क्यों हैकर्स क्रॉस-ब्लॉकचेन ब्रिज का शोषण करते रहते हैं

7 जनवरी, 2022 को, इथेरियम के सह-संस्थापक विटालिक ब्यूटिरिन आगाह क्रॉस-ब्लॉकचेन पुलों की सुरक्षा के बारे में। उन्होंने वैज्ञानिक रूप से तर्क दिया कि ब्लॉकचेन में संपत्ति को पाटना कभी भी एक ब्लॉकचेन के भीतर रहने के समान गारंटी का आनंद नहीं लेगा। वह सही था।

ब्लॉकचेन के बीच परिसंपत्तियों की सुरक्षित परिवर्तनीयता की गारंटी नहीं है। सटीक होने के लिए, कोई भी वास्तव में किसी अन्य ब्लॉकचेन को संपत्ति "भेज" नहीं सकता है और न ही "पुल" कर सकता है। इसके बजाय, संपत्ति एक श्रृंखला पर जमा, बंद या जला दी जाती है; फिर दूसरी श्रृंखला पर क्रेडिट, अनलॉक या खनन किया गया।

इससे भी बदतर, ब्लॉकचेन ऑफ-चेन जानकारी तक नहीं पहुंच सकता है। कोई भी ब्लॉकचेन मूल रूप से यह सत्यापित नहीं कर सकता है कि कोई भी बहु-ब्लॉकचेन संपत्ति "पुल" है। सबसे अच्छा, तीसरे पक्ष के ओरेकल ऑफ-चेन जानकारी की सत्यता की पुष्टि करते हैं और ऑन-चेन उपयोग के लिए उस डेटा की व्याख्या करते हैं। हालांकि, यह ब्रिजिंग प्रक्रिया के लिए विश्वास की पहली परत का परिचय देता है: डेटा ऑरेकल में विश्वास। ट्रस्ट की अगली परत संरक्षक है।

आमतौर पर, कस्टोडियन के पास एक संपत्ति जमा करके और दूसरे ब्लॉकचेन पर कस्टोडियन से उस संपत्ति का "लिपटे" संस्करण प्राप्त करने से ब्रिजिंग होती है। उपयोगकर्ता को मूल संपत्ति को सुरक्षित रखने और लपेटी गई संपत्ति को जारी करने के लिए संरक्षक पर भरोसा करना चाहिए।

कभी-कभी, यह संरक्षक डीएओ या स्मार्ट अनुबंध का रूप ले सकता है। किसी भी मामले में - चाहे DAO हो या BitGo जैसी कॉर्पोरेट संस्था (दुनिया के संरक्षक) सबसे बड़ा लपेटी हुई संपत्ति, लिपटे हुए बिटकॉइन) — ब्रिजिंग विश्वास की कई परतों का परिचय देता है।

जारी रखते हुए, विश्वास की अगली परत परिवर्तनीयता और मूल्य समता है। सीधे शब्दों में कहें, तो ब्रिज एसेट प्राप्त करना पर्याप्त नहीं है। एक उपयोगकर्ता को अतिरिक्त रूप से यह विश्वास करना जारी रखना चाहिए कि वे भविष्य में उस संपत्ति को 1-के-1 आधार पर वापस पा सकेंगे। एक मूल संपत्ति को एक लपेटी गई संपत्ति के बराबर होना चाहिए। यह मूल्य समता जोखिम है।

कम से कम, ब्रिज की गई संपत्ति को मूल संपत्ति के साथ समानता बनाए रखनी चाहिए। इसलिए, इस तरह, उपयोगकर्ता न केवल स्वैपिंग के क्षण में ब्रिजिंग प्रक्रिया पर भरोसा कर रहा है, बल्कि तब तक जब तक वे भविष्य में एक लपेटी हुई संपत्ति का उपयोग कर रहे हैं। 

संक्षेप में, एक परिसंपत्ति के सभी सुरक्षा जोखिम उनके ब्रिज (लिपटे) समकक्षों के लिए तेजी से गुणा करते हैं।

टीथर लिमिटेड के बारे में चिंतित हैं कि वह $ 1 के लिए एक यूएसडीटी को रिडीम नहीं कर रहा है? उसी यूएसडीटी को टीथर लिमिटेड द्वारा समर्थित ब्लॉकचैन पर पुल करें और आपके जोखिम को कस्टोडियन (ओं), स्मार्ट कॉन्ट्रैक्ट्स, तरलता, मूल्य समता, और सबसे बढ़कर, पुल को जलाए जाने से पहले आपको वापस जाने की आवश्यकता नहीं होगी। सुरक्षा।

