KEEP na Inaatake ang Blockchain Bridges. Narito Kung Paano Ito Pigilan

Ginagawang posible ng mga cross-chain bridge ang interoperability sa loob ng blockchain sphere. Binibigyang-daan nila ang mga protocol na makipag-usap sa ONE isa, magbahagi ng data at bumuo ng mga kapana-panabik na bagong kaso ng paggamit na tumutulong sa pagpapatakbo ng Web3 sa mga bagong hangganan. Ngunit tulad ng buwang ito Pinagsasamantalahan ng BNB Smart Chain nagpapaalala sa atin, mahina sila sa pag-atake.

Kung gagamitin natin ang potensyal ng kung ano ang inaalok ng mga tulay, kailangan nating Learn kung paano protektahan ang mga ito.

Ang mga tulay ay wastong nakakuha ng isang reputasyon bilang Web3's mahinang LINK pagkatapos ng sunud-sunod na pagsasamantala ngayong taon. Kung paanong mas gusto ng mga magnanakaw na i-target ang mga asset habang sila ay dinadala sa mga van (kumpara sa pagiging naka-lock sa mga bank vault na may mga sopistikadong sistema ng seguridad), napagtanto ng mga hacker na ang mga token sa transit ay parehong mahina.

Si Coby Moran ang nangungunang imbestigador sa Merkle Science, isang predictive na panganib sa Web3 at platform ng katalinuhan. Dati siyang nagsilbi bilang analyst para sa U.S. Federal Bureau of Investigation.

Alam din nila na malaking pondo ang tumatawid sa mga intersection na ito. Sa kabuuang asset na tinatantya sa higit sa $54 bilyon, ang desentralisadong Finance (DeFi) ay nagpapakita ng isang partikular na kaakit-akit na target. Bago pa man ang pag-atake ng BNB , ang mga Crypto bridge ay itinampok sa higit sa $1.6 bilyon ng $2 bilyon na ninakaw mula sa mga protocol ng DeFi noong 2022. Ang laki at pagiging regular ng mga pagsasamantalang ito ay nagpapakita kung bakit ang mga bumagsak na tulay ay nakakakuha ng katanyagan.

• Pebrero: Wormhole – $375 milyon
• Marso: Tulay ng Ronin – $624 milyon
• Agosto: Nomad Bridge – $190 milyon
• Setyembre: Wintermute – $160 milyon

Mula sa aking karanasan na humahantong sa mga analyst sa landas ng mga ninakaw na pondo (tulad ng sa kamakailang pagsasamantala sa Wintermute), malinaw na ang pag-iwas at pagtatanggol ay kung saan dapat ituon ng komunidad ng blockchain ang mga sama-samang pagsisikap nito.

Tingnan din ang: Ang pagtawag sa isang Hack na isang Exploit ay nagpapaliit ng Human Error | Opinyon

Binalaan ng Federal Bureau of Investigation ang mga mamumuhunan na sinasamantala ng mga cybercriminal ang "kumplikado ng cross-chain functionality." Ito ay tiyak na umaayon sa kasalukuyang mga salaysay na ang mga tulay ay hindi lamang mahina, ngunit mga kahinaan.

Ngunit may mga paraan upang maiwasan natin ang mga pagsasamantala. Bilang isang dating FBI analyst na may oras sa cybercrime task force sa Washington, D.C., masasabi kong ang mga pagsasamantala ay bihirang napakatalino o sopistikado (ang uri na maaari mong makita sa isang pelikula sa Hollywood). Sa halip, madalas silang nahuhulaang mga paglabag sa seguridad.

Ang pananatili sa mundo ng mga tulay, na karaniwang pinagsasamantalahan kasunod ng pagpapakilala ng mga code bug o mga leaked na cryptographic key, ay kadalasang makatwirang sopistikado ngunit mahulaan. Kumuha ng mga pagsasamantala tulad ng mga ito:

• Mga maling deposito: Bridgesmonitor para sa mga Events sa deposito sa ONE blockchain upang simulan ang paglipat sa isa pa. Kung ang isang masamang aktor ay makakagawa ng kaganapan sa pagdedeposito nang hindi gumagawa ng tunay na deposito, o nagdeposito na may walang halagang token, maaari silang mag-withdraw ng halaga mula sa tulay sa kabilang panig. TheQubit Finance pagsalakay noong Enero ay isang magandang halimbawa, nililinlang ang protocol sa pag-iisip na ang mga umaatake ay nagdeposito ng pera ngunit hindi sila nagdeposito.
• Mga kapintasan ng validator: Isinasagawa din ni Bridge ang pagpapatunay ng deposito bago payagan ang mga paglilipat. Maaaring subukan ng mga hacker na lumikha ng mga pekeng deposito na may kakayahang talunin ang prosesong ito. Nangyari ito sa Wormhole hack, kung saan ang isang depekto sa digital signature validation ay pinagsamantalahan. Sa teknikal, ito ay isang halimbawa ng isang pamilyar na pagsasamantala sa matalinong kontrata. Pero, as we’re learning, if it happens on a bridge then the bridge gets blamed.
• Pagkuha ng validator: Ang sitwasyong ito ay umaasa sa pagkuha sa isang tiyak na bilang ng mga validator na orihinal na na-set up para bumoto ng oo o hindi sa isang Cryptocurrency transfer. Sa pamamagitan ng pagkontrol sa karamihan ng mga boto, maaaring aprubahan ng umaatake ang anumang mga paglilipat. Sa Ronin Network hack, halimbawa, lima sa siyam na validator ng tulay ang nakompromiso sa ganitong paraan.

