Pada 7 Januari 2022, salah satu pendiri Ethereum, Vitalik Buterin memperingatkan tentang keamanan jembatan lintas-blockchain. Dia dengan cepat berargumen bahwa menjembatani aset di seluruh blockchain tidak akan pernah menikmati jaminan yang sama dengan tetap berada dalam satu blockchain. Dia benar.
Konvertibilitas aset yang aman antar blockchain tidak dijamin. Tepatnya, tidak ada yang benar-benar dapat “mengirim” atau “menjembatani” aset ke blockchain lain. Sebaliknya, aset disimpan, dikunci, atau dibakar dalam satu rantai; kemudian dikreditkan, dibuka kuncinya, atau dicetak pada rantai kedua.
Lebih buruk lagi, blockchain tidak dapat mengakses informasi off-chain. Tidak ada blockchain yang secara asli dapat memverifikasi bahwa aset multi-blockchain apa pun "dijembatani." Paling-paling, oracle pihak ketiga membuktikan kebenaran informasi off-chain dan menafsirkan data itu untuk penggunaan on-chain. Namun, ini memperkenalkan lapisan pertama kepercayaan pada proses menjembatani: kepercayaan pada oracle data. Lapisan kepercayaan berikutnya adalah penjaga.
Biasanya, menjembatani terjadi dengan menyetorkan satu aset dengan kustodian dan menerima versi "terbungkus" dari aset itu dari kustodian di blockchain kedua. Pengguna harus mempercayai kustodian untuk mengamankan aset asli dan melepaskan aset yang dibungkus.
Terkadang, kustodian ini dapat berbentuk DAO atau kontrak pintar. Dalam kasus apa pun — baik DAO atau entitas perusahaan seperti BitGo (penjaga dunia terbesar aset terbungkus, bitcoin terbungkus) — menjembatani memperkenalkan beberapa lapisan kepercayaan.
Melanjutkan, lapisan kepercayaan berikutnya adalah konvertibilitas dan paritas harga. Sederhananya, tidak cukup hanya menerima aset jembatan. Pengguna juga harus terus percaya bahwa mereka akan dapat menjembatani aset itu kembali di masa mendatang dengan basis 1-untuk-1. Satu aset asli harus sama dengan satu aset yang dibungkus. Ini adalah risiko paritas harga.
Minimal, aset yang dijembatani harus menjaga keseimbangan dengan aset aslinya. Jadi, dengan cara ini, pengguna memercayai proses menjembatani tidak hanya pada saat bertukar, tetapi juga selama mereka menggunakan aset yang dibungkus di masa depan.
Singkatnya, semua risiko keamanan suatu aset berlipat ganda secara eksponensial untuk rekan-rekan mereka yang dijembatani (dibungkus).
Khawatir Tether Limited tidak menukarkan satu USDT dengan $1? Jembatani USDT yang sama ke blockchain yang tidak didukung oleh Tether Limited dan risiko Anda telah dikalikan dengan penjaga, kontrak pintar, likuiditas, paritas harga, dan yang terpenting, apakah jembatan tidak akan hangus sebelum Anda perlu melintasi kembali ke keamanan.
Di satu sisi, jembatan cross-blockchain seperti lubang cacing: mereka mengangkut material melintasi ruang angkasa, tetapi mereka terbentuk dan musnah secara spontan.
Faktanya, Wormhole adalah nama jembatan dengan kapitalisasi paling baik di dunia, yang menghubungkan blockchain Ethereum dan Solana. Dulu hack — seperti halnya banyak jembatan. Di bawah ini adalah daftar.
Eksploitasi multichain pada 19 Januari 2022
Penyerang mencuri $3 juta dalam eksploitasi jembatan lintas-blockchain Multichain pada awal tahun. Multichain mengeluarkan pesan awal yang menyebabkan pengguna untuk pertanyaan apakah dana mereka aman. Dia memperingatkan pengguna untuk menarik token WETH, MATIC, AVAX, PERI, OMT, dan WBNB dari kontrak pintar yang terpengaruh pada platformnya.
Multirantai nanti tersebut satu penyerang mengembalikan 259 ETH yang dicuri dalam serangan itu. Menambatkan membeku USDT pada alamat yang ditautkan ke exploit.
Eksploitasi Qubit pada 27 Januari 2022
Keuangan Qubit kalah 206,809 BNB ($80 juta) dalam eksploitasi QBridge pada 27 Januari 2022. Proyek ini membangun protokolnya di Binance Chain.
Eksploitasi secara curang mencetak 77,162 qXETH, yang dapat ditukarkan oleh penyerang dengan token BNB. Qubit menawarkan untuk bernegosiasi dengan penyerang untuk mendapatkan kembali dana tersebut.