एक तरह से, क्रॉस-ब्लॉकचेन ब्रिज वर्महोल की तरह होते हैं: वे अंतरिक्ष में सामग्री का परिवहन करते हैं, लेकिन वे अनायास ही बनते और नष्ट हो जाते हैं।

वास्तव में, वर्महोल दुनिया के सबसे अच्छी तरह से पूंजीकृत पुल का नाम है, जो एथेरियम और सोलाना के ब्लॉकचेन को जोड़ता है। ये था hacked - जैसा कि कई पुल हैं। नीचे एक सूची है।

19 जनवरी, 2022 को मल्टीचैन का शोषण

हमलावरों चुरा लिया वर्ष की शुरुआत में मल्टीचैन क्रॉस-ब्लॉकचैन ब्रिज के शोषण में $ 3 मिलियन। मल्टीचैन ने प्रारंभिक संदेश जारी किया जिससे उपयोगकर्ताओं को प्रश्न क्या उनके फंड सुरक्षित थे। यह आगाह उपयोगकर्ता अपने प्लेटफॉर्म पर प्रभावित स्मार्ट अनुबंधों से WETH, MATIC, AVAX, PERI, OMT और WBNB टोकन वापस ले सकते हैं।

मल्टीचैन बाद में कहा एक हमलावर ने हमले में चोरी हुए 259 ईटीएच लौटा दिए। बांधने की रस्सी सील कर दी शोषण से जुड़े पतों पर USDT।

27 जनवरी, 2022 को क्यूबिट का शोषण

क्यूबिट फाइनेंस खोया 206,809 जनवरी, 80 को QBridge के शोषण में 27 BNB ($ 2022 मिलियन)। परियोजना ने Binance Chain पर अपना प्रोटोकॉल बनाया।

शोषण ने धोखाधड़ी से 77,162 qXETH का खनन किया, जिसे हमलावर बीएनबी टोकन के लिए भुना सकते थे। क्यूबिट ने हमलावर से पैसे वापस पाने के लिए बातचीत करने की पेशकश की।

2 फरवरी, 2022 को वर्महोल का शोषण

हमलावरों ने 120,000 फरवरी, 2 को वर्महोल ब्रिज का उपयोग करके सोलाना के ब्लॉकचेन पर 2022 लिपटे ईटीएच को धोखे से ढाला। उन्होंने अपने लेनदेन को मान्य करने के लिए एक नकली हस्ताक्षर खाता बनाया।

एक प्रतिमान शोधकर्ता ने हमले को रिवर्स-इंजीनियर किया और निर्धारित किया कि वर्महोल अपने अभिभावक हस्ताक्षरों के लिए अधिक मजबूत सत्यापन प्रोटोकॉल को लागू करने में विफल रहा है।

5 फरवरी, 2022 को Meter.io का मीटर पासपोर्ट शोषण

Meter.io का मीटर पासपोर्ट ब्रिज खोया 4.4 फरवरी, 5 को एक कारनामे में $2022 मिलियन। शोषण ने पोलकडॉट के कुसामा नेटवर्क पर मूनरिवर स्मार्ट कॉन्ट्रैक्ट प्लेटफॉर्म को लक्षित किया। हमलावरों ने बीएनबी चुरा लिया और ईटीएच लपेट लिया और फिर बीएनबी को विकेन्द्रीकृत एक्सचेंज यूनीस्वैप पर छोड़ दिया।

इस कारनामे ने बीएनबी की कीमत में गिरावट का कारण बना, जिसने अन्य व्यक्तियों को सस्ते बीएनबी को स्कूप करने और इसे हंड्रेड क्राइसिस जैसे प्लेटफार्मों पर ऋण के लिए संपार्श्विक के रूप में उपयोग करने की अनुमति दी। ऋणों के कारण प्रभावित ऋण ऐप्स के लिए आपूर्ति संबंधी समस्याएं हुईं।

29 मार्च, 2022 को रोनिन ब्रिज का शोषण

हमलावरों चुरा लिया 173,600 ईटीएच और 25.5 मिलियन यूएसडीसी (लगभग $600 मिलियन) 29 मार्च, 2022 को रोनिन पुल से। शोषण में सत्यापनकर्ता नोड्स की निजी कुंजी तक पहुंच प्राप्त करना शामिल था। रोनिन ब्रिज के डेवलपर्स ने जमा और निकासी को तब तक रोक दिया जब तक जांचकर्ताओं को यह निर्धारित करने का मौका नहीं मिला कि क्या हुआ था।

