По оценкам исследования, проведенного блокчейн-платформой данных Chainalysis, в 2022 году от взломов межцепочечных мостов было потеряно $2 млрд.

Chainalysis заявил в отчете, что эта проблема теперь "представляет собой значительную угрозу для построения доверия к технологии блокчейн".

Более того, по словам исследователей, взломы мостов предпочитают северокорейские хакеры, на долю которых, по оценкам, приходится половина из похищенных на сегодняшний день 2 миллиардов долларов.

Доклад появился на волне взлома моста Nomad, в ходе которого был похищен 191 миллион долларов. Nomad связывает блокчейны Ethereum, Avalanche, Evmos, Moonbeam и Milkomeda.

Межцепочечные мосты имеют множество точек уязвимости

Межцепочечные мосты соединяют различные блокчейны, позволяя передавать данные или токены между несовместимыми цепочками. Эта технология является частью стремления сделать всю криптовалютную экосистему совместимой.

Мосты позволяют использовать активы на другом блокчейне, не выходя за пределы цепи, чтобы обменять нужный токен на бирже. Как правило, они работают по принципу конвертации активов с использованием механизма lock-mint-burn.

Однако мосты подвержены ряду уязвимостей, включая единую точку отказа/централизацию, низкую ликвидность, поскольку централизованная организация должна хранить пул активов, технические уязвимости, поскольку механизм блокировки-минтай-огня регулируется смарт-контрактами, и цензуру.

Рекомендации по цепному анализу

В отчете Chainalysis говорится, что на сегодняшний день в этом году произошло 13 отдельных взломов мостов, что составляет 69% от всех украденных средств.

Исследователи составили график соотношения других взломов и взломов мостов, который не выявил никакой заметной закономерности. До 3 квартала 2021 года взломов мостов не было. Но в 1 квартале 2022 года наблюдался пик кражи средств с мостов; это совпало с пиком общего объема похищенных средств.

Источник: blog.chainalysis.com
Источник: blog.chainalysis.com

В отчете Chainalysis говорится, что ранее биржи были главной целью хакеров. Однако повышение уровня безопасности бирж заставило хакеров искать новые, более уязвимые цели для атак.

Для решения этой проблемы исследователи призвали проводить строгий аудит кода смарт-контрактов и использовать проверенные контракты в качестве шаблона для разработчиков. В отчете Chainalysis также говорится о "беспечности человеческой природы", а также о том, что команды должны пройти обучение, чтобы распознавать "сложные тактики социальной инженерии".

Хотя в отчете не упоминается имя, вышеупомянутый комментарий относится к взлому моста Ronin, в результате которого пользователи Axie Infinity потеряли 615 миллионов долларов - позже платформа возместила эту сумму.

Недавно выяснилось, что взлом моста Ronin был организован северокорейскими хакерами, нацелившимися на старшего инженера с фиктивной работой. Процесс включал в себя поддельные собеседования, кульминацией которых стало предложение работы, отправленное через зараженный файл. Открытие файла позволило хакерам взять под контроль несколько сетевых узлов.

Самуэль Ван
Аналитик в CryptoSlate

Самуэль является убежденным сторонником индивидуальной автономии и личной свободы. Он относительный новичок в мире криптовалют, впервые купив биткоин в начале 2017 года, но стремится наверстать упущенное время.

Источник