предложение за работа, изпратено чрез заразен файл. Отварянето на файла е позволило на хакерите да поемат контрола върху няколко мрежови възела.
