Блокчейн-мости KEEP зазнавати нападів. Ось як цьому запобігти

Міжланцюгові мости роблять можливою сумісність у сфері блокчейну. Вони дозволяють протоколам спілкуватися ONE з одним, обмінюватися даними та створювати захоплюючі нові варіанти використання, які допомагають просувати Web3 на нові межі. Але як цього місяця Експлойт BNB Smart Chain нагадує нам, що вони вразливі для нападу.

Якщо ми хочемо використовувати потенціал мостів, нам потрібно Навчання їх захищати.

Bridges справедливо заслужили репутацію Web3 слабка LINK після низки подвигів цього року. Подібно до того, як грабіжники вважають за краще атакувати активи, коли їх перевозять у фургонах (на відміну від того, щоб бути замкненими в банківських сховищах зі складними системами безпеки), хакери зрозуміли, що токени під час транспортування так само вразливі.

Кобі Моран є провідним дослідником Merkle Science, платформи прогнозування ризиків і аналізу Web3. Раніше він працював аналітиком Федерального бюро розслідувань США.

Вони також знають, що значні кошти перетинають ці перехрестя. Із загальними активами, оціненими у понад 54 мільярди доларів, децентралізоване Фінанси (DeFi) є особливо привабливою метою. Ще до атаки BNB Крипто становили понад 1,6 мільярда доларів із 2 мільярдів доларів, викрадених із протоколів DeFi у 2022 році. Масштаби та регулярність цих експлойтів демонструють, чому зруйновані мости набувають сумної слави.

• Лютий: Червоточина – 375 мільйонів доларів
• березень: Міст Ронін – 624 мільйони доларів
• серпень: Кочовий міст – 190 мільйонів доларів
• Вересень: Wintermute – 160 мільйонів доларів

З мого досвіду ведення аналітиків на слідах вкрадених коштів (як у останній експлойт Wintermute), очевидно, що блокчейн-спільнота має зосередити свої спільні зусилля на запобіганні та захисті.

Дивіться також: Називаючи хак експлойтом, ви мінімізуєте Human помилку | Погляди

Федеральне бюро розслідувань попередило інвесторів, що кіберзлочинці користуються «складністю крос-чейн функціональності». Це, безумовно, узгоджується з сучасними наративами про те, що мости не просто вразливі, а вразливі.

Але є способи, якими ми можемо запобігти експлойтам. Як колишній аналітик ФБР, який працював у групі боротьби з кіберзлочинністю у Вашингтоні, округ Колумбія, я можу сказати, що експлойти рідко бувають диявольськи розумними чи витонченими (тип, який ви можете побачити в голлівудських фільмах). Швидше, це часто передбачувані порушення безпеки.

Дотримання світу мостів, які зазвичай використовують після появи помилок у коді або витоку криптографічних ключів, часто досить складні, але передбачувані. Використовуйте такі експлойти:

• Фальшиві депозити: Bridgesмонітор Заходи депозиту в ONE блокчейні для ініціювання переказу в інший. Якщо поганий гравець може створити подію депозиту, не вносячи справжнього депозиту, або робить депозит за допомогою безцінного токена, він може зняти вартість з мосту з іншого боку. TheQubit Фінанси рейд у січні є хорошим прикладом, коли протокол обдурив думку, що зловмисники внесли гроші, хоча вони цього не зробили.
• Недоліки валідатора: Bridges також перевіряє депозит перед тим, як дозволити перекази. Хакери можуть спробувати створити фальшиві депозити, здатні перешкодити цьому процесу. Це сталося під час злому Wormhole, де була використана помилка в перевірці цифрового підпису. Технічно це був приклад знайомого використання смарт-контракту. Але, як ми вчимося, якщо це відбувається на мосту, то звинувачують міст.
• Передача валідатора: Цей сценарій ґрунтується на захопленні певної кількості валідаторів, спочатку налаштованих для голосування «так» чи «ні» щодо переказу Криптовалюта . Контролюючи більшість голосів, зловмисник може схвалити будь-які перекази. Наприклад, під час злому Ronin Network п’ять із дев’яти валідаторів мосту були скомпрометовані таким чином.

