I dubbi sull’interoperabilità sorgono quando Chainalysis afferma che i furti da cross-chain bridge hack rappresentano ora il 69% di tutti gli hack.
La ricerca condotta dalla piattaforma di dati blockchain Chainalysis ha stimato che nel 2022 sono stati persi 2 miliardi di dollari a causa di hacking di ponti cross-chain.
Nel rapporto Chainalysis afferma che il problema “rappresenta una minaccia significativa alla costruzione della fiducia nella tecnologia blockchain”.
Inoltre, i ricercatori hanno affermato che le violazioni dei ponti sono favorite dagli hacker nordcoreani, che si stima siano responsabili della metà dei 2 miliardi di dollari rubati finora.
Il rapporto giunge sulla scia del bridge hack di Nomad, in cui sono stati rubati 191 milioni di dollari. Nomad collega le blockchain Ethereum, Avalanche, Evmos, Moonbeam e Milkomeda.
I ponti tra catene hanno molteplici punti di vulnerabilità
I ponti a catena incrociata collegano diverse blockchain, consentendo il trasferimento di dati o token tra catene altrimenti incompatibili. La tecnologia fa parte di un’iniziativa volta a rendere interoperabile l’intero ecosistema delle criptovalute.
I bridge consentono di utilizzare beni su una blockchain diversa senza dover uscire dalla catena per acquistare il token necessario su una borsa. In genere, funzionano tramite un processo di conversione degli asset che utilizza un meccanismo di blocco-rottamazione.
Tuttavia, i bridge sono soggetti a diverse vulnerabilità, tra cui un singolo punto di guasto/centralizzazione, bassa liquidità poiché l’entità centralizzata deve mantenere un pool di asset, vulnerabilità tecniche poiché il meccanismo di lock-mint-burn è governato da contratti intelligenti e censura.
Raccomandazioni per la catena
Il rapporto di Chainalysis afferma che quest’anno si sono verificati 13 distinti hack di bridge, che rappresentano il 69% di tutti i fondi rubati.
I ricercatori hanno tracciato una ripartizione degli altri hack rispetto ai bridge hack che non mostra alcuno schema distinguibile. Prima del terzo trimestre del 2021, gli hacking ponte erano inesistenti. Ma nel 1° trimestre del 2022 si è registrato un picco di fondi rubati dai bridge, che ha coinciso con un picco di fondi totali rubati.
Fonte: blog.chainalysis.com
Chainalysis ha affermato nel rapporto che, in precedenza, le borse erano l’obiettivo principale degli hacker. Ma l’aumento della sicurezza delle borse ha costretto gli hacker a cercare nuovi obiettivi più vulnerabili da attaccare.
Per contrastare il problema, i ricercatori hanno chiesto verifiche rigorose del codice dei contratti intelligenti e l’utilizzo di contratti collaudati come modello su cui gli sviluppatori possano basarsi. Nel rapporto Chainalysis consiglia anche la “disattenzione della natura umana”, affermando che i team devono essere formati per individuare “sofisticate tattiche di ingegneria sociale”.
Sebbene non sia stato citato per nome nel rapporto, il commento di cui sopra si riferiva all’hack del ponte Ronin, in cui gli utenti di Axie Infinity hanno perso 615 milioni di dollari, che la piattaforma ha poi rimborsato.
Recentemente è emerso che l’hack del ponte Ronin è stato orchestrato da hacker nordcoreani che hanno preso di mira un ingegnere senior con un lavoro falso. Il processo prevedeva finti colloqui che culminavano con un’offerta di lavoro inviata tramite un file infetto. L’apertura del file ha permesso agli hacker di assumere il controllo di diversi nodi di rete.
