Взлом US Harmony на 100 миллионов долларов подтверждает опасения основателя Ethereum по поводу перекрестных цепных мостов

Несколько месяцев назад основатель ETH описал опасность перекрестных цепных мостов, а сегодня USA Harmony взломана на 100 миллионов долларов.

Кросс-сетевой мост Harmony, Horizon, стал последним из таких мостов, подвергшихся атаке хакеров. Похоже, что в последнее время крипто-мосты между цепочками стали огромной целью для хакеров.

После Моста Ронинов на Axie Infinity теперь жертвой точной атаки стал Мост Горизонта. Однако средства, украденные через Horizon Bridge, намного меньше, чем средства, полученные через Ronin. Взлом Ronin Bridge привел к потере около 620 миллионов долларов ETH и USDC, а атака на Horizon Bridge привела к потере криптовалюты на сумму около 100 миллионов долларов.

После атаки компания Harmony, базирующаяся в Калифорнии, США, сообщила в Twitter печальную новость, добавив, что в настоящее время компания тесно сотрудничает с властями и судебно-медицинскими экспертами, чтобы выследить злоумышленников.

1/ Команда Harmony выявила кражу, произошедшую сегодня утром на мосту Горизонт, на сумму прибл. 100 миллионов долларов. Мы начали работать с национальными властями и судебно-медицинскими экспертами, чтобы установить виновного и вернуть украденные средства.

Больше ?

— Гармония? (@гармоническийпротокол) 23 июня 2022

Биткойн не затронут

В то время как несколько блокчейнов, обслуживаемых Horizon Bridge, были затронуты, цепочка Биткойн не потерпела никаких неудач. Harmony признали это в своей ветке Twitter. Затронутые сети включают Binance Chain и Ethereum.

3/Обратите внимание, что это не влияет на ненадежный мост BTC; его средства и активы, хранящиеся в децентрализованных хранилищах, в настоящее время в безопасности.

— Гармония? (@гармоническийпротокол) 23 июня 2022

Расследование атаки показало, что во время атаки было украдено несколько токенов. К ним относятся AAVE, USDC, wETH, wBTC, USDT, BUSD, AAG, SUSHI, FXS, FRAX и DAI. Судя по всему, злоумышленники перешли к обмену украденных токенов на ETH на Uniswap DEX, прежде чем отправить ETH обратно в свои кошельки. Судя по всему, это было спланированное нападение.

Обеспокоенность сообщества подтверждена

После того, как новость об атаке была раскрыта, сообщество поднялось с оружием в руках, напомнив Harmony и отрасли в целом об опасениях, высказанных по поводу системы управления Multisig, используемой для защиты моста и криптографии.

Национальные власти и судебно-медицинские эксперты должны провести расследование *вас*, чтобы выяснить, какие нарушения правил безопасности позволили совершить эту «кражу».

- Крис Блэк (@ChrisBlec) 24 июня 2022

Harmony использовала функцию мультиподписи, которая требовала только двух из четырех доверенных лиц для выполнения передачи токена. Злоумышленникам удалось завладеть двумя валидаторами и получить доступ к тайнику.

В последнее время участились случаи взлома межсетевых мостов, что вызвало призывы к дополнительным проверкам безопасности со стороны операторов мостов. С начала года такие атаки привели к совокупным потерям криптоплатформ на сумму около 1 миллиарда долларов.

Угрозы перекрестных цепных мостов

Более 6 месяцев назад Виталик резюмировал риски перекрестных мостов в Reddit пост:

«Фундаментальные ограничения безопасности мостов на самом деле являются ключевой причиной, почему, хотя я с оптимизмом смотрю на многоцепочечную блокчейн-экосистему (на самом деле существует несколько отдельных сообществ с разными ценностями, и им лучше жить отдельно, чем всем бороться за влияние на то же самое), я пессимистично отношусь к межсетевым приложениям.

Чтобы понять, почему мосты имеют эти ограничения, нам нужно посмотреть, как различные комбинации блокчейнов и мостов выдерживают атаки 51%. У многих людей есть менталитет, что «если блокчейн подвергается атаке 51%, все ломается, и поэтому мы должны приложить все наши усилия для предотвращения атаки 51% хотя бы раз». Я действительно не согласен с таким стилем мышления; на самом деле, блокчейны сохраняют многие из своих гарантий даже после атаки 51%, и очень важно сохранить эти гарантии.

Например, предположим, что у вас есть 100 ETH на Ethereum, и Ethereum подвергается атаке на 51%, поэтому некоторые транзакции подвергаются цензуре и/или отменяются. Что бы ни случилось, у вас все еще есть 100 ETH. Даже злоумышленник 51% не может предложить блок, который забирает ваш ETH, потому что такой блок нарушит правила протокола и поэтому будет отклонен сетью. Даже если 99% хэш-мощности или доли хотят забрать ваш ETH, каждый, кто управляет узлом, будет просто следовать цепочке с оставшимся 1%, потому что только его блоки следуют правилам протокола. В более общем случае, если у вас есть приложение на Ethereum, то атака 51% может подвергнуть его цензуре или отменить его на какое-то время, но то, что получается в конце, является непротиворечивым состоянием. Если у вас было 100 ETH, но вы продали их за 320000 100 DAI на Uniswap, даже если блокчейн подвергнется какой-то произвольной сумасшедшей атаке, в конце дня у вас все равно будет разумный результат — либо вы оставляете свои 320000 ETH, либо получаете свои. XNUMXр. Результат, при котором вы не получаете ни того, ни другого (или, если уж на то пошло, и того, и другого), нарушает правила протокола и поэтому не будет принят.

Теперь представьте, что произойдет, если вы переместите 100 ETH на мост на Солане, чтобы получить 100 Solana-WETH, а затем Ethereum подвергнется атаке на 51%. Злоумышленник вложил кучу своих собственных ETH в Solana-WETH, а затем отменил эту транзакцию на стороне Ethereum, как только сторона Solana подтвердила это. Контракт Solana-WETH больше не поддерживается полностью, и, возможно, ваши 100 Solana-WETH теперь стоят всего 60 ETH. Даже если существует идеальный мост на основе ZK-SNARK, который полностью подтверждает консенсус, он все равно уязвим для кражи из-за подобных атак 51%.

По этой причине всегда безопаснее хранить собственные активы Ethereum в Ethereum или собственные активы Solana в Solana, чем хранить собственные активы Ethereum в Solana или собственные активы Solana в Ethereum.". 

- Рекламное объявление -