Як показують ці приклади, зосередження уваги на недоліках мостів, не враховуючи заходи безпеки на рівні землі, не є шляхом уперед. Мости самі по собі не є проблемою; Технології , зрештою, агностик. Найпоширенішим фактором експлойтів є Human помилка. Розслідування після злому та подальші виправлення часто підкреслюють нашу давню тенденцію закривати двері сараю лише після того, як кінь кинеться.

Human проблеми

Проводячи розслідування, ми часто обговорюємо речі з членами команди проекту, оскільки часто вони стають об’єктами експлойтів. Хакери рідко роблять щось абсолютно нове з кожним експлойтом, натомість покладаються на низку давніх прийомів.

Класичним прикладом є соціальна інженерія, або націлювання на людей, щоб отримати доступ до привілейованих облікових записів. З людьми можна подружитися і підвести їхню пильність або поставити достатньо питань, щоб вони розкрили Secret.

Візьміть Ronin Bridge, сайдчейн Ethereum , створений для Axie Infinity , який дозволив користувачам передавати активи в основну мережу Ethereum . П’ять із дев’яти вузлів валідатора мосту були зламані під час фішингової атаки. Пізніше Ронін оголосив про плани збільшити це число, написавши в Твіттері, що «основною причиною нашої атаки був маленький набір валідаторів, який полегшив скомпрометацію мережі».

Ось ці двері сараю зачиняються.

Ми також бачимо, що Human обмеження впливають на здатність створювати код, який відповідає меті. Триває дефіцит розробників означає, що просто не вистачає експертів, здатних будувати та аналізувати мости. Знову дивлячись на інцидент з Wormhole, ми бачимо, що його спричинив збій у кодуванні, який дозволив хакерам налаштувати шахрайський набір підписів, що дозволяє здійснювати транзакції для карбування ефіру (ETH).

Якби це було виявлено раніше, цей шлях атаки можна було б закрити. Само собою зрозуміло, що у Wormhole була мінімальна кількість учасників. (Натомість зауважте, що Ethereum з його численними великими командами розробників наразі уникав серйозного злому.)

Дивіться також: Чи безпечні Blockchain Bridges? Чому мости є мішенями хакерів

Мости є м’якими цілями – центральні точки, де зберігаються великі суми без надійного захисту – і продовжуватимуть зазнавати нападів. Але ми повинні пам’ятати, що вразливі не лише мости; блокчейни з обох сторін піддаються ризику через погано захищені з’єднання. Настав час отримати освіту та перевірку.

Освіта:

• Подумайте про проходження сертифікованого курсу з безпеки блокчейну.
• KEEP в курсі поточних подій у просторі.
• Коли експлойт потрапляє в новини, проведіть власне дослідження. Що ви можете Навчання , що може принести користь вашому власному проекту?

аудит:

• Переконайтеся, що новий мостовий код перевірено перед випуском, а потім протестовано.
• Збільште кількість валідаторів.
• Регулярно перевіряйте наявність помилкових Заходи.
• Створіть спеціальну групу, яка зосередиться на безпеці
• Розгляньте можливість залучення експертів для проведення аудиту. Запитайте, чи використовують вони найновіші інструменти крос-чейн відстеження.
• Пропозиція винагород за помилок допоможе вам охопити більше.
• Забезпечте постійний моніторинг адрес смарт-контрактів.

Суть полягає в тому, що Крипто в цілому зазнає репутаційного та фінансового удару кожного разу, коли експлойт викликає WAVES. Відповідь полягає в тому, щоб Навчання на помилках, яких хакери знову і знову навчають нас, стаючи більш активними в наших зусиллях, щоб запобігти повторним діям.

Мости — це життєво важливі елементи інфраструктури Web3, без яких ми зараз не можемо обійтися. І нам потрібно ефективніше їх захищати.