Twijfels over interoperabiliteit rijzen nu Chainalysis zegt dat diefstallen uit cross-chain bridge hacks nu 69% van alle hacks uitmaken.
Onderzoek uitgevoerd door blockchain-dataplatform Chainalysis schatte dat er in 2022 tot nu toe $ 2 miljard verloren ging door cross-chain bridge hacks.
Chainalysis stelde in het rapport dat de kwestie nu “een significante bedreiging vormt voor het opbouwen van vertrouwen in blockchain-technologie.”
Bovendien zeiden de onderzoekers dat brughacks worden begunstigd door Noord-Koreaanse hackers, die naar schatting verantwoordelijk zijn voor de helft van de $ 2 miljard die tot nu toe is gestolen.
Het rapport komt vlak na de Nomad bridge hack, waarbij 191 miljoen dollar werd gestolen. Nomad verbindt de Ethereum, Avalanche, Evmos, Moonbeam, en Milkomeda blockchains.
Cross-chain bridges have multiple points of vulnerability
Cross-chain bridges verbinden verschillende blockchains, waardoor de overdracht van gegevens of tokens tussen anders incompatibele ketens mogelijk wordt. De technologie is onderdeel van een streven om het hele crypto-ecosysteem interoperabel te maken.
Bruggen maken het mogelijk om activa op een andere blockchain te gebruiken zonder off-chain te gaan om te handelen voor de vereiste token op een beurs. Typisch, werken zij door een activaconversieproces dat een slot-munt-brandmechanisme gebruikt.
Bruggen zijn echter vatbaar voor verschillende kwetsbaarheden, waaronder een single point of failure/centralisatie, lage liquiditeit omdat de gecentraliseerde entiteit een pool van activa moet aanhouden, technische kwetsbaarheden omdat het lock-mint-burn mechanisme wordt beheerst door slimme contracten, en censuur.
aanbevelingen voor de ketenanalyse
Volgens het Chainalysis-rapport hebben er dit jaar tot nu toe 13 afzonderlijke bridge-hacks plaatsgevonden, die 69% van alle gestolen fondsen vertegenwoordigen.
Onderzoekers brachten een uitsplitsing van andere hacks versus bridge hacks in kaart, waaruit geen waarneembaar patroon naar voren kwam. Voor Q3 2021 waren er geen bridge hacks. Maar in het eerste kwartaal van 2022 was er een piek in het aantal middelen dat via bridges werd gestolen; dit viel samen met een piek in het totale aantal gestolen middelen.
Bron: blog.chainalysis.com
Volgens het rapport van Chainalysis waren de beurzen vroeger het voornaamste doelwit van hackers. Maar door de toegenomen beveiliging van beurzen zijn hackers op zoek gegaan naar nieuwere, kwetsbaardere doelwitten om aan te vallen.
Om dit probleem tegen te gaan, riepen onderzoekers op tot rigoureuze audits van smart contract code en om bewezen contracten te gebruiken als een sjabloon voor ontwikkelaars om op voort te bouwen. Chainalysis adviseerde in het rapport ook over de “onvoorzichtigheid van de menselijke natuur”, en zei dat teams training nodig hebben om “geraffineerde social engineering tactieken” te herkennen.
Hoewel niet bij naam genoemd in het rapport, was de bovenstaande opmerking een verwijzing naar de Ronin bridge hack, waarbij Axie Infinity gebruikers $615 miljoen verloor – het platform heeft dit later terugbetaald.
Onlangs bleek dat de Ronin bridge hack was georkestreerd door Noord-Koreaanse hackers gericht op een senior ingenieur met een nep-baan. Het proces omvatte nepsollicitatiegesprekken met als hoogtepunt een baanaanbod dat via een besmet bestand werd verstuurd. Door het bestand te openen konden hackers de controle over verschillende netwerkknooppunten overnemen.