Tulad ng iminumungkahi ng mga halimbawang ito, ang pagtutuon sa mga pagkukulang ng mga tulay habang ang hindi pagsagot sa mga hakbang sa seguridad sa antas ng lupa ay hindi ang daan pasulong. Ang mga tulay ay hindi ang problema; ang Technology ay, pagkatapos ng lahat, agnostiko. Ang pinakakaraniwang kadahilanan sa mga pagsasamantala ay ang pagkakamali ng Human . Ang mga pagsisiyasat pagkatapos ng pag-hack at mga kasunod na pag-aayos ay kadalasang nagsisilbing i-highlight ang dati nating ugali na isara ang pintuan ng kamalig pagkatapos lamang mag-bolt ang isang kabayo.

Mga problema ng Human

Kapag nagsasagawa ng mga pagsisiyasat, madalas naming pinag-uusapan ang mga bagay-bagay sa mga miyembro ng koponan ng isang proyekto – dahil, madalas, sila ang target ng mga pagsasamantala. Ang mga hacker ay bihirang gumawa ng anumang bagay na ganap na bago sa bawat pagsasamantala, ngunit sa halip ay umaasa sa isang serye ng mga lumang trick.

Ang social engineering, o pag-target sa mga tao upang magkaroon ng access sa mga privileged account, ay isang klasikong halimbawa. Ang mga tao ay maaaring maging kaibigan at hayaan ang kanilang bantay down o badgered na may sapat na mga katanungan na sila ay magbunyag ng isang Secret.

Sumakay sa Ronin Bridge, isang Ethereum sidechain na binuo para sa Axie Infinity na nagbigay-daan sa mga user na maglipat ng mga asset sa Ethereum mainnet. Lima sa siyam na validator node ng tulay ang nakompromiso sa isang phishing attack. Pagkatapos, inanunsyo ni Ronin ang mga planong palakihin ang bilang na ito, na nag-tweet na "ang ugat ng aming pag-atake ay ang maliit na validator set na naging dahilan upang mas madaling ikompromiso ang network."

Doon, nagsasara ang mga pintuan ng kamalig.

Nakikita rin namin ang mga limitasyon ng Human na nakakaapekto sa kakayahang lumikha ng code na angkop para sa layunin. Isang patuloy na kakulangan ng developer nangangahulugan na kulang lang ang mga eksperto na may kakayahang magtayo at magsuri ng mga tulay. Kung titingnan muli ang insidente ng Wormhole, nakita namin na ito ay pinagtibay ng isang coding glitch na nagpapahintulot sa mga hacker na mag-set up ng isang mapanlinlang na set ng lagda na nagpapahintulot sa mga transaksyon na mag-mint ether (ETH).

Kung ito ay natuklasan nang mas maaga, ang paraan ng pag-atake na ito ay maaaring sarado. Hindi sinasabi na ang Wormhole ay may mga payat na numero ng contributor. (Para sa kabaligtaran dito, pakitandaan na ang Ethereum, kasama ang maraming malalaking koponan ng mga developer, ay nakaiwas sa isang malaking hack.)

Tingnan din ang: Ligtas ba ang Blockchain Bridges? Bakit Target ng Mga Hack ang Bridges

Ang mga tulay ay malalambot na target – mga gitnang punto kung saan iniimbak ang malalaking halaga nang walang matatag na proteksyon – at patuloy na aatakehin. Ngunit dapat nating tandaan, hindi lamang ang mga tulay ang mahina; Ang mga blockchain sa magkabilang panig ay inilalagay sa panganib ng mga koneksyon na hindi nababantayan. Panahon na para makapag-aral at ma-audit.

Edukasyon:

• Isaalang-alang ang pagkuha ng isang sertipikadong klase sa seguridad ng blockchain.
• KEEP napapanahon sa mga kasalukuyang pangyayari sa espasyo.
• Kapag ang isang pagsasamantala ay tumama sa balita, gawin ang iyong sariling pananaliksik. Ano ang Learn mo na maaaring makinabang sa iyong sariling proyekto?

Pag-audit:

• Tiyakin na ang bagong bridge code ay na-audit bago ilabas at pagkatapos ay masuri pagkatapos.
• Dagdagan ang mga numero ng validator.
• Regular na suriin para sa mga maling Events sa deposito.
• Mag-set up ng staff task force para tumuon sa seguridad
• Isaalang-alang ang paggamit ng mga eksperto upang magsagawa ng pag-audit. Itanong kung ginagamit nila ang pinakabagong cross-chain tracking tool.
• Ang pag-aalok ng mga bug bounty ay makakatulong sa iyo na masakop ang mas maraming lupa.
• Tiyaking patuloy na sinusubaybayan ang mga address ng matalinong kontrata.

Ang bottom line ay ang Crypto sa kabuuan ay nagkakaroon ng reputasyon at pinansiyal na hit sa tuwing WAVES ang pagsasamantala. Ang sagot ay upang Learn mula sa mga pagkakamaling itinuturo sa atin ng mga hacker nang paulit-ulit, na nagiging mas maagap sa ating mga pagsisikap na pigilan ang mga paulit-ulit na pagganap.

Ang mga tulay ay mahahalagang bahagi ng imprastraktura ng Web3 na hindi natin magagawa nang wala. At kailangan natin silang ipagtanggol nang mas epektibo.