Χάκερ έχουν κλέψει 1.4 δισεκατομμύρια δολάρια φέτος χρησιμοποιώντας κρυπτογέφυρες

Οι επενδυτές κρυπτογράφησης έχουν πληγεί σκληρά φέτος από hacks και απάτες. Ένας λόγος είναι ότι οι εγκληματίες του κυβερνοχώρου έχουν βρει μια ιδιαίτερα χρήσιμη λεωφόρο για να τους προσεγγίσουν: τις γέφυρες.

Οι γέφυρες blockchain, οι οποίες συνδέουν αδύναμα δίκτυα για να επιτρέψουν τις γρήγορες ανταλλαγές διακριτικών, κερδίζουν δημοτικότητα ως τρόπος συναλλαγής για τους χρήστες κρυπτογράφησης. Αλλά κατά τη χρήση τους, οι λάτρεις των κρυπτονομισμάτων παρακάμπτουν μια κεντρική ανταλλαγή και χρησιμοποιούν ένα σύστημα που είναι σε μεγάλο βαθμό απροστάτευτο.

Συνολικά περίπου 1.4 δισεκατομμύρια δολάρια έχουν χαθεί από παραβιάσεις σε αυτές τις γέφυρες πολλαπλών αλυσίδων από την αρχή του έτους, σύμφωνα με στοιχεία της εταιρείας ανάλυσης blockchain Chainalysis. Το μεγαλύτερο μεμονωμένο γεγονός ήταν το ρεκόρ ανάσυρσης 615 εκατομμυρίων δολαρίων άρπαξε από το Ronin, μια γέφυρα που υποστηρίζει το δημοφιλές μη ανταλλάξιμο παιχνίδι συμβολικών Axie Infinity, το οποίο επιτρέπει στους χρήστες να κερδίζουν χρήματα καθώς παίζουν.

Υπήρχε επίσης το Κλάπηκαν 320 εκατομμύρια δολάρια από το Wormhole, μια γέφυρα κρυπτογράφησης που υποστηρίζεται από την εταιρεία εμπορικών συναλλαγών υψηλής συχνότητας της Wall Street, Jump Trading. Τον Ιούνιο, η γέφυρα Horizon του Harmony υπέστη επίθεση 100 εκατομμυρίων δολαρίων. Και την περασμένη εβδομάδα, σχεδόν 200 εκατομμύρια δολάρια κατασχέθηκαν από χάκερ σε παραβίαση που στοχεύει το Nomad.

«Οι γέφυρες blockchain έχουν γίνει το χαμηλό φρούτο για τους εγκληματίες του κυβερνοχώρου, με περιουσιακά στοιχεία κρυπτογράφησης αξίας δισεκατομμυρίων δολαρίων κλειδωμένα μέσα τους», δήλωσε ο Tom Robinson, συνιδρυτής και επικεφαλής επιστήμονας στην εταιρεία ανάλυσης blockchain Elliptic, σε συνέντευξή του. «Αυτές οι γέφυρες έχουν παραβιαστεί από χάκερ με διάφορους τρόπους, υποδηλώνοντας ότι το επίπεδο ασφάλειάς τους δεν συμβαδίζει με την αξία των περιουσιακών στοιχείων που κατέχουν».

Οι εκμεταλλεύσεις της γέφυρας συμβαίνουν με εντυπωσιακό ρυθμό, δεδομένου ότι είναι ένα τόσο νέο φαινόμενο. Σύμφωνα με τα δεδομένα της Chainalysis, το ποσό που έχει κλαπεί σε ληστείες γεφυρών αντιπροσωπεύει το 69% των κεφαλαίων που έχουν κλαπεί σε κρυπτογραφικές εισβολές μέχρι στιγμής το 2022.

Μια γέφυρα είναι ένα κομμάτι λογισμικού που επιτρέπει σε κάποιον να στέλνει διακριτικά από ένα δίκτυο blockchain και να τα λαμβάνει σε μια ξεχωριστή αλυσίδα. Τα Blockchains είναι τα κατανεμημένα συστήματα λογιστικών βιβλίων που στηρίζουν διάφορα κρυπτονομίσματα.

