Вопросы о совместимости возникают по мере того, как Chainalysis сообщает, что кражи от взломов межцепочечных мостов теперь составляют 69% всех взломов.
Исследование, проведенное блокчейн-платформой данных Chainalysis, показало, что в 2022 году от взломов межцепочечных мостов было потеряно $2 млрд.
Chainalysis заявила в отчете, что эта проблема сейчас «представляет собой значительную угрозу для укрепления доверия к технологии блокчейн».
Более того, по словам исследователей, взломы мостов предпочитают северокорейские хакеры, на долю которых, по оценкам, приходится половина из похищенных на сегодняшний день $2 млрд.
Доклад появился на волне взлома моста Nomad, в результате которого был похищен 191 миллион долларов. Nomad связывает блокчейны Ethereum, Avalanche, Evmos, Moonbeam и Milkomeda.
Кросс-чейн мосты имеют множество точек уязвимости
Межцепочечные мосты соединяют различные блокчейны, позволяя передавать данные или токены между несовместимыми цепочками. Эта технология является частью стремления сделать всю криптовалютную экосистему совместимой.
Мосты позволяют использовать активы на другой блокчейн, не выходя из цепи, чтобы обменять нужный токен на бирже. Как правило, они работают по принципу конвертации активов с использованием механизма lock-mint-burn.
Однако мосты подвержены ряду уязвимостей, включая единую точку отказа/централизацию, низкую ликвидность, поскольку централизованная организация должна хранить пул активов, технические уязвимости, поскольку механизм lock-mint-burn регулируется смарт-контрактами, и цензуру.
Рекомендации по цепному анализу
В отчете Chainalysis говорится, что на сегодняшний день в этом году произошло 13 отдельных взломов мостов, что составляет 69% от всех украденных средств.
Исследователи составили график соотношения других взломов и взломов мостов, который не выявил никакой заметной закономерности. До 3 квартала 2021 года взломов мостов не было. Но в 1 квартале 2022 года наблюдался пик средств, похищенных с мостов; это совпало с пиком общего объема похищенных средств.
Источник: blog.chainalysis.com
Chainalysis отметил в отчете, что раньше биржи были главной целью хакеров. Но повышение уровня безопасности бирж заставило хакеров искать новые, более уязвимые цели для атак.
Для борьбы с этой проблемой исследователи призвали проводить строгий аудит кода смарт-контрактов и использовать проверенные контракты в качестве шаблона для разработчиков. В отчете Chainalysis также говорится о «беспечности человеческой природы», а также о том, что команды должны пройти обучение, чтобы распознавать «сложные тактики социальной инженерии».
Хотя в отчете не упоминается имя, вышеприведенный комментарий относится к взлому моста Ronin, в результате которого пользователи Axie Infinity потеряли 615 миллионов долларов — позже платформа возместила эту сумму.
Недавно выяснилось, что взлом моста Ronin был организован северокорейскими хакерами, нацелившимися на старшего инженера с фиктивной работой. Процесс включал в себя поддельные собеседования, в результате которых было получено предложение о работе, отправленное через зараженный файл. Открытие файла позволило хакерам взять под контроль несколько сетевых узлов.
