Em 7 de janeiro de 2022, o cofundador da Ethereum Vitalik Buterin advertido sobre a segurança de pontes cross-blockchain. Ele argumentou prescientemente que a ponte de ativos entre blockchains nunca teria as mesmas garantias de permanecer dentro de um blockchain. Ele estava certo.
A conversibilidade segura de ativos entre blockchains não é garantida. Para ser preciso, ninguém pode realmente “enviar” nem “ponte” um ativo para outro blockchain. Em vez disso, os ativos são depositados, bloqueados ou queimados em uma cadeia; então creditado, desbloqueado ou cunhado na segunda corrente.
Pior, blockchains não podem acessar informações fora da cadeia. Nenhum blockchain pode verificar nativamente se qualquer ativo multi-blockchain é “ponte”. Na melhor das hipóteses, oráculos de terceiros atestam a veracidade das informações fora da cadeia e interpretam esses dados para uso na cadeia. No entanto, isso introduz a primeira camada de confiança no processo de ponte: confiança nos oráculos de dados. A próxima camada de confiança são os guardiões.
Normalmente, a ponte ocorre depositando um ativo com um custodiante e recebendo uma versão “embrulhada” desse ativo do custodiante na segunda blockchain. O usuário deve confiar no custodiante para manter em segurança o ativo original e liberar o ativo envolvido.
Às vezes, esse custodiante pode assumir a forma de um DAO ou contrato inteligente. Em qualquer caso - seja um DAO ou uma entidade corporativa como BitGo (o guardião do mundo maior ativo embrulhado, bitcoin embrulhado) — a ponte introduz várias camadas de confiança.
Continuando, a próxima camada de confiança é a conversibilidade e a paridade de preços. Simplificando, não basta ter recebido um ativo-ponte. Além disso, um usuário deve continuar confiando que poderá conectar esse ativo de volta no futuro na base de 1 por 1. Um ativo original deve ser igual a um ativo encapsulado. Este é o risco de paridade de preços.
No mínimo, o ativo em ponte deve manter a paridade com o ativo original. Dessa forma, o usuário confia no processo de ponte não apenas no momento da troca, mas também enquanto estiver usando um ativo encapsulado no futuro.
Em resumo, todos os riscos de segurança de um ativo se multiplicam exponencialmente para suas contrapartes em ponte (embrulhadas).
Preocupado com o fato de a Tether Limited não resgatar um USDT por US$ 1? Conecte o mesmo USDT a uma blockchain não suportada pela Tether Limited e seus riscos se multiplicaram por custodiantes, contratos inteligentes, liquidez, paridade de preços e, acima de tudo, se a ponte não queimará antes que você precise voltar para segurança.
De certa forma, as pontes cross-blockchain são como buracos de minhoca: elas transportam material pelo espaço, mas se formam e aniquilam espontaneamente.
Na verdade, Wormhole é o nome da ponte mais bem capitalizada do mundo, ligando as blockchains de Ethereum e Solana. Era hackeado — como muitas pontes. Abaixo está uma lista.
Exploração multicadeia em 19 de janeiro de 2022
Atacantes roubou US$ 3 milhões em uma exploração da ponte multichain cross-blockchain no início do ano. Multichain emitiu mensagens iniciais que levaram os usuários a questão se seus fundos estavam seguros. Isto advertido usuários retirem os tokens WETH, MATIC, AVAX, PERI, OMT e WBNB dos contratos inteligentes afetados em sua plataforma.
Multicadeia mais tarde dito um atacante devolveu 259 ETH roubados no ataque. Corda congelou USDT em endereços vinculados ao exploit.
Exploração do Qubit em 27 de janeiro de 2022
Qubit Finanças perdido 206,809 BNB (US$ 80 milhões) em uma exploração do QBridge em 27 de janeiro de 2022. O projeto construiu seu protocolo na Binance Chain.
A exploração cunhou fraudulentamente 77,162 qXETH, que os invasores poderiam resgatar por tokens BNB. Qubit se ofereceu para negociar com o atacante para recuperar os fundos.
Exploração de buraco de minhoca em 2 de fevereiro de 2022
Os invasores cunharam fraudulentamente 120,000 ETH encapsulados na blockchain de Solana usando a ponte Wormhole em 2 de fevereiro de 2022. Eles criaram uma conta de assinatura falsificada para validar suas transações.
