I ponti blockchain KEEP a essere attaccati. Ecco come prevenirli

I bridge cross-chain rendono possibile l'interoperabilità all'interno della sfera blockchain. Consentono ai protocolli di comunicare ONE loro, condividere dati e creare nuovi casi d'uso entusiasmanti che stanno aiutando a spingere Web3 verso nuove frontiere. Ma come dice il mese Sfruttamento della catena intelligente BNB ci ricorda che sono vulnerabili agli attacchi.

Per sfruttare al meglio il potenziale offerto dai ponti, dobbiamo Imparare a proteggerli.

I ponti si sono giustamente guadagnati la reputazione di Web3LINK deboledopo una serie di exploit quest'anno. Proprio come i rapinatori preferiscono prendere di mira i beni mentre vengono trasportati nei furgoni (piuttosto che rinchiusi nei caveau delle banche con sofisticati sistemi di sicurezza), gli hacker hanno capito che i token in transito sono ugualmente vulnerabili.

Coby Moran è il ricercatore capo presso Merkle Science, una piattaforma predittiva di rischio e intelligence Web3. In precedenza ha lavorato come analista per l'FBI statunitense.

Sanno anche che fondi consistenti stanno attraversando queste intersezioni. Con un totale di attività stimato in oltre54 miliardi di dollari, la Finanza decentralizzata (DeFi) rappresenta un obiettivo particolarmente allettante. Anche prima dell'attacco BNB , i Cripto bridge erano presenti in oltre 1,6 miliardi di $ dei 2 miliardi di $ rubati dai protocolli DeFi nel 2022. L'entità e la regolarità di questi exploit dimostrano perché i bridge caduti stanno guadagnando notorietà.

• Febbraio: Buco nel muro– 375 milioni di dollari
• Marzo: Ponte Ronin– 624 milioni di dollari
• Agosto:Ponte Nomade– 190 milioni di dollari
• Settembre:Invernomuto– 160 milioni di dollari

Dalla mia esperienza nel guidare analisti sulle tracce di fondi rubati (come nel casorecente exploit di Wintermute), è chiaro che prevenzione e difesa sono gli ambiti in cui la comunità blockchain dovrebbe concentrare i propri sforzi collettivi.

Vedi anche:Chiamare un hack un exploit riduce al minimo l'errore Human | Opinioni

Il Federal Bureau of Investigation ha avvisato gli investitori che i criminali informatici stanno sfruttando "la complessità della funzionalità cross-chain". Ciò è certamente in linea con le attuali narrazioni secondo cui i bridge non sono solo vulnerabili, ma vulnerabilità.

Ma ci sono modi in cui possiamo prevenire gli exploit. Come ex analista dell'FBI con un passato nella task force sui crimini informatici a Washington, D.C., posso dire che gli exploit sono raramente diabolicamente intelligenti o sofisticati (il tipo che potresti vedere in un film di Hollywood). Piuttosto, sono spesso violazioni della sicurezza prevedibili.

Restando nel mondo dei bridge, che vengono normalmente sfruttati in seguito all'introduzione di bug nel codice o chiavi crittografiche trapelate, sono spesso ragionevolmente sofisticati ma prevedibili. Prendiamo exploit come questi:

• Depositi falsi:Bridgesmonitor per Eventi di deposito su ONE blockchain per avviare un trasferimento a un'altra. Se un cattivo attore è in grado di generare un evento di deposito senza effettuare un deposito reale, o effettua un deposito con un token senza valore, può prelevare valore dal bridge dall'altra parte. TheQubit Finanza incursioneUn buon esempio è quello di gennaio, in cui il protocollo viene ingannato facendogli credere che gli aggressori avessero depositato denaro quando in realtà non era così.
• Difetti del validatore:I bridge eseguono anche la convalida dei depositi prima di consentire i trasferimenti. Gli hacker potrebbero provare a creare falsi depositi in grado di eludere questo processo. Ciò è accaduto nell'hack di Wormhole, in cui è stato sfruttato un difetto nella convalida della firma digitale. Tecnicamente, questo è stato un esempio di un noto exploit di smart contract. Ma, come stiamo imparando, se accade su un bridge, allora il bridge viene incolpato.
• Acquisizione del validatore:Questo scenario si basa sull'acquisizione di un certo numero di validatori originariamente impostati per votare sì o no su un trasferimento Criptovaluta . Controllando la maggioranza dei voti, l'attaccante può approvare qualsiasi trasferimento. Nell'hack di Ronin Network, ad esempio, cinque dei nove validatori del bridge erano stati compromessi in questo modo.