Eksploitasi lubang cacing pada 2 Februari 2022
Penyerang dengan curang mencetak 120,000 ETH yang dibungkus di blockchain Solana menggunakan jembatan Wormhole pada 2 Februari 2022. Mereka membuat akun tanda tangan palsu untuk memvalidasi transaksi mereka.
Seorang peneliti Paradigm merekayasa balik serangan tersebut dan menetapkan bahwa Wormhole telah gagal menerapkan protokol validasi yang lebih kuat untuk tanda tangan walinya.
Paspor Meter.io dieksploitasi pada 5 Februari 2022
Jembatan Paspor Meter Meter.io kalah Eksploitasi $4.4 juta pada 5 Februari 2022. Eksploitasi menargetkan platform kontrak cerdas Moonriver di jaringan Kusama Polkadot. Penyerang mencuri BNB dan membungkus ETH dan kemudian membuang BNB di bursa terdesentralisasi UniSwap.
Eksploitasi ini menyebabkan penurunan harga BNB yang memungkinkan orang lain untuk mengambil BNB murah dan menggunakannya sebagai jaminan untuk pinjaman pada platform seperti Hundred Crisis. Pinjaman tersebut menyebabkan masalah pasokan untuk aplikasi pinjaman yang terpengaruh.
Eksploitasi Jembatan Ronin pada 29 Maret 2022
Penyerang mencuri 173,600 ETH dan 25.5 juta USDC (sekitar $600 juta) dari jembatan Ronin pada 29 Maret 2022. Eksploitasi melibatkan perolehan akses ke kunci pribadi node validator. Pengembang jembatan Ronin menghentikan penyetoran dan penarikan sampai penyelidik memiliki kesempatan untuk menentukan apa yang terjadi.
Pengembang membangun sidechain Ronin game Axie Infinity Ethereum untuk menghemat biaya. Sayangnya, mereka berkompromi pada keamanan.
WonderHero mengeksploitasi pada 7 April 2022
Pahlawan Ajaib ditemukan eksploitasi jembatannya pada 7 April 2022, ketika nilai token WND asli secara tak terduga anjlok hingga 50%. Itu kehilangan $300,000 dalam token WND dalam serangan itu.
WonderHero menghentikan situs web, permainan, jembatan, setoran, dan penarikannya saat menyelidiki. Ini memulai kembali permainan, pasar, dan sistem hasil. Sejak itu, WonderHero diposting sebuah analisis yang mengonfirmasi bahwa jembatan Binance-nya telah disusupi.
Eksploitasi Jembatan Horizon Harmony One pada 23 Juni 2022
Horizon Bridge Harmony One kehilangan $100 juta dalam eksploitasi pada 23 Juni 2022. Timnya tersebut itu bekerja dengan otoritas penegak hukum dan ahli forensik untuk menyelidiki eksploitasi. Alamat yang digunakan untuk menerima dana curian menerima "Penjelajah Jembatan Horizon” label di Etherscan. Horizon Bridge Exploiter saat ini memiliki token lebih dari $93,000.
Baca lebih lanjut: Jembatan lintas-blockchain terus rusak saat startup crypto Nomad diretas seharga $ 190 juta
Eksploitasi ChainSwap pada 10 Juli 2022
ChainSwap kehilangan 20 juta token WILD dalam eksploitasi pada 10 Juli 2022. Wilder World menggunakan WILD sebagai token aslinya. Pengguna Twitter pseudonim dan "warga" Wilder World melihat eksploitasi ChainSwap pada 10 Juli 2022. Eksploitasi juga memengaruhi token Antimateri, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank, dan Unifarm.
ChainSwap membekukan jembatan Ethereum-Binance Smart Chain saat diselidiki.
Sebelum kejadian ini, ChainSwap menderita eksploitasi lain di mana ia kehilangan $800,000 dalam bentuk token pada 2 Juli. Ia berhasil menutup sebagian dari kerugian itu dalam serangan itu.
Eksploitasi Nomad pada 2 Agustus 2022
Penyerang mencuri $190 juta dalam bentuk token dengan mengeksploitasi kerentanan dalam kontrak pintar Nomad pada 2 Agustus 2022. Setelah metode yang digunakan untuk mengeksploitasi kontrak pintar dipublikasikan, serangan massal menghabiskan banyak uang.
CISO Andressen Horowitz disarankan bahwa beberapa penjarah mungkin adalah pengeksploitasi "topi putih" yang bertujuan untuk menyimpan uang dari tangan aktor jahat. Pengembara tersebut itu bekerja dengan penegak hukum dan perusahaan keamanan swasta untuk menyelidiki dan terima kasih aktor topi putih untuk mengambil inisiatif untuk melindungi dana.
Untuk berita lebih lanjut, ikuti kami di Twitter dan berita Google atau dengarkan podcast investigasi kami Inovasi: Kota Blockchain.
Sumber: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/