डेवलपर्स ने फीस बचाने के लिए एक्सी इन्फिनिटी गेम एथेरियम के रोनिन साइडचेन का निर्माण किया। दुर्भाग्य से, उन्होंने सुरक्षा से समझौता किया।

7 अप्रैल, 2022 को वंडरहीरो का शोषण

वंडरहीरो की खोज 7 अप्रैल, 2022 को इसके पुल का एक शोषण, जब इसके मूल WND टोकन का मूल्य अप्रत्याशित रूप से 50% कम हो गया। हमले में उसे WND टोकन में $300,000 का नुकसान हुआ।

WonderHero ने जांच के दौरान अपनी वेबसाइट, गेम, ब्रिज, जमा और निकासी को रोक दिया। इसने गेम, मार्केटप्लेस और यील्ड सिस्टम को फिर से शुरू किया। तब से, WonderHero तैनात एक विश्लेषण यह पुष्टि करता है कि इसके बिनेंस ब्रिज से समझौता किया गया था।

हार्मनी वन का क्षितिज ब्रिज 23 जून, 2022 को शोषण करता है

हार्मनी वन के होराइजन ब्रिज को 100 जून, 23 को एक कारनामे में $2022 मिलियन का नुकसान हुआ। इसकी टीम कहा यह शोषण की जांच के लिए कानून प्रवर्तन अधिकारियों और फोरेंसिक विशेषज्ञों के साथ काम कर रहा था। चुराए गए धन को प्राप्त करने के लिए उपयोग किए जाने वाले पते पर "क्षितिज ब्रिज शोषक"इथरस्कैन पर लेबल। होराइजन ब्रिज एक्सप्लॉयटर के पास वर्तमान में टोकन में केवल $93,000 से अधिक है।

अधिक पढ़ें: क्रॉस-ब्लॉकचेन ब्रिज टूटते रहते हैं क्योंकि क्रिप्टो स्टार्टअप घुमंतू ने $ 190M . के लिए हैक किया था

10 जुलाई, 2022 को चेनस्वैप का शोषण

20 जुलाई, 10 को एक कारनामे में ChainSwap ने 2022 मिलियन WILD टोकन खो दिए। Wilder World अपने मूल टोकन के रूप में WILD का उपयोग करता है। एक छद्म नाम का ट्विटर उपयोगकर्ता और वाइल्डर वर्ल्ड "नागरिक" देखा 10 जुलाई, 2022 को चेनस्वैप शोषण। शोषण ने एंटीमैटर, ऑप्शनरूम, अम्ब्रेलाबैंक, नॉर्ड, रेजर, पेरी, यूनिडो, ओरो, वोर्टेक्स, ब्लैंक और यूनिफार्म टोकन को भी प्रभावित किया।

चैनस्वैप ने जांच के दौरान अपने एथेरियम-बिनेंस स्मार्ट चेन ब्रिज को फ्रीज कर दिया।

इस घटना से पहले, चेनस्वैप का सामना करना पड़ा एक और कारनामा जिसमें 800,000 जुलाई को टोकन में $2 का नुकसान हुआ। यह उस हमले में उन नुकसानों में से कुछ की भरपाई करने में कामयाब रहा।

2 अगस्त 2022 को खानाबदोश शोषण

हमलावरों चुरा लिया 190 अगस्त, 2 को घुमंतू के स्मार्ट अनुबंध में भेद्यता का फायदा उठाकर $2022 मिलियन टोकन।

एंड्रेसन होरोविट्ज़ का CISO सुझाव हो सकता है कि कुछ लुटेरे "सफेद टोपी" शोषक रहे हों, जिसका लक्ष्य नापाक अभिनेताओं के हाथों से पैसा बचाना था। बंजारा कहा यह जांच करने के लिए कानून प्रवर्तन और निजी सुरक्षा फर्मों के साथ काम कर रहा था और धन्यवाद दिया धन की रक्षा के लिए पहल करने के लिए व्हाइट हैट अभिनेता।

अधिक जानकारी के लिए हमें फॉलो करें ट्विटर और गूगल समाचार या हमारे खोजी पॉडकास्ट को सुनें नवप्रवर्तन: ब्लॉकचेन सिटी.