Come suggeriscono questi esempi, concentrarsi sulle carenze dei ponti senza affrontare le misure di sicurezza a livello del suolo non è la strada giusta. I ponti in sé non sono il problema; la Tecnologie è, dopotutto, agnostica. Il fattore più comune tra gli exploit è l'errore Human . Le indagini post-hack e le successive correzioni servono spesso a evidenziare la nostra secolare tendenza a chiudere la stalla solo quando i buoi sono scappati.

Problemi Human

Quando conduciamo indagini, spesso ne parliamo con i membri del team di un progetto, perché, spesso, sono loro il bersaglio degli exploit. Gli hacker raramente fanno qualcosa di totalmente nuovo con ogni exploit, ma si affidano invece a una serie di trucchi secolari.

L'ingegneria sociale, o prendere di mira le persone per ottenere l'accesso ad account privilegiati, è un classico esempio. Le persone possono essere diventate amiche e abbassare la guardia o assillate con abbastanza domande da rivelare un Secret.

Prendiamo il Ronin Bridge, una sidechain Ethereum creata per Axie Infinity che ha permesso agli utenti di trasferire asset alla mainnet Ethereum . Cinque dei nove nodi di convalida del bridge sono stati compromessi in un attacco di phishing. In seguito, Ronin ha annunciato piani per aumentare questo numero, twittando che "la causa principale del nostro attacco è stato il piccolo set di convalidatori che ha reso più facile compromettere la rete".

Ecco che le porte del fienile si chiudono.

Vediamo anche i limiti Human che incidono sulla capacità di creare codice adatto allo scopo. Un continuo carenza di sviluppatori significa che non ci sono abbastanza esperti in grado di costruire e analizzare ponti. Ripensando all'incidente di Wormhole, vediamo che è stato favorito da un glitch di codifica che ha permesso agli hacker di impostare un set di firme fraudolente che autorizza le transazioni a coniare ether (ETH).

Se fosse stato scoperto prima, questa via di attacco avrebbe potuto essere chiusa. Inutile dire che Wormhole aveva numeri di collaboratori esigui. (Per l'inverso qui, si prega di notare che Ethereum, con i suoi numerosi grandi team di sviluppatori, ha finora evitato un hack importante.)

Vedi anche:I ponti blockchain sono sicuri? Perché i ponti sono obiettivi di hackeraggio

I ponti sono obiettivi facili, punti centrali in cui sono conservate grandi somme di denaro senza una protezione robusta, e continueranno a essere attaccati. Ma dovremmo tenere a mente che non sono solo i ponti a essere vulnerabili; le blockchain su entrambi i lati sono messe a rischio da connessioni scarsamente protette. È tempo di istruirsi e di essere sottoposti a verifica.

Istruzione:

• Prendi in considerazione la possibilità di seguire un corso certificato sulla sicurezza blockchain.
• KEEP aggiornato sugli eventi di attualità nel settore.
• Quando un exploit finisce sui giornali, fai le tue ricerche. Cosa puoi Imparare che potrebbe giovare al tuo progetto?

Revisione contabile:

• Assicurarsi che il nuovo codice bridge venga verificato prima del rilascio e poi testato in seguito.
• Aumentare il numero dei validatori.
• Controllare regolarmente Eventi falsi depositi.
• Istituire una task force del personale per concentrarsi sulla sicurezza
• Prendi in considerazione l'idea di usare degli esperti per effettuare un audit. Chiedi se usano gli ultimi strumenti di tracciamento cross-chain.
• Offrire delle ricompense per la ricerca di insetti ti aiuterà a coprire più terreno.
• Assicurarsi che gli indirizzi degli smart contract siano costantemente monitorati.

La conclusione è che la Cripto nel suo complesso subisce un colpo alla reputazione e alle finanze ogni volta che un exploit fa WAVES. La risposta è Imparare dagli errori che gli hacker ci insegnano di volta in volta, diventando più proattivi nei nostri sforzi per prevenire le performance ripetute.

I bridge sono pezzi vitali dell'infrastruttura Web3 di cui al momento non possiamo fare a meno. E dobbiamo difenderli in modo più efficace.