В этом году хакеры украли 1,4 миллиарда долларов с помощью криптомостов

В этом году хакеры украли 1,4 миллиарда долларов с помощью криптомостов

Майнинг второй по ценности криптовалюты в мире в Evobits IT SRL Инженер осматривает графические процессоры AMD (GPU) Sapphire Technology Ltd. на криптоферме Evobits в Клуж-Напока, Румыния, в среду, 22 января 2021 г. Миры Вторая по стоимости криптовалюта, Ethereum, в этом году выросла на 75%, опередив своего более крупного конкурента Биткойн. Фотограф: Акос Стиллер / Bloomberg через Getty Images

Фотограф: Акос Стиллер / Bloomberg через Getty Images

В этом году криптоинвесторы сильно пострадали от взломов и мошенничества. Одна из причин заключается в том, что киберпреступники нашли особенно удобный способ добраться до них: мосты.

Блокчейн-мосты, которые слабо соединяют сети, чтобы обеспечить быструю замену токенов, набирают популярность как способ транзакций для криптопользователей. Но, используя их, криптоэнтузиасты обходят централизованную биржу и используют практически незащищенную систему.

По данным аналитической компании Chainalysis, с начала года в результате взломов этих межсетевых мостов было потеряно около 1,4 миллиарда долларов. Самым крупным отдельным событием стал рекордный улов в размере 615 миллионов долларов, выхваченный у Ronin, моста, поддерживающего популярную игру с невзаимозаменяемыми токенами Axie Infinity, которая позволяет пользователям зарабатывать деньги во время игры.

Также были украдены 320 миллионов долларов из Wormhole, криптомоста, поддерживаемого фирмой Jump Trading с Уолл-стрит, занимающейся высокочастотным трейдингом. В июне мост Harmony’s Horizon подвергся нападению стоимостью 100 миллионов долларов. А на прошлой неделе хакеры захватили почти 200 миллионов долларов в результате взлома, нацеленного на Nomad.

«Блокчейн-мосты стали легкой добычей для киберпреступников, в них заперты криптоактивы на миллиарды долларов», — сказал в интервью Том Робинсон, соучредитель и главный научный сотрудник аналитической компании Elliptic. «Эти мосты были взломаны хакерами различными способами, что позволяет предположить, что их уровень безопасности не поспевает за стоимостью активов, которыми они владеют».

Подвиги на мостах происходят с поразительной скоростью, учитывая, что это такое новое явление. Согласно данным Chainalysis, сумма, украденная в ходе ограблений моста, составляет 69% средств, украденных в результате взломов, связанных с криптовалютой, в 2022 году.

Как работают мосты

Мост — это часть программного обеспечения, которое позволяет кому-то отправлять токены из одной сети блокчейна и получать их в отдельной цепочке. Блокчейны — это системы распределенного реестра, лежащие в основе различных криптовалют.

При обмене токена из одной цепочки в другую — например, при отправке некоторого количества эфира из эфириума в сеть solana — инвестор вносит токены в смарт-контракт, фрагмент кода в блокчейне, который позволяет соглашениям выполняться автоматически без вмешательства человека.

Затем эта криптовалюта «чеканится» в новой цепочке блоков в виде так называемого обернутого токена, который представляет собой претензию на исходные монеты эфира. Затем токен можно будет продать в новой сети. Это может быть полезно для инвесторов, использующих Эфириум, который стал печально известен внезапными скачками комиссий и более длительным временем ожидания, когда сеть занята.

«Обычно они хранят огромные суммы денег», — сказал Адриан Хетман, технический руководитель компании Immunefi, занимающейся безопасностью криптовалют. «Эти суммы денег и то, сколько трафика проходит через мосты, являются очень заманчивой точкой атаки».

Почему их атакуют

Уязвимость мостов можно частично объяснить небрежным проектированием.

Например, взлом моста Harmony Horizon стал возможен из-за ограниченного количества валидаторов, необходимых для утверждения транзакций. Хакерам нужно было скомпрометировать только две из пяти учетных записей, чтобы получить пароли, необходимые для вывода средств.

Похожая ситуация произошла с Ронином. Хакерам нужно было только убедить пять из девяти валидаторов в сети передать свои закрытые ключи, чтобы получить доступ к криптографии, заблокированной внутри системы.

В случае с Nomad хакерам было намного проще манипулировать мостом. Злоумышленники могли ввести в систему любое значение, а затем вывести средства, даже если в бридже было недостаточно активов. По данным Elliptic, им не нужно было никаких навыков программирования, а их эксплойты привели к появлению подражателей, что привело к восьмой по величине краже криптовалюты за все время.

Nomad предлагает хакерам вознаграждение в размере до 10% за возврат средств пользователей и заявляет, что воздержится от судебных исков против любых хакеров, которые вернут 90% активов, которые они забрали.

Nomad сказал CNBC, что «стремится держать свое сообщество в курсе по мере того, как узнает больше» и «благодарит всех, кто быстро действовал для защиты средств».

Почему они важны

Мосты являются важным инструментом в индустрии децентрализованных финансов (DeFi), которая является крипто-альтернативой банковской системе.

С DeFi вместо централизованных игроков управление обменом денег осуществляется с помощью программируемого фрагмента кода, называемого смарт-контрактом. Этот контракт написан на общедоступной цепочке блоков, такой как ethereum или solana, и выполняется при соблюдении определенных условий, что исключает необходимость в центральном посреднике.

«Мы не можем просто переместить эти активы», — сказал Хетман. «Вот почему нам нужны блокчейн-мосты».

Поскольку пространство DeFi продолжает развиваться, разработчикам необходимо будет сделать блокчейны совместимыми, чтобы обеспечить беспрепятственный обмен активами и данными между сетями.

«Без них активы заблокированы в нативных цепочках», — сказал Остон Бансен, соучредитель QuikNode, который предоставляет инфраструктуру блокчейна разработчикам и компаниям.

Но они рискованны.

«Они фактически неуправляемы», — сказал Дэвид Карлайл, глава отдела регулирования в Elliptic. Они «очень уязвимы для взлома или использования в таких преступлениях, как отмывание денег».

Согласно новому исследованию, предоставленному Elliptic CNBC, с 2020 года преступники перевели нечестным путем доходы на сумму не менее 540 миллионов долларов через мост под названием RenBridge.

«Один из основных вопросов заключается в том, станут ли мосты предметом регулирования, поскольку они во многом похожи на криптовалютные биржи, которые уже регулируются», — сказал Карлайл.

На этой неделе Управление по контролю за иностранными активами Министерства финансов США, или OFAC, объявило о санкциях против Tornado Cash, популярного миксера криптовалют, запрещающих американцам пользоваться этой услугой. Микшеры — это инструменты, которые смешивают токены пользователя с пулом других средств, чтобы скрыть личность вовлеченных физических и юридических лиц.

Карлайл сказал, что становится очевидным, что «регуляторные органы США готовы преследовать службы DeFi, которые способствуют незаконной деятельности».

Адриан Хетман из Immunefi объясняет, как хакеры украли 200 миллионов долларов

Ваш адрес email не будет опубликован.