2022 was een winstgevend jaar voor hackers die misbruik maakten van de ontluikende Web3- en gedecentraliseerde financiële (DeFi)-gebieden, met een prijs van meer dan $ 2 miljard aan cryptocurrencies die tot nu toe zijn gedolven in een aantal spraakmakende hacks. Cross-chain-protocollen zijn aanzienlijk vermoeiend geraakt, waarbij de Ronin Bridge-hack van $ 650 miljoen van Axie Infinity goed is voor een groot deel van het geld dat dit jaar is gestolen.
De plunderingen gingen door tot in de tweede helft van 2022, toen het cross-chain platform Nomad $ 190 miljoen uit portefeuilles had gejat. Het Solana-ecosysteem was het volgende doel, de plaats waar hackers toegang kregen tot de persoonlijke sleutels van ongeveer 8000 portefeuilles, wat leidde tot $ 5 miljoen aan Solana (SOL) en Solana Library (SPL) tokens die werden gestolen.
deBridge Finance slaagde erin een beproefde phishing-aanval op maandag 600,000 augustus te ontwijken door de strategieën te extraheren die worden gebruikt door de vermoedelijke aanvalsvector op lange afstand die wordt gebruikt door de Noord-Koreaanse hackers Lazarus Group. Slechts enkele dagen later kreeg Curve Finance te maken met een exploit waarbij hackers klanten doorverwezen naar een nep-website, resulterend in de diefstal van $ XNUMX aan USD Cash (USDC).
Een aantal bronnen van fouten
De bemanning van deBridge Finance heeft in correspondentie met Cointelegraph enige gerelateerde perceptie gegeven van de prevalentie van die aanvallen, aangezien een paar van hun bemanningsleden vooraf voor een bekend antivirusbedrijf hadden gewerkt.
Mede-oprichter Alex Smirnov benadrukte het drijvende probleem achter de afstemming op cross-chain-protocollen, gezien hun functie als liquiditeitsaggregators die voldoen aan cross-chain-waardewisselverzoeken. De meeste van die protocollen zijn bedoeld om zoveel mogelijk liquiditeit te vergaren door liquiditeitsmining en verschillende prikkels, die onvermijdelijk is veranderd in een honeypot voor snode actoren:
"Door een aanzienlijke hoeveelheid liquiditeit op te sluiten en onbedoeld een breed scala aan toegankelijke aanvalsvectoren aan te bieden, maken bruggen zichzelf een doelwit voor hackers."
Smirnov voegde eraan toe dat overbruggingsprotocollen middleware zijn die afhankelijk zijn van de veiligheidsmodes van alle ondersteunde blockchains waaruit ze zijn vermengd, waardoor de potentiële aanvalsvloer drastisch groeit. Dit maakt het mogelijk om achtereenvolgens een aanval te lanceren om liquiditeit van anderen te legen.
Bijbehorende zaken: is er een veilige toekomst voor ketenoverschrijdende bruggen?
Smirnov voegde eraan toe dat het Web3 en het cross-chain-huis zich in een ontluikend deel bevindt, met een iteratieve verbeteringscursus van de plaatsgroepen die worden onderwezen uit de fouten van anderen. De mede-oprichter van deBridge trok parallellen met de eerste twee jaar binnen het DeFi-huis waar de exploits ongebreideld waren, en erkende dat het een pure kinderziekte was van:
“Het cross-chain house is zelfs binnen de context van Web3 buitengewoon jonger, dus we zien hetzelfde verloop van. Cross-chain heeft een superpotentieel en het is onvermijdelijk dat er extra kapitaal binnenkomt en dat hackers extra tijd en middelen besteden aan het ontdekken van aanvalsvectoren.”
Het Curve Finance DNS-kapingincident illustreert bovendien het aantal aanvalsstrategieën dat toegankelijk is voor kwaadwillende actoren. Bitfinex CTO Paolo Ardoino instrueerde CoinTelegraph dat de handel alert moet zijn op veiligheidsrisico's:
“Deze aanval onthult eens te meer dat de vindingrijkheid van hackers een bijna en altijd aanwezig risico is voor onze handel. De waarheid dat een hacker klaar is om het DNS-rapport voor het logboek te wijzigen, klanten om te leiden naar een nepkloon en een kwaadaardig contract goed te keuren, zegt veel over de waakzaamheid die moet worden betracht."
indammen
Omdat exploits wijdverbreid zijn, zullen taken weinig twijfels hebben over methoden om deze gevaren te verminderen. Het antwoord is verre van duidelijk gezien het aantal keuzes dat aanvallers hebben. Smirnov maakt graag gebruik van een "Zwitserse kaas-etalagepop" bij het conceptualiseren van de veiligheid van overbruggingsprotocollen, de enige oplossing om een aanval te lanceren is dat als een reeks "gaten" tijdelijk collectief worden vastgeketend.
"Om de kans verwaarloosbaar te maken, moeten de afmetingen van de uitlaat op elke laag zo klein mogelijk zijn en moet de verscheidenheid aan lagen zo groot mogelijk zijn."
Nogmaals, het is een moeilijke activiteit gezien de verschuivende elementen in cross-chain platforms. Het bouwen van betrouwbare gelaagde veiligheidsmodes vereist inzicht in het aantal gevaren met betrekking tot ketenoverschrijdende protocollen en de gevaren van ondersteunde ketens.
De belangrijkste bedreigingen omvatten kwetsbaarheden binnen het consensusalgoritme en binnen de codebasis van ondersteunde ketens, 51% aanvallen en blockchain-reorganisaties. Gevaren voor de validatielagen kunnen collusie tussen validators en gecompromitteerde infrastructuur omvatten.
Gevaren bij het verbeteren van softwareprogramma's zijn bovendien een andere overweging, aangezien kwetsbaarheden of bugs in verstandige contracten en brugvalidatieknooppunten de belangrijkste nadelen zijn. Ten slotte houdt deBridge rekening met beheerrisico's die vergelijkbaar zijn met gecompromitteerde logboekmachtigingssleutels als een andere veiligheidsoverweging.
“Al die gevaren lopen snel op. Taken zouden een veelzijdige strategie moeten hebben, waarbij tal van veiligheidsmaatregelen en validaties in het protocolontwerp zelf moeten worden opgenomen, samen met veiligheidsaudits en bug bounty-campagnes.
Social engineering, beter bekend als phishingaanvallen, is een ander niveau om te overwegen. Hoewel de deBridge-bemanning erin slaagde dit soort aanvallen te dwarsbomen, blijft het toch een van de wijdverbreide bedreigingen voor het hele ecosysteem. Bewustzijn en strikte verzekeringspolissen voor interne veiligheid zijn belangrijk om te voorkomen dat het slachtoffer wordt van degenen die sluwe pogingen doen om inloggegevens te stelen en methoden te kapen.