Όταν ανταλλάσσετε ένα κουπόνι από τη μια αλυσίδα σε μια άλλη - όπως στην αποστολή μερικών αιθέρας από το ethereum στο δίκτυο solana — ένας επενδυτής καταθέτει τα token σε ένα έξυπνο συμβόλαιο, ένα κομμάτι κώδικα στο blockchain που επιτρέπει την αυτόματη εκτέλεση συμφωνιών χωρίς ανθρώπινη παρέμβαση.

Αυτό το crypto στη συνέχεια «κόβεται» σε ένα νέο blockchain με τη μορφή ενός λεγόμενου περιτυλιγμένου διακριτικού, το οποίο αντιπροσωπεύει μια αξίωση για τα αρχικά νομίσματα αιθέρα. Στη συνέχεια, το διακριτικό μπορεί να διαπραγματευτεί σε ένα νέο δίκτυο. Αυτό μπορεί να είναι χρήσιμο για τους επενδυτές που χρησιμοποιούν το ethereum, το οποίο έχει γίνει διαβόητο για ξαφνικές αυξήσεις στις χρεώσεις και μεγαλύτερους χρόνους αναμονής όταν το δίκτυο είναι απασχολημένο.

«Συνήθως κατέχουν τεράστια χρηματικά ποσά», δήλωσε ο Adrian Hetman, επικεφαλής τεχνολογίας στην εταιρεία ασφάλειας κρυπτογράφησης Immunefi. «Αυτά τα χρηματικά ποσά και το πόση κίνηση περνά μέσα από γέφυρες, είναι ένα πολύ δελεαστικό σημείο επίθεσης».

Η ευπάθεια των γεφυρών μπορεί να ανιχνευθεί εν μέρει στην ατημέλητη μηχανική.

Η παραβίαση στη γέφυρα Horizon της Harmony, για παράδειγμα, ήταν δυνατή λόγω του περιορισμένου αριθμού επικυρωτών που απαιτούνταν για την έγκριση συναλλαγών. Οι χάκερ χρειάστηκαν μόνο να παραβιάσουν δύο από τους συνολικά πέντε λογαριασμούς για να αποκτήσουν τους απαραίτητους κωδικούς πρόσβασης για την ανάληψη χρημάτων.

Μια παρόμοια κατάσταση συνέβη με τον Ronin. Οι χάκερ χρειάστηκε μόνο να πείσουν πέντε στους εννέα επικυρωτές στο δίκτυο να παραδώσουν τα ιδιωτικά τους κλειδιά για να αποκτήσουν πρόσβαση σε κρυπτογράφηση κλειδωμένα μέσα στο σύστημα.

Στην περίπτωση του Nomad, η γέφυρα ήταν πολύ πιο απλή για να χειραγωγήσουν οι χάκερ. Οι επιτιθέμενοι μπόρεσαν να εισαγάγουν οποιαδήποτε αξία στο σύστημα και στη συνέχεια να αποσύρουν κεφάλαια, ακόμα κι αν δεν υπήρχαν αρκετά περιουσιακά στοιχεία που είχαν κατατεθεί στη γέφυρα. Δεν χρειάζονταν δεξιότητες προγραμματισμού και τα κατορθώματά τους οδήγησαν τους αντιγραφείς να συσσωρευτούν, οδηγώντας στην όγδοη μεγαλύτερη κλοπή κρυπτογράφησης όλων των εποχών, σύμφωνα με την Elliptic.

Nomad είναι που προσφέρει στους χάκερ ένα μπόνους έως και 10% για την ανάκτηση κεφαλαίων από τους χρήστες και λέει ότι θα απέχει από τη νομική δίωξη εναντίον τυχόν χάκερ που επιστρέφει το 90% των περιουσιακών στοιχείων που πήραν.

