Блокчейн-мосты KEEP подвергаться атакам. Вот как это предотвратить

Межцепочечные мосты делают возможным взаимодействие в сфере блокчейна. Они позволяют протоколам взаимодействовать ONE с другом, обмениваться данными и создавать новые захватывающие сценарии использования, которые помогают продвигать Web3 на новые рубежи. Но как в этом месяце Эксплуатация BNB Smart Chain напоминает нам, что они уязвимы для атак.

Если мы хотим использовать потенциал мостов, нам нужно Словарь их защищать.

Мосты по праву заслужили репутацию Web3слабое LINKпосле серии эксплойтов в этом году. Так же, как грабители предпочитают нападать на активы, пока они перевозятся в фургонах (а не заперты в банковских хранилищах со сложными системами безопасности), хакеры поняли, что токены в пути также уязвимы.

Коби Моран — ведущий исследователь Merkle Science, платформы прогнозирования рисков и разведки Web3. Ранее он работал аналитиком в Федеральном бюро расследований США.

Они также знают, что значительные средства пересекают эти перекрестки. С общими активами, оцениваемыми более чем в54 миллиарда долларов, децентрализованные Финансы (DeFi) представляют собой особенно привлекательную цель. Еще до атаки BNB Криптo фигурировали в более чем 1,6 млрд долларов из 2 млрд долларов, украденных из протоколов DeFi в 2022 году. Масштаб и регулярность этих эксплойтов показывают, почему упавшие мосты приобретают дурную славу.

• Февраль:Червоточина– 375 миллионов долларов
• Маршировать: Ронин Мост– 624 миллиона долларов
• Август: Мост кочевников– 190 миллионов долларов
• Сентябрь: Зимнее безмолвие– 160 миллионов долларов

Из моего опыта работы ведущими аналитиками по следам украденных средств (например, внедавний эксплойт Wintermute), очевидно, что профилактика и защита — это те области, на которых блокчейн-сообщество должно сосредоточить свои коллективные усилия.

Смотрите также:Называя взлом эксплойтом, мы минимизируем Human ошибку | Мнение

Федеральное бюро расследований предупредило инвесторов, что киберпреступники пользуются «сложностью функциональности кросс-чейн». Это, безусловно, соответствует нынешним представлениям о том, что мосты не просто уязвимы, а уязвимы.

Но есть способы предотвратить эксплойты. Как бывший аналитик ФБР, работавший в оперативной группе по борьбе с киберпреступностью в Вашингтоне, округ Колумбия, я могу сказать, что эксплойты редко бывают дьявольски умными или изощренными (типа тех, что можно увидеть в голливудских фильмах). Скорее, они часто являются предсказуемыми нарушениями безопасности.

Придерживаясь мира мостов, которые обычно эксплуатируются после внедрения ошибок кода или утечки криптографических ключей, часто являются достаточно сложными, но предсказуемыми. Возьмем такие эксплойты, как эти:

• Ложные депозиты:Bridgesmonitor для Мероприятия депозита на ONE блокчейне, чтобы инициировать перевод на другой. Если злоумышленник способен сгенерировать событие депозита без внесения реального депозита или вносит депозит с помощью бесполезного токена, он может снять стоимость с моста на другой стороне. TheQubit Финансы рейдХорошим примером является случай в январе, когда протокол был обманут, заставив его думать, что злоумышленники внесли деньги, хотя на самом деле это не так.
• Недостатки валидатора:Мосты также выполняют проверку депозита перед разрешением на перевод. Хакеры могут попытаться создать поддельные депозиты, способные обойти этот процесс. Это произошло во время взлома Wormhole, где была использована уязвимость в проверке цифровой подписи. Технически это был пример знакомого эксплойта смарт-контракта. Но, как мы узнаем, если это происходит на мосту, то обвиняют мост.
• Перехват валидатора:Этот сценарий основан на захвате определенного количества валидаторов, изначально настроенных на голосование «за» или «против» по ​​переводу Криптовалюта . Контролируя большинство голосов, злоумышленник может одобрить любые переводы. Например, при взломе Ronin Network пять из девяти валидаторов моста были скомпрометированы таким образом.

