Mae hacwyr wedi dwyn $1.4 biliwn eleni gan ddefnyddio pontydd crypto

Mae buddsoddwyr crypto wedi cael eu taro'n galed eleni gan haciau a sgamiau. Un rheswm yw bod seiberdroseddwyr wedi dod o hyd i lwybr arbennig o ddefnyddiol i'w cyrraedd: pontydd.

Mae pontydd Blockchain, sy'n aml yn cysylltu rhwydweithiau i alluogi cyfnewid tocynnau cyflym, yn dod yn fwy poblogaidd fel ffordd i ddefnyddwyr crypto drafod. Ond wrth eu defnyddio, mae selogion crypto yn osgoi cyfnewidfa ganolog ac yn defnyddio system sydd heb ei diogelu i raddau helaeth.

Mae cyfanswm o tua $1.4 biliwn wedi’i golli oherwydd toriadau ar y pontydd trawsgadwyn hyn ers dechrau’r flwyddyn, yn ôl ffigurau gan gwmni dadansoddeg blockchain Chainalysis. Y digwyddiad unigol mwyaf oedd y record o $615 miliwn wedi'i gipio o Ronin, pont sy'n cefnogi'r gêm docynnau anffyddadwy boblogaidd Axie Infinity, sy'n caniatáu i ddefnyddwyr ennill arian wrth iddynt chwarae.

Yr oedd hefyd y $320 miliwn wedi'i ddwyn o Wormhole, pont crypto gyda chefnogaeth cwmni masnachu amledd uchel Wall Street, Jump Trading. Ym mis Mehefin, dioddefodd pont Harmony Horizon ymosodiad $100 miliwn. A'r wythnos diwethaf, atafaelwyd bron i $200 miliwn gan hacwyr mewn toriad yn targedu Nomad.

“Mae pontydd Blockchain wedi dod yn ffrwyth crog isel ar gyfer seiberdroseddwyr, gyda gwerth biliynau o ddoleri o asedau crypto wedi’u cloi ynddynt,” meddai Tom Robinson, cyd-sylfaenydd a phrif wyddonydd cwmni dadansoddeg blockchain Elliptic, mewn cyfweliad. “Mae hacwyr wedi torri’r pontydd hyn mewn amrywiaeth o ffyrdd, sy’n awgrymu nad yw lefel eu diogelwch wedi cadw i fyny â gwerth yr asedau sydd ganddyn nhw.”

Mae gorchestion y bont yn digwydd ar gyfradd drawiadol, o ystyried ei fod yn ffenomen mor newydd. Yn ôl data Chainalysis, mae'r swm a ddygwyd mewn heistiaid pontydd yn cyfrif am 69% o'r arian a ddwynwyd mewn haciau sy'n gysylltiedig â crypto hyd yn hyn yn 2022.

Mae pont yn ddarn o feddalwedd sy'n caniatáu i rywun anfon tocynnau allan o un rhwydwaith blockchain a'u derbyn ar gadwyn ar wahân. Blockchains yw'r systemau cyfriflyfr dosbarthedig sy'n sail i amrywiol arian cyfred digidol.

Wrth gyfnewid tocyn o un gadwyn i gadwyn arall — fel wrth anfon rhai ether o ethereum i'r rhwydwaith solana - mae buddsoddwr yn adneuo'r tocynnau i gontract smart, darn o god ar y blockchain sy'n galluogi cytundebau i weithredu'n awtomatig heb ymyrraeth ddynol.

Yna mae'r crypto hwnnw'n cael ei “mindio” ar blockchain newydd ar ffurf tocyn wedi'i lapio fel y'i gelwir, sy'n cynrychioli hawliad ar y darnau arian ether gwreiddiol. Yna gellir masnachu'r tocyn ar rwydwaith newydd. Gall hynny fod yn ddefnyddiol i fuddsoddwyr sy'n defnyddio ethereum, sydd wedi dod yn enwog am bigau sydyn mewn ffioedd ac amseroedd aros hirach pan fydd y rhwydwaith yn brysur.

“Maen nhw fel arfer yn dal symiau aruthrol o arian,” meddai Adrian Hetman, arweinydd technoleg yn y cwmni diogelwch crypto Immunefi. “Mae’r symiau hynny o arian, a faint o draffig sy’n mynd trwy bontydd, yn bwynt ymosod deniadol iawn.”

Gellir olrhain pa mor agored i niwed yw pontydd yn rhannol i beirianneg flêr.

