Ar Ionawr 7, 2022, cyd-sylfaenydd Ethereum Vitalik Buterin Rhybuddiodd ynghylch diogelwch pontydd traws-blockchain. Dadleuodd yn rhagwybodol na fyddai byth pontio asedau ar draws blockchains yn mwynhau'r un gwarantau ag aros o fewn un blockchain. Roedd yn gywir.
Nid yw trosiadwyedd asedau'n ddiogel rhwng cadwyni bloc yn cael ei warantu. I fod yn fanwl gywir, ni all unrhyw un “anfon” na “phontio” ased i blockchain arall. Yn lle hynny, caiff asedau eu hadneuo, eu cloi, neu eu llosgi ar un gadwyn; yna ei gredydu, ei ddatgloi, neu ei bathu ar yr ail gadwyn.
Yn waeth, ni all blockchains gael mynediad at wybodaeth oddi ar y gadwyn. Ni all unrhyw blockchain wirio'n frodorol bod unrhyw ased aml-blockchain wedi'i “bontio.” Ar y gorau, mae oraclau trydydd parti yn tystio i wirionedd gwybodaeth oddi ar y gadwyn ac yn dehongli'r data hwnnw ar gyfer defnydd ar gadwyn. Fodd bynnag, mae hyn yn cyflwyno'r haen gyntaf o ymddiriedaeth i'r broses bontio: ymddiriedaeth mewn oraclau data. Yr haen nesaf o ymddiriedaeth yw ceidwaid.
Yn nodweddiadol, mae pontio'n digwydd trwy adneuo un ased gyda cheidwad a derbyn fersiwn “lapiedig” o'r ased hwnnw gan y ceidwad ar yr ail blockchain. Rhaid i'r defnyddiwr ymddiried yn y ceidwad i gadw'r ased gwreiddiol yn ddiogel a rhyddhau'r ased wedi'i lapio.
Weithiau, gall y ceidwad hwn fod ar ffurf DAO neu gontract smart. Beth bynnag - boed yn DAO neu'n endid corfforaethol fel BitGo (ceidwad y byd mwyaf ased wedi'i lapio, bitcoin wedi'i lapio) — mae pontio yn cyflwyno sawl haen o ymddiriedaeth.
Yn barhaus, yr haen nesaf o ymddiriedaeth yw trosiadwyedd a chydraddoldeb pris. Yn syml, nid yw'n ddigon bod wedi derbyn ased pont. Rhaid i ddefnyddiwr hefyd barhau i ymddiried y bydd yn gallu pontio'r ased hwnnw yn ôl yn y dyfodol ar sail 1-i-1. Rhaid i un ased gwreiddiol fod yn gyfartal ag un ased wedi'i lapio. Mae hyn yn risg cydraddoldeb pris.
Ar y lleiaf, rhaid i'r ased sydd wedi'i bontio barhau i fod yn gyfartal â'r ased gwreiddiol. Felly, yn y modd hwn, mae'r defnyddiwr yn ymddiried yn y broses bontio nid yn unig ar hyn o bryd cyfnewid, ond hefyd cyhyd â'u bod yn defnyddio ased wedi'i lapio yn y dyfodol.
I grynhoi, mae holl risgiau diogelwch ased yn lluosi'n esbonyddol ar gyfer eu cymheiriaid sydd wedi'u pontio (wedi'u lapio).
Poeni nad yw Tether Limited yn adbrynu un USDT am $1? Pontio'r un USDT hwnnw i blockchain nad yw Tether Limited yn ei gefnogi ac mae eich risgiau wedi'u lluosi â gwarcheidwad (gwarcheidwaid), contractau smart, hylifedd, cydraddoldeb pris, ac yn bennaf oll, p'un a fydd y bont yn peidio â llosgi cyn bod angen i chi groesi yn ôl i diogelwch.
Mewn ffordd, mae pontydd cadwyn-flociau fel tyllau mwydod: maen nhw'n cludo deunydd ar draws y gofod, ond maen nhw'n ffurfio ac yn dinistrio'n ddigymell.
Mewn gwirionedd, Wormhole yw enw'r bont sydd wedi'i chyfalafu fwyaf yn y byd, sy'n cysylltu cadwyni bloc Ethereum a Solana. Yr oedd hacio —fel y mae llawer o bontydd. Isod mae rhestr.
Camfanteisio Multichain ar Ionawr 19, 2022
Ymosodwyr dwyn $3 miliwn mewn ecsbloetio ar bont traws-blockchain Multichain ar ddechrau'r flwyddyn. Cyhoeddodd Multichain negeseuon cychwynnol a achosodd i ddefnyddwyr wneud hynny cwestiwn a oedd eu harian yn ddiogel. Mae'n Rhybuddiodd defnyddwyr i dynnu'r tocynnau WETH, MATIC, AVAX, PERI, OMT, a WBNB yn ôl o gontractau smart yr effeithir arnynt ar ei lwyfan.
Multichain yn ddiweddarach Dywedodd dychwelodd un ymosodwr 259 ETH wedi'i ddwyn yn yr ymosodiad. Tennyn rhewi USDT ar gyfeiriadau sy'n gysylltiedig â'r camfanteisio.
Qubit exploit ar Ionawr 27, 2022
Cyllid Qubit gollwyd 206,809 BNB ($80 miliwn) mewn ecsbloetio o QBridge ar Ionawr 27, 2022. Adeiladodd y prosiect ei brotocol ar Binance Chain.
Trwy dwyll, fe wnaeth y camfanteisio 77,162 o qXETH, y gallai'r ymosodwyr eu prynu am docynnau BNB. Cynigiodd Qubit drafod gyda'r ymosodwr i adennill yr arian.
