Le 7 janvier 2022, le co-fondateur d'Ethereum Vitalik Buterin averti sur la sécurité des ponts cross-blockchain. Il a fait valoir avec prévoyance que le pontage des actifs entre les chaînes de blocs ne bénéficierait jamais des mêmes garanties que de rester dans une seule chaîne de blocs. Il avait raison.
La convertibilité sûre des actifs entre les blockchains n'est pas garantie. Pour être précis, personne ne peut réellement « envoyer » ni « relier » un actif à une autre blockchain. Au lieu de cela, les actifs sont déposés, verrouillés ou brûlés sur une seule chaîne ; puis crédité, déverrouillé ou frappé sur la deuxième chaîne.
Pire encore, les blockchains ne peuvent pas accéder aux informations hors chaîne. Aucune blockchain ne peut nativement vérifier qu'un actif multi-blockchain est "ponté". Au mieux, des oracles tiers attestent de la véracité des informations hors chaîne et interprètent ces données pour une utilisation en chaîne. Cependant, cela introduit la première couche de confiance dans le processus de pontage : la confiance dans les oracles de données. La prochaine couche de confiance est celle des dépositaires.
En règle générale, le pontage se produit en déposant un actif auprès d'un dépositaire et en recevant une version « emballée » de cet actif du dépositaire sur la deuxième blockchain. L'utilisateur doit faire confiance au dépositaire pour conserver à la fois l'actif d'origine et libérer l'actif enveloppé.
Parfois, ce dépositaire peut prendre la forme d'un DAO ou d'un contrat intelligent. Dans tous les cas - qu'il s'agisse d'un DAO ou d'une personne morale comme BitGo (le dépositaire du monde le plus grand actif enveloppé, bitcoin emballé) — le pontage introduit plusieurs couches de confiance.
En continuant, la prochaine couche de confiance est la convertibilité et la parité des prix. En termes simples, il ne suffit pas d'avoir reçu un actif relais. Un utilisateur doit en outre continuer à avoir confiance qu'il sera en mesure de rétablir cet actif à l'avenir sur une base 1 pour 1. Un élément d'origine doit être égal à un élément enveloppé. C'est le risque de parité des prix.
Au minimum, l'actif ponté doit maintenir la parité avec l'actif d'origine. Ainsi, de cette façon, l'utilisateur fait confiance au processus de pontage non seulement au moment de l'échange, mais aussi aussi longtemps qu'il utilisera un actif enveloppé à l'avenir.
En résumé, tous les risques de sécurité d'un actif se multiplient de manière exponentielle pour leurs homologues pontés (encapsulés).
Vous craignez que Tether Limited n'échange pas un USDT pour 1 $ ? Reliez ce même USDT à une blockchain non prise en charge par Tether Limited et vos risques se sont multipliés par le(s) dépositaire(s), les contrats intelligents, la liquidité, la parité des prix et, surtout, si le pont ne brûlera pas avant que vous deviez revenir à sécurité.
D'une certaine manière, les ponts cross-blockchain sont comme des trous de ver : ils transportent de la matière à travers l'espace, mais ils se forment et s'annihilent spontanément.
En fait, Wormhole est le nom du pont le mieux capitalisé au monde, reliant les blockchains d'Ethereum et de Solana. C'était piraté — comme beaucoup de ponts. Ci-dessous une liste.
Exploit multichaîne le 19 janvier 2022
Les assaillants ne a volé 3 millions de dollars dans un exploit du pont cross-blockchain Multichain au début de l'année. Multichain a émis un message initial qui a amené les utilisateurs à question si leurs fonds étaient en sécurité. Ce averti aux utilisateurs de retirer les jetons WETH, MATIC, AVAX, PERI, OMT et WBNB des contrats intelligents concernés sur sa plateforme.
Multichaîne plus tard a affirmé Valérie Plante. un attaquant a rendu 259 ETH volés lors de l'attaque. Attache gelé USDT sur les adresses liées à l'exploit.
Exploit Qubit du 27 janvier 2022
Financement Qubit perdu 206,809 80 BNB (27 millions de dollars) dans un exploit de QBridge le 2022 janvier XNUMX. Le projet a construit son protocole sur Binance Chain.
L'exploit a frauduleusement frappé 77,162 XNUMX qXETH, que les attaquants pourraient échanger contre des jetons BNB. Qubit a proposé de négocier avec l'attaquant pour récupérer les fonds.
Exploit de trou de ver le 2 février 2022
Les attaquants ont frauduleusement frappé 120,000 2 ETH enveloppés sur la blockchain de Solana en utilisant le pont Wormhole le 2022 février XNUMX. Ils ont créé un compte de signature usurpé pour valider leurs transactions.
