Hack na 100 milionów dolarów US Harmony potwierdza obawy założyciela Ethereum dotyczące mostów krzyżowych

Kilka miesięcy temu założyciel ETH opisał niebezpieczeństwa związane z mostami krzyżowo-łańcuchowymi, dziś włamano się do USA Harmony na 100 milionów dolarów.

Most krzyżowy Harmony, Horizon, to najnowszy tego typu most, który został zaatakowany przez hakerów. Wygląda na to, że mosty międzyłańcuchowe kryptowalut stały się ostatnio ogromnym celem hakerów.

Po moście Ronina na Axie Infinity, teraz ofiarą dokładnego ataku padł most Horizon. Jednak środki skradzione za pośrednictwem mostu Horizon są znacznie mniejsze niż te skradzione za pośrednictwem Ronina. Włamanie na Ronin Bridge doprowadziło do utraty około 620 milionów dolarów ETH i USDC, podczas gdy atak na Horizon Bridge doprowadził do utraty kryptowalut o wartości około 100 milionów dolarów.

Po ataku spółka Harmony z siedzibą w Kalifornii w Stanach Zjednoczonych ogłosiła na Twitterze smutną wiadomość, dodając, że firma ściśle współpracuje z władzami i ekspertami medycyny sądowej, aby wyśledzić napastników.

1/ Zespół Harmony zidentyfikował kradzież, która miała miejsce dzisiejszego ranka na moście Horizon o wartości ok. 100 tys. XNUMX milionów dolarów. Rozpoczęliśmy współpracę z władzami krajowymi i specjalistami medycyny sądowej w celu zidentyfikowania winowajcy i odzyskania skradzionych środków.

Więcej ?

- Harmonia ? (@harmoniaprotokół) 23 czerwca 2022 r.

BTC nie dotyczy

Chociaż miało to wpływ na kilka łańcuchów bloków obsługiwanych przez most Horizon, łańcuch Bitcoin nie odniósł żadnych niepowodzeń. Harmony potwierdziła to w swoim wątku na Twitterze. Dotknięte sieci to Binance Chain i Ethereum.

3/ Uwaga, nie ma to wpływu na zaufany most BTC; jego fundusze i aktywa przechowywane w zdecentralizowanych skarbcach są obecnie bezpieczne.

- Harmonia ? (@harmoniaprotokół) 23 czerwca 2022 r.

Dochodzenie w sprawie ataku ujawniło, że podczas ataku skradziono wiele tokenów. Należą do nich AAVE, USDC, wETH, wBTC, USDT, BUSD, AAG, SUSHI, FXS, FRAX i DAI. Najwyraźniej napastnicy zamienili skradzione tokeny na ETH na platformie Uniswap DEX, a następnie odesłali ETH z powrotem do swoich portfeli. Wygląda na to, że był to zaplanowany atak.

Obawy społeczności potwierdzone

Gdy rozeszła się wieść o ataku, społeczność zbuntowała się, przypominając Harmony i całej branży o obawach, jakie pojawiły się w związku z systemem kontroli Multisig używanym do zabezpieczania mostu i kryptowalut.

Organy krajowe i specjaliści medycyny sądowej powinni zbadać *ty*, aby dowiedzieć się, jaki rodzaj złamanych praktyk bezpieczeństwa pozwolił na tę „kradzież”.

- Chris Blec (@ChrisBlec) 24 czerwca 2022 r.

Harmony zastosowała funkcję multisig, która wymagała tylko dwóch z czterech zaufanych podmiotów do wykonania transferu tokena. Atakującym udało się zdobyć dwa walidatory i uzyskać dostęp do skrytki.

Incydenty hakerskie wymierzone w mosty krzyżowe stały się ostatnio powszechne, co skłoniło operatorów mostów do wezwań do większej liczby kontroli bezpieczeństwa. Od początku roku takie ataki doprowadziły do ​​łącznej straty platform kryptowalutowych wynoszącej około 1 miliarda dolarów.