Camfanteisio ar Wormhole ar Chwefror 2, 2022
Fe wnaeth ymosodwyr bathu 120,000 o ETH wedi'i lapio yn dwyllodrus ar blockchain Solana gan ddefnyddio pont Wormhole ar Chwefror 2, 2022. Fe wnaethant greu cyfrif llofnod ffug i ddilysu eu trafodion.
Fe wnaeth ymchwilydd Paradigm wrthdroi'r ymosodiad a phenderfynu bod Wormhole wedi methu â gweithredu protocol dilysu mwy cadarn ar gyfer ei lofnodion gwarcheidwaid.
Camfanteisio ar Basbort Mesurydd Meter.io ar Chwefror 5, 2022
Pont Pasbort Mesurydd Meter.io gollwyd $4.4 miliwn mewn camfanteisio ar Chwefror 5, 2022. Targedodd y camfanteisio lwyfan contract smart Moonriver ar rwydwaith Kusama Polkadot. Fe wnaeth yr ymosodwyr ddwyn BNB a lapio ETH ac yna dympio'r BNB ar y gyfnewidfa ddatganoledig UniSwap.
Achosodd y camfanteisio hwn gwymp pris BNB a oedd yn caniatáu i unigolion eraill gipio BNB rhad a'i ddefnyddio fel cyfochrog ar gyfer benthyciadau ar lwyfannau fel Hundred Crisis. Achosodd y benthyciadau broblemau cyflenwad ar gyfer yr apiau benthyciad yr effeithiwyd arnynt.
Camfanteisio Ronin Bridge ar Fawrth 29, 2022
Ymosodwyr dwyn 173,600 ETH a 25.5 miliwn USDC (tua $600 miliwn) o bont Ronin ar Fawrth 29, 2022. Roedd y camfanteisio yn cynnwys cael mynediad at allweddi preifat nodau dilyswr. Ataliodd datblygwyr pont Ronin adneuon a thynnu arian yn ôl nes bod ymchwilwyr wedi cael cyfle i benderfynu beth ddigwyddodd.
Adeiladodd datblygwyr y gêm Axie Infinity Ethereum's Ronin sidechain i arbed ar ffioedd. Yn anffodus, fe wnaethant beryglu diogelwch.
Manteisio WonderHero ar Ebrill 7, 2022
Arwr Rhyfedd darganfod camfanteisio ar ei bont ar Ebrill 7, 2022, pan blymiodd gwerth ei docyn WND brodorol yn annisgwyl 50%. Collodd $300,000 mewn tocynnau WND yn yr ymosodiad.
Oedodd WonderHero ei wefan, gêm, pont, adneuon a thynnu arian yn ôl wrth ymchwilio. Ailddechreuodd y gêm, y farchnad, a'r system cynnyrch. Ers hynny, WonderHero bostio dadansoddiad yn cadarnhau bod ei bont Binance wedi'i beryglu.
Camfanteisio ar Bont Horizon gan Harmony One ar 23 Mehefin, 2022
Collodd Pont Horizon Harmony One $100 miliwn mewn camfanteisio ar 23 Mehefin, 2022. Ei dîm Dywedodd roedd yn gweithio gydag awdurdodau gorfodi'r gyfraith ac arbenigwyr fforensig i ymchwilio i'r camfanteisio. Derbyniodd y cyfeiriad a ddefnyddiwyd i dderbyn yr arian a ddygwyd “Horizon Bridge Eploiter” label ar Etherscan. Ar hyn o bryd mae gan Horizon Bridge Exploiter ychydig dros $93,000 mewn tocynnau.
Darllenwch fwy: Mae pontydd cadwyn-flociau yn torri o hyd wrth i gwmni cychwyn crypto Nomad hacio am $190M
Camfanteisio ar ChainSwap ar 10 Gorffennaf, 2022
Collodd ChainSwap 20 miliwn o docynnau GWYLLT mewn camfanteisio ar 10 Gorffennaf, 2022. Mae Wilder World yn defnyddio WILD fel ei docyn brodorol. Defnyddiwr Twitter ffug-enw a “dinesydd” Wilder World sylwi ecsbloetio ChainSwap ar 10 Gorffennaf, 2022. Roedd y camfanteisio hefyd yn effeithio ar Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank, ac Unifarm tocynnau.
Rhewodd ChainSwap ei bont Cadwyn Smart Ethereum-Binance wrth iddo ymchwilio.
Cyn y digwyddiad hwn, ChainSwap dioddef camfanteisio arall lle collodd $800,000 mewn tocynnau ar Orffennaf 2. Llwyddodd i adennill rhai o'r colledion hynny yn yr ymosodiad hwnnw.
Ecsbloetio Nomad ar 2 Awst, 2022
Ymosodwyr dwyn $190 miliwn mewn tocynnau trwy fanteisio ar fregusrwydd yng nghontract smart Nomad ar 2 Awst, 2022. Unwaith y daeth y dull a ddefnyddiwyd i fanteisio ar y contract smart yn gyhoeddus, fe wnaeth ymosodiad torfol ddraenio cryn dipyn o'r arian.
CISO Andressen Horowitz Awgrymodd y y gallai rhai ysbeilwyr fod yn ecsbloetwyr “het wen” gyda'r nod o gadw arian allan o ddwylo actorion ysgeler. Nomad Dywedodd roedd yn gweithio gyda chwmnïau gorfodi'r gyfraith a diogelwch preifat i ymchwilio a Diolchodd yr actorion het wen am gymryd yr awenau i ddiogelu arian.
Am newyddion mwy gwybodus, dilynwch ni ymlaen Twitter ac Google News neu gwrandewch ar ein podlediad ymchwiliol Wedi'i arloesi: Blockchain City.
Ffynhonnell: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/