Хакването на US Harmony за 100 милиона долара оправдава опасенията на основателя на Ethereum относно кръстосаните верижни мостове

Преди няколко месеца основателят на ETH описа опасностите от кръстосани верижни мостове, днес САЩ Harmony хакнаха за 100 милиона долара.

Мостът с кръстосана верига на Harmony, Horizon, е последният от подобни мостове, атакуван от хакери. Изглежда, че крипто кръстосаните мостове са се превърнали в огромна цел за хакери напоследък.

След моста на Ронин на Axie Infinity, сега и мостът Horizon стана жертва на точната атака. Въпреки това, средствата, откраднати чрез Horizon Bridge, са далеч по-малко от тези, взети чрез Ronin. Хакването на Ronin Bridge доведе до загуба на около 620 милиона долара ETH и USDC, докато атаката срещу Horizon Bridge доведе до загуба на криптовалути на стойност около 100 милиона долара.

След атаката Harmony, базирана в Калифорния, САЩ, се обърна към Twitter, за да съобщи тъжната новина, добавяйки, че сега компанията работи в тясно сътрудничество с властите и криминалистите, за да проследи нападателите.

1/ Екипът на Harmony установи кражба, извършена тази сутрин на моста Horizon на стойност прибл. 100 милиона долара. Започнахме да работим с националните власти и криминалистите за идентифициране на виновника и извличане на откраднатите средства.

Повече ▼ ?

— Хармония? (@harmonyprotocol) Юни 23, 2022

BTC не са засегнати

Докато няколко блокчейна, обслужвани от Horizon Bridge, бяха засегнати, веригата на Bitcoin не претърпя никакви неуспехи. Harmony призна това в своята нишка в Twitter. Засегнатите вериги включват Binance Chain и Ethereum.

3/ Обърнете внимание, че това не засяга безнадеждни BTC мост; неговите средства и активи, съхранявани в децентрализирани трезори, са в безопасност в момента.

— Хармония? (@harmonyprotocol) Юни 23, 2022

Разследванията на атаката разкриха, че по време на атаката са откраднати редица жетони. Те включват AAVE, USDC, wETH, wBTC, USDT, BUSD, AAG, SUSHI, FXS, FRAX и DAI. Очевидно нападателите са се преместили да разменят откраднатите токени към ETH на Uniswap DEX, преди да изпратят ETH обратно в портфейлите си. На пръв поглед това беше планирана атака.

Притесненията на общността са оправдани

След като новината за атаката беше разпространена, общността се надигна, напомняйки на Harmony и индустрията като цяло за опасенията, които бяха излъчени относно системата за управление Multisig, използвана за обезопасяване на моста и криптовалутите.

Националните власти и криминалистите трябва да разследват *ви*, за да разберат какъв вид нарушени практики за сигурност са позволили тази „кражба“ да се случи.

- Крис Блек (@ChrisBlec) Юни 24, 2022

Harmony използва функционалност за мултиподпис, която изисква само две от четири доверени субекта, за да изпълнят прехвърляне на токен. Нападателите успяха да се сдобият с два валидатора и получиха достъп до скривалището.

Хакерските инциденти, насочени към кръстосани верижни мостове, се разразиха напоследък, което предизвика призиви за повече проверки за сигурност от страна на операторите на мостове. От началото на годината подобни атаки доведоха до комбинирана загуба от около 1 милиард долара от крипто платформи.

Заплахи от кръстосани верижни мостове

Преди повече от 6 месеца Виталик обобщи рисковете от кръстосани верижни мостове в a Reddit пост:

„Фундаменталните граници на сигурността на мостовете всъщност са ключова причина, поради която макар да съм оптимист за екосистемата на блокчейн с множество вериги (наистина има няколко отделни общности с различни ценности и е по-добре за тях да живеят отделно, отколкото всички да се борят за влияние върху същото нещо), аз съм песимист по отношение на приложенията за кръстосана верига.

За да разберем защо мостовете имат тези ограничения, трябва да разгледаме как различните комбинации от блокове и мостове оцеляват при 51% атаки. Много хора имат манталитета, че „ако блокчейн бъде атакуван от 51%, всичко се счупва и затова трябва да вложим цялата си сила, за да предотвратим атака от 51% да се случи дори веднъж“. Наистина не съм съгласен с този стил на мислене; всъщност блокчейните поддържат много от гаранциите си дори след 51% атака и е наистина важно тези гаранции да бъдат запазени.

Например, да предположим, че имате 100 ETH в Ethereum и Ethereum получава 51% атака, така че някои транзакции се цензурират и/или се връщат обратно. Каквото и да се случи, все още имате своите 100 ETH. Дори 51% нападател не може да предложи блок, който отнема вашия ETH, защото такъв блок би нарушил правилата на протокола и така би бил отхвърлен от мрежата. Дори ако 99% от хешмощта или залога иска да отнеме вашия ETH, всеки, който управлява възел, просто ще следва веригата с оставащия 1%, защото само неговите блокове следват правилата на протокола. По-общо казано, ако имате приложение в Ethereum, тогава атака от 51% може да цензурира или да го върне за известно време, но това, което излиза в края, е последователно състояние. Ако сте имали 100 ETH, но сте ги продали за 320000 100 DAI на Uniswap, дори ако блокчейнът бъде атакуван по някакъв произволен луд начин, в края на деня все още имате разумен резултат – или запазвате своите 320000 ETH, или получавате своите XNUMX XNUMX DAI. Резултатът, при който не получите нито едно (или, по този въпрос, и двете) нарушава правилата на протокола и така няма да бъде приет.

Сега, представете си какво се случва, ако преместите 100 ETH върху мост на Solana, за да получите 100 Solana-WETH, и тогава Ethereum е атакуван с 51%. Нападателят депозира куп свои собствени ETH в Solana-WETH и след това връща тази транзакция от страна на Ethereum веднага щом страната Solana я потвърди. Договорът Solana-WETH вече не е напълно обезпечен и може би вашите 100 Solana-WETH вече струват само 60 ETH. Дори ако има перфектен базиран на ZK-SNARK мост, който напълно потвърждава консенсуса, той все още е уязвим за кражба чрез 51% атаки като тази.

Поради тази причина винаги е по-безопасно да държите активи с произход на Ethereum в Ethereum или Solana на Solana, отколкото да държите активи с произход на Ethereum в Solana или активи с местен произход на Solana в Ethereum" 

- Реклама -