Um pesquisador da Paradigm fez engenharia reversa do ataque e determinou que o Wormhole não conseguiu implementar um protocolo de validação mais robusto para suas assinaturas de guardiões.
Exploração do Meter Passport do Meter.io em 5 de fevereiro de 2022
Ponte Meter Passport do Meter.io perdido US$ 4.4 milhões em uma exploração em 5 de fevereiro de 2022. A exploração teve como alvo a plataforma de contrato inteligente Moonriver na rede Kusama da Polkadot. Os invasores roubaram o BNB e envolveram o ETH e depois jogaram o BNB na exchange descentralizada UniSwap.
Essa exploração causou uma queda no preço do BNB que permitiu que outros indivíduos pegassem BNB barato e o usassem como garantia para empréstimos em plataformas como Hundred Crisis. Os empréstimos causaram problemas de fornecimento para os aplicativos de empréstimo afetados.
Exploração do Ronin Bridge em 29 de março de 2022
Atacantes roubou 173,600 ETH e 25.5 milhões de USDC (cerca de US$ 600 milhões) da ponte Ronin em 29 de março de 2022. A exploração envolveu obter acesso às chaves privadas dos nós validadores. Os desenvolvedores da ponte Ronin interromperam depósitos e saques até que os investigadores tivessem a chance de determinar o que aconteceu.
Os desenvolvedores construíram o sidechain Ronin da Ethereum do jogo Axie Infinity para economizar em taxas. Infelizmente, eles comprometeram a segurança.
Exploração do WonderHero em 7 de abril de 2022
Herói Maravilha descoberto uma exploração de sua ponte em 7 de abril de 2022, quando o valor de seu token WND nativo caiu inesperadamente em 50%. Perdeu US$ 300,000 em tokens WND no ataque.
A WonderHero pausou seu site, jogo, ponte, depósitos e saques enquanto investigava. Ele reiniciou o jogo, o mercado e o sistema de rendimento. Desde então, WonderHero publicado uma análise confirmando que sua ponte Binance foi comprometida.
Exploração do Horizon Bridge do Harmony One em 23 de junho de 2022
A Horizon Bridge da Harmony One perdeu US$ 100 milhões em uma exploração em 23 de junho de 2022. Sua equipe dito estava trabalhando com autoridades policiais e especialistas forenses para investigar a exploração. O endereço usado para receber os fundos roubados recebeu um “Explorador de pontes do horizonte” no Etherscan. O Horizon Bridge Exploiter atualmente detém pouco mais de US$ 93,000 em tokens.
Exploração do ChainSwap em 10 de julho de 2022
ChainSwap perdeu 20 milhões de tokens WILD em uma exploração em 10 de julho de 2022. Wilder World usa WILD como seu token nativo. Um usuário pseudônimo do Twitter e “cidadão” do Wilder World notado o exploit ChainSwap em 10 de julho de 2022. O exploit também afetou os tokens Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank e Unifarm.
A ChainSwap congelou sua ponte Ethereum-Binance Smart Chain enquanto investigava.
Antes deste incidente, ChainSwap sofreu outro exploit em que perdeu US$ 800,000 em tokens em 2 de julho. Ele conseguiu recuperar algumas dessas perdas nesse ataque.
Exploração do Nomad em 2 de agosto de 2022
Atacantes roubou US$ 190 milhões em tokens explorando uma vulnerabilidade no contrato inteligente da Nomad em 2 de agosto de 2022. Assim que o método usado para explorar o contrato inteligente se tornou público, um ataque em massa drenou uma quantidade considerável de dinheiro.
CISO de Andressen Horowitz sugerido que alguns saqueadores podem ter sido exploradores de “chapéu branco” com o objetivo de manter o dinheiro fora das mãos de atores nefastos. Nômade dito estava trabalhando com empresas policiais e de segurança privada para investigar e agradeceu os atores de chapéu branco por tomarem a iniciativa de proteger os fundos.
Para notícias mais informadas, siga-nos em Twitter e Google News ou ouça nosso podcast investigativo Inovado: Blockchain City.
Fonte: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/