Zagrożenia mostami krzyżowo-łańcuchowymi

Ponad 6 miesięcy temu Vitalik podsumował ryzyko mostów krzyżowo-łańcuchowych w a Reddit postu:

„Podstawowe ograniczenia bezpieczeństwa mostów są w rzeczywistości kluczowym powodem, dla którego choć jestem optymistą co do wielołańcuchowego ekosystemu blockchain (tak naprawdę istnieje kilka odrębnych społeczności wyznających różne wartości i lepiej dla nich żyć osobno, niż wszyscy walczyć o wpływy na to samo), jestem pesymistą, jeśli chodzi o aplikacje międzyłańcuchowe.

Aby zrozumieć, dlaczego mosty mają takie ograniczenia, musimy przyjrzeć się, jak różne kombinacje łańcuchów bloków i mostów przetrwają 51% ataków. Wiele osób ma mentalność, że „jeśli łańcuch bloków zostanie zaatakowany w 51%, wszystko się zepsuje, dlatego musimy włożyć wszystkie nasze siły, aby zapobiec choćby jednorazowemu atakowi na poziomie 51%. Naprawdę nie zgadzam się z tym stylem myślenia; w rzeczywistości łańcuchy bloków zachowują wiele ze swoich gwarancji nawet po ataku 51% i naprawdę ważne jest, aby zachować te gwarancje.

Załóżmy na przykład, że masz 100 ETH na Ethereum, a Ethereum jest atakowane w 51%, więc niektóre transakcje zostają cenzurowane i/lub cofane. Bez względu na to, co się stanie, nadal masz swoje 100 ETH. Nawet atakujący 51% nie może zaproponować bloku, który zabierze Twoje ETH, ponieważ taki blok naruszyłby zasady protokołu i w związku z tym zostałby odrzucony przez sieć. Nawet jeśli 99% mocy obliczeniowej lub stawki chce odebrać Twoje ETH, wszyscy prowadzący węzeł po prostu podążają za łańcuchem z pozostałym 1%, ponieważ tylko jego bloki przestrzegają zasad protokołu. Mówiąc bardziej ogólnie, jeśli masz aplikację na Ethereum, atak 51% może ją ocenzurować lub cofnąć na jakiś czas, ale na końcu wyjdzie spójny stan. Jeśli miałeś 100 ETH, ale sprzedałeś je za 320000 100 DAI na Uniswap, nawet jeśli blockchain zostanie zaatakowany w jakiś arbitralnie szalony sposób, ostatecznie nadal masz rozsądny wynik – albo zatrzymasz swoje 320000 ETH, albo zdobędziesz swoje XNUMX XNUMX DAI. Wynik, w którym nie otrzymasz żadnego z nich (lub, jeśli o to chodzi, obu), narusza zasady protokołu i dlatego nie zostanie zaakceptowany.

Teraz wyobrażamy sobie, co się stanie, jeśli przeniesiesz 100 ETH na most na Solanie, aby zdobyć 100 Solana-WETH, a następnie Ethereum zostanie zaatakowane w 51%. Osoba atakująca zdeponowała część własnego ETH w Solana-WETH, a następnie cofnęła tę transakcję po stronie Ethereum, gdy tylko strona Solana to potwierdziła. Kontrakt Solana-WETH nie jest już w pełni wspierany i być może Twoje 100 Solana-WETH jest teraz warte tylko 60 ETH. Nawet jeśli istnieje doskonały most oparty na ZK-SNARK, który w pełni potwierdza konsensus, nadal jest podatny na kradzież w wyniku takich ataków 51%.

Z tego powodu zawsze bezpieczniej jest trzymać aktywa natywne dla Ethereum na Ethereum lub aktywa natywne dla Solana na Solanie, niż trzymać aktywa natywne dla Ethereum na Solanie lub aktywa natywne dla Solana na Ethereum". 

- Reklama -