Как показывают эти примеры, сосредоточение внимания на недостатках мостов при игнорировании мер безопасности на уровне земли — это не путь вперед. Мосты сами по себе не являются проблемой; Технологии , в конце концов, агностичны. Наиболее распространенным фактором в эксплойтах является Human ошибка. Расследования после взлома и последующие исправления часто служат для того, чтобы подчеркнуть нашу извечную тенденцию закрывать дверь амбара только после того, как лошадь убежала.

Human проблемы

При проведении расследований мы часто обсуждаем вещи с членами команды проекта – потому что часто они являются целью эксплойтов. Хакеры редко делают что-то совершенно новое с каждым эксплойтом, а вместо этого полагаются на серию старых трюков.

Социальная инженерия, или нацеливание на людей с целью получения доступа к привилегированным аккаунтам, является классическим примером. Людей можно подружить и ослабить их бдительность или завалить вопросами, чтобы они раскрыли Secret.

Возьмем Ronin Bridge, сайдчейн Ethereum , созданный для Axie Infinity , который позволял пользователям переводить активы в основную сеть Ethereum . Пять из девяти узлов-валидаторов моста были скомпрометированы в результате фишинговой атаки. После этого Ronin объявил о планах увеличить это число, написав в Twitter, что «основной причиной нашей атаки был небольшой набор валидаторов, который упростил компрометацию сети».

Вот двери амбара закрываются.

Мы также видим, что Human ограничения влияют на способность создавать код, подходящий для определенной цели. Текущий нехватка разработчиков означает, что просто не хватает экспертов, способных строить и анализировать мосты. Снова взглянув на инцидент с червоточиной, мы видим, что он был вызван ошибкой в ​​коде, которая позволила хакерам создать мошеннический набор подписей, разрешающий транзакции для чеканки эфира (ETH).

Если бы это было обнаружено раньше, этот путь атаки можно было бы закрыть. Само собой разумеется, что у Wormhole было мало участников. (Для обратного, пожалуйста, обратите внимание, что Ethereum, с его многочисленными большими командами разработчиков, до сих пор избегал крупных взломов.)

Смотрите также:Безопасны ли блокчейн-мосты? Почему мосты становятся объектами взломов

Мосты — это уязвимые цели — центральные точки, где хранятся большие суммы без надежной защиты — и они будут продолжать подвергаться атакам. Но мы должны помнить, что уязвимы не только мосты; блокчейны с обеих сторон подвергаются риску из-за плохо защищенных соединений. Пришло время получить образование и пройти аудит.

Образование:

• Рассмотрите возможность прохождения сертифицированного курса по безопасности блокчейна.
• KEEP в курсе текущих событий в этой сфере.
• Когда эксплойт попадает в новости, проведите собственное исследование. Что вы можете Словарь , что может принести пользу вашему собственному проекту?

Аудит:

• Убедитесь, что новый код моста проходит аудит перед выпуском и последующее тестирование.
• Увеличьте количество валидаторов.
• Регулярно проверяйте наличие ложных Мероприятия по депозитам.
• Создать целевую группу для сотрудников, которая сосредоточится на безопасности
• Рассмотрите возможность использования экспертов для проведения аудита. Спросите, используют ли они новейшие инструменты отслеживания кросс-цепочек.
• Предложение вознаграждений за обнаружение ошибок поможет вам охватить больше территорий.
• Обеспечьте постоянный мониторинг адресов смарт-контрактов.

Суть в том, что Криптo в целом получает репутационный и финансовый удар каждый раз, когда эксплойт производит WAVES. Ответ в том, чтобы Словарь на ошибках, которым нас снова и снова учат хакеры, и становиться более активными в наших усилиях по предотвращению повторных ошибок.

Мосты — это жизненно важные части инфраструктуры Web3, без которых мы сейчас не можем обойтись. И нам нужно защищать их более эффективно.