Η Nomad είπε στο CNBC ότι «δεσμεύεται να ενημερώνει την κοινότητά της καθώς μαθαίνει περισσότερα» και «εκτιμά όλους όσους ενήργησαν γρήγορα για την προστασία των κεφαλαίων».

Οι γέφυρες είναι ένα ουσιαστικό εργαλείο στον κλάδο της αποκεντρωμένης χρηματοδότησης (DeFi), που είναι η εναλλακτική λύση της κρυπτογράφησης στο τραπεζικό σύστημα.

Με το DeFi, αντί οι κεντρικοί παίκτες να καλούν τα σουτ, οι ανταλλαγές χρημάτων διαχειρίζονται από ένα προγραμματιζόμενο κομμάτι κώδικα που ονομάζεται έξυπνο συμβόλαιο. Αυτό το συμβόλαιο είναι γραμμένο σε δημόσιο blockchain, όπως π.χ ethereum or Σολάνα, και εκτελείται όταν πληρούνται ορισμένες προϋποθέσεις, αναιρώντας την ανάγκη για κεντρικό ενδιάμεσο. 

«Δεν μπορούμε απλώς να μετακινήσουμε αυτά τα περιουσιακά στοιχεία», είπε ο Χέτμαν. «Γι’ αυτό χρειαζόμαστε γέφυρες blockchain».

Καθώς ο χώρος του DeFi συνεχίζει να εξελίσσεται, οι προγραμματιστές θα πρέπει να κάνουν τα blockchain διαλειτουργικά για να διασφαλίσουν ότι τα στοιχεία και τα δεδομένα μπορούν να ρέουν ομαλά μεταξύ των δικτύων.

«Χωρίς αυτά, τα περιουσιακά στοιχεία είναι κλειδωμένα σε εγγενείς αλυσίδες», δήλωσε ο Auston Bunsen, συνιδρυτής του QuikNode, το οποίο παρέχει υποδομή blockchain σε προγραμματιστές και εταιρείες.

Αλλά είναι ριψοκίνδυνοι.

«Είναι ουσιαστικά ακυβέρνητοι», δήλωσε ο David Carlisle, επικεφαλής ρυθμιστικών υποθέσεων της Elliptic. Είναι «πολύ ευάλωτοι σε hacks ή στη χρήση τους σε εγκλήματα όπως το ξέπλυμα χρήματος».

Οι εγκληματίες έχουν μεταφέρει παράνομα κέρδη αξίας τουλάχιστον 540 εκατομμυρίων δολαρίων μέσω μιας γέφυρας που ονομάζεται RenBridge από το 2020, σύμφωνα με νέα έρευνα που παρείχε η Elliptic στο CNBC.

«Ένα σημαντικό ερώτημα είναι εάν οι γέφυρες θα υπόκεινται σε ρύθμιση, καθώς λειτουργούν πολύ σαν ανταλλαγές κρυπτογράφησης, οι οποίες είναι ήδη ρυθμισμένες», είπε ο Carlisle.

Αυτή την εβδομάδα το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων του Υπουργείου Οικονομικών των ΗΠΑ ή OFAC, ανακοίνωσε κυρώσεις κατά της Tornado Cash, ένας δημοφιλής μίκτης κρυπτονομισμάτων, που απαγορεύει στους Αμερικανούς να χρησιμοποιούν την υπηρεσία. Οι μίξερ είναι εργαλεία που συνδυάζουν τα διακριτικά ενός χρήστη με μια δεξαμενή άλλων κεφαλαίων για να αποκρύψουν τις ταυτότητες ατόμων και οντοτήτων που εμπλέκονται.

Ο Carlisle είπε ότι είναι προφανές ότι «οι ρυθμιστικές αρχές των ΗΠΑ είναι έτοιμες να αναζητήσουν υπηρεσίες DeFi που διευκολύνουν την παράνομη δραστηριότητα».

ΠΑΡΑΚΟΛΟΥΘΩ: Ο Adrian Hetman του Immunefi εξηγεί πώς οι χάκερ έκλεψαν 200 εκατομμύρια δολάρια