Vznikají otázky ohledně interoperability, protože podle společnosti Chainalysis tvoří krádeže způsobené hackováním cross-chain bridge 69 % všech hacků.
Průzkum provedený blockchainovou datovou platformou Chainalysis odhaduje, že v roce 2022 byly z hacků cross-chain bridge dosud ztraceny 2 miliardy dolarů.
Chainalysis ve zprávě uvedla, že tento problém nyní „představuje významnou hrozbu pro budování důvěry v technologii blockchain“.
Výzkumníci navíc uvedli, že hacky do mostů upřednostňují severokorejští hackeři, kteří podle odhadů mají na svědomí polovinu z dosud odcizených 2 miliard dolarů.
Zpráva přichází v návaznosti na hackerský útok na most Nomad, při kterém bylo odcizeno 191 milionů dolarů. Nomad propojuje blockchainy Ethereum, Avalanche, Evmos, Moonbeam a Milkomeda.
Mosty napříč řetězci mají více bodů zranitelnosti
Cross-chain bridges propojují různé blockchainy a umožňují přenos dat nebo tokenů mezi jinak nekompatibilními řetězci. Tato technologie je součástí snahy o interoperabilitu celého kryptografického ekosystému.
Mosty umožňují používat aktiva v jiném blockchainu, aniž by bylo nutné odejít mimo řetězec a vyměnit požadovaný token na burze. Obvykle fungují na základě procesu konverze aktiv pomocí mechanismu lock-mint-burn.
Mosty jsou však náchylné k několika zranitelnostem, včetně jediného bodu selhání/centralizace, nízké likvidity, protože centralizovaný subjekt musí udržovat pool aktiv, technické zranitelnosti, protože mechanismus lock-mint-burn se řídí chytrými kontrakty, a cenzury.
Doporučení pro chainalýzu
Ve zprávě Chainalysis se uvádí, že v letošním roce došlo k 13 samostatným hackerským útokům na bridge, což představuje 69 % všech ukradených prostředků.
Výzkumníci zmapovali rozdělení ostatních hackerských útoků oproti bridge hackerským útokům, které neprokázalo žádný zřetelný vzorec. Před třetím čtvrtletím roku 2021 se mostní hacky nevyskytovaly. V 1. čtvrtletí roku 2022 však došlo k vrcholu objemu prostředků ukradených z mostů; ten se shodoval s vrcholem celkového objemu ukradených prostředků.
Zdroj: blog.chainalysis.com
Chainalysis ve zprávě uvedla, že dříve byly hlavním cílem hackerů burzy. Zvýšené zabezpečení burz však hackery donutilo hledat nové, zranitelnější cíle útoku.
Výzkumníci vyzvali k tomu, aby se tomuto problému čelilo důslednými audity kódu chytrých smluv a aby se osvědčené smlouvy používaly jako šablona, na níž by vývojáři mohli stavět. Chainalysis ve zprávě také radila ohledně „neopatrnosti lidské povahy“ a uvedla, že týmy potřebují školení, aby dokázaly rozpoznat „sofistikované taktiky sociálního inženýrství“.
Ačkoli ve zprávě není zmíněna jmenovitě, výše uvedený komentář se týkal hackerského útoku na most Ronin, při němž uživatelé Axie Infinity přišli o 615 milionů dolarů – ty jim platforma později vrátila.
Nedávno vyšlo najevo, že hack Ronin bridge zorganizovali severokorejští hackeři, kteří se zaměřili na staršího inženýra s falešným zaměstnáním. Proces zahrnoval falešné pohovory, které vyvrcholily nabídkou práce zaslanou prostřednictvím infikovaného souboru. Otevření souboru umožnilo hackerům převzít kontrolu nad několika síťovými uzly.