Un chercheur de Paradigm a procédé à une ingénierie inverse de l'attaque et a déterminé que Wormhole n'avait pas réussi à mettre en œuvre un protocole de validation plus robuste pour ses signatures de gardien.
Exploit de Meter Passport de Meter.io le 5 février 2022
Passerelle Meter Passport de Meter.io perdu 4.4 millions de dollars dans un exploit le 5 février 2022. L'exploit ciblait la plate-forme de contrat intelligent Moonriver sur le réseau Kusama de Polkadot. Les attaquants ont volé des BNB et enveloppé des ETH, puis ont jeté les BNB sur l'échange décentralisé UniSwap.
Cet exploit a provoqué une chute des prix du BNB qui a permis à d'autres personnes de récupérer du BNB bon marché et de l'utiliser comme garantie pour des prêts sur des plateformes comme Hundred Crisis. Les prêts ont causé des problèmes d'approvisionnement pour les applications de prêt concernées.
Exploitation du pont Ronin le 29 mars 2022
Les assaillants ne a volé 173,600 25.5 ETH et 600 millions USDC (environ 29 millions de dollars) du pont Ronin le 2022 mars XNUMX. L'exploit impliquait d'accéder aux clés privées des nœuds validateurs. Les développeurs du pont Ronin ont interrompu les dépôts et les retraits jusqu'à ce que les enquêteurs aient la possibilité de déterminer ce qui s'est passé.
Les développeurs ont construit la sidechain Ronin du jeu Axie Infinity Ethereum pour économiser sur les frais. Malheureusement, ils ont compromis la sécurité.
Exploit WonderHero du 7 avril 2022
MerveilleHéros découvert un exploit de son pont le 7 avril 2022, lorsque la valeur de son jeton WND natif a chuté de manière inattendue de 50 %. Il a perdu 300,000 XNUMX $ en jetons WND lors de l'attaque.
WonderHero a suspendu son site Web, son jeu, son pont, ses dépôts et ses retraits pendant son enquête. Il a redémarré le jeu, le marché et le système de rendement. Depuis, WonderHero posté une analyse confirmant que son pont Binance avait été compromis.
Exploit du pont Horizon d'Harmony One le 23 juin 2022
Horizon Bridge d'Harmony One a perdu 100 millions de dollars dans un exploit le 23 juin 2022. Son équipe a affirmé Valérie Plante. il travaillait avec les autorités chargées de l'application de la loi et des experts en médecine légale pour enquêter sur l'exploit. L'adresse utilisée pour recevoir les fonds volés a reçu un "Exploiteur de pont Horizon” étiquette sur Etherscan. L'Horizon Bridge Exploiter détient actuellement un peu plus de 93,000 XNUMX $ en jetons.
Lire la suite: Les ponts inter-blockchain continuent de se casser alors que la startup crypto Nomad est piratée pour 190 millions de dollars
Exploit ChainSwap du 10 juillet 2022
ChainSwap a perdu 20 millions de jetons WILD dans un exploit le 10 juillet 2022. Wilder World utilise WILD comme jeton natif. Un utilisateur pseudonyme de Twitter et « citoyen » de Wilder World remarqué l'exploit ChainSwap le 10 juillet 2022. L'exploit a également affecté les jetons Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank et Unifarm.
ChainSwap a gelé son pont Ethereum-Binance Smart Chain pendant son enquête.
Avant cet incident, ChainSwap souffert un autre exploit dans lequel il a perdu 800,000 2 $ en jetons le XNUMX juillet. Il a réussi à récupérer une partie de ces pertes lors de cette attaque.
Exploit nomade du 2 août 2022
Les assaillants ne a volé 190 millions de dollars en jetons en exploitant une vulnérabilité dans le contrat intelligent de Nomad le 2 août 2022. Une fois que la méthode utilisée pour exploiter le contrat intelligent est devenue publique, une attaque massive a drainé une quantité considérable d'argent.
RSSI d'Andressen Horowitz suggéré que certains pillards auraient pu être des exploiteurs "chapeaux blancs" visant à garder l'argent hors des mains d'acteurs néfastes. Nomade a affirmé Valérie Plante. il travaillait avec les forces de l'ordre et les entreprises de sécurité privées pour enquêter et remercié les acteurs chapeau blanc pour avoir pris l'initiative de protéger les fonds.
Pour des nouvelles plus informées, suivez-nous sur Twitter ainsi que Google Actualités ou écoutez notre podcast d'investigation Innové : Blockchain City.
Source : https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/