Roedd y darnia ar bont Horizon Harmony, er enghraifft, yn bosibl oherwydd y nifer gyfyngedig o ddilyswyr yr oedd eu hangen ar gyfer cymeradwyo trafodion. Dim ond dau allan o bum cyfrif yr oedd angen i hacwyr eu cyfaddawdu i gael y cyfrineiriau angenrheidiol ar gyfer tynnu arian allan.

Digwyddodd sefyllfa debyg gyda Ronin. Dim ond pump allan o naw dilysydd ar y rhwydwaith yr oedd angen i hacwyr eu hargyhoeddi i drosglwyddo eu bysellau preifat i gael mynediad at crypto sydd wedi'i gloi y tu mewn i'r system.

Yn achos Nomad, roedd y bont yn llawer symlach i hacwyr ei thrin. Roedd ymosodwyr yn gallu cofnodi unrhyw werth i'r system ac yna tynnu arian yn ôl, hyd yn oed os nad oedd digon o asedau wedi'u hadneuo yn y bont. Nid oedd angen unrhyw sgiliau rhaglennu arnynt, ac arweiniodd eu campau at gopïau i bentyrru, gan arwain at yr wythfed lladrad crypto mwyaf erioed, yn ôl Elliptic.

Mae Nomad yn cynnig hacwyr swm o hyd at 10% i adalw arian defnyddwyr a dywed y bydd yn ymatal rhag cymryd camau cyfreithiol yn erbyn unrhyw hacwyr sy'n dychwelyd 90% o'r asedau a gymerodd.

Dywedodd Nomad wrth CNBC ei fod “wedi ymrwymo i roi’r wybodaeth ddiweddaraf i’w chymuned wrth iddi ddysgu mwy” ac “yn gwerthfawrogi pawb a weithredodd yn gyflym i amddiffyn arian.”

Mae pontydd yn arf hanfodol yn y diwydiant cyllid datganoledig (DeFi), sef dewis arall crypto i'r system fancio.

Gyda DeFi, yn lle chwaraewyr canolog yn galw'r ergydion, mae'r cyfnewid arian yn cael ei reoli gan ddarn o god rhaglenadwy o'r enw contract smart. Mae'r contract hwn wedi'i ysgrifennu ar blockchain cyhoeddus, megis ethereum or solariwm, ac mae'n gweithredu pan fodlonir amodau penodol, gan negyddu'r angen am gyfryngwr canolog. 

“Ni allwn symud yr asedau hynny yn syml,” meddai Hetman. “Dyna pam mae angen pontydd cadwyni blockchain.”

Wrth i ofod DeFi barhau i esblygu, bydd angen i ddatblygwyr wneud cadwyni bloc yn rhyngweithredol i sicrhau y gall asedau a data lifo'n esmwyth rhwng rhwydweithiau.

“Hebddynt, mae asedau wedi’u cloi ar gadwyni brodorol,” meddai Auston Bunsen, cyd-sylfaenydd QuikNode, sy’n darparu seilwaith blockchain i ddatblygwyr a chwmnïau.

Ond maen nhw'n beryglus.

“Maen nhw i bob pwrpas heb eu llywodraethu,” meddai David Carlisle, pennaeth materion rheoleiddio yn Elliptic. Maen nhw’n “agored iawn i haciau, neu i gael eu defnyddio mewn troseddau fel gwyngalchu arian.”

Mae troseddwyr wedi trosglwyddo gwerth o leiaf $540 miliwn o enillion annoeth trwy bont o’r enw RenBridge ers 2020, yn ôl ymchwil newydd a ddarparwyd gan Elliptic i CNBC.

“Un cwestiwn mawr yw a fydd pontydd yn dod yn destun rheoleiddio, gan eu bod yn gweithredu’n debyg iawn i gyfnewidfeydd crypto, sydd eisoes yn cael eu rheoleiddio,” meddai Carlisle.

Yr wythnos hon Swyddfa Rheoli Asedau Tramor Adran Trysorlys yr UD, neu OFAC, cyhoeddi sancsiynau yn erbyn Tornado Cash, cymysgydd cryptocurrency poblogaidd, sy'n gwahardd Americanwyr rhag defnyddio'r gwasanaeth. Mae cymysgwyr yn offer sy'n cyfuno tocynnau defnyddiwr â chronfa o gronfeydd eraill i guddio hunaniaeth yr unigolion a'r endidau dan sylw.

Dywedodd Carlisle ei fod yn dod yn amlwg bod “rheoleiddwyr UDA yn barod i fynd ar ôl gwasanaethau DeFi sy’n hwyluso gweithgaredd anghyfreithlon.”

GWYLIO: Mae Adrian Hetman o Immunefi yn esbonio sut mae hacwyr wedi dwyn $200 miliwn