Hackere har stjålet 1.4 milliarder dollar i år ved å bruke kryptobroer

Krypto-investorer har blitt hardt rammet i år av hacks og svindel. En grunn er at nettkriminelle har funnet en spesielt nyttig vei for å nå dem: broer.

Blokkjedebroer, som binder sammen nettverk for å muliggjøre raske bytte av tokens, blir stadig mer populært som en måte for kryptobrukere å handle på. Men når de bruker dem, omgår kryptoentusiaster en sentralisert utveksling og bruker et system som stort sett er ubeskyttet.

Totalt rundt 1.4 milliarder dollar har gått tapt på grunn av brudd på disse broene på tvers av kjeder siden begynnelsen av året, ifølge tall fra blokkjedeanalysefirmaet Chainalysis. Den største enkeltbegivenheten var rekord 615 millioner dollar tatt fra Ronin, en bro som støtter det populære ikke-fungible token-spillet Axie Infinity, som lar brukere tjene penger mens de spiller.

Det var også 320 millioner dollar stjålet fra Wormhole, en kryptobro støttet av høyfrekvenshandelsfirmaet Jump Trading på Wall Street. I juni ble Harmony's Horizon-broen utsatt for et angrep på 100 millioner dollar. Og forrige uke, nesten 200 millioner dollar ble beslaglagt av hackere i et brudd rettet mot Nomad.

"Blokkjedebroer har blitt den lavthengende frukten for nettkriminelle, med kryptoaktiva for milliarder av dollar låst inne i dem," sa Tom Robinson, medgründer og sjefforsker ved blokkjedeanalysefirmaet Elliptic, i et intervju. "Disse broene har blitt brutt av hackere på en rekke måter, noe som tyder på at sikkerhetsnivået deres ikke har holdt tritt med verdien av eiendelene de har."

Bruutnyttelsene skjer i en slående hastighet, med tanke på at det er et så nytt fenomen. I følge Chainalysis-data utgjør beløpet som er stjålet i broran, 69 % av midler som er stjålet i kryptorelaterte hacks så langt i 2022.

En bro er et stykke programvare som lar noen sende tokens ut av ett blokkjedenettverk og motta dem på en egen kjede. Blokkjeder er de distribuerte hovedboksystemene som underbygger ulike kryptovalutaer.

Når du bytter en token fra en kjede til en annen - som å sende noen ether fra ethereum til solana-nettverket – en investor setter inn tokens i en smart kontrakt, et stykke kode på blokkjeden som gjør at avtaler kan utføres automatisk uten menneskelig innblanding.

Den kryptoen blir deretter "preget" på en ny blokkjede i form av en såkalt wrapped token, som representerer et krav på de originale etermyntene. Tokenet kan deretter handles på et nytt nettverk. Det kan være nyttig for investorer som bruker ethereum, som har blitt beryktet for plutselige økninger i gebyrer og lengre ventetider når nettverket er opptatt.

"De har vanligvis enorme mengder penger," sa Adrian Hetman, teknisk leder hos kryptosikkerhetsfirmaet Immunefi. "Disse pengebeløpene, og hvor mye trafikk som går gjennom broer, er et veldig fristende angrepspunkt."

Sårbarheten til broer kan delvis spores til slurvete prosjektering.

Hacket på Harmonys Horizon-bro var for eksempel mulig på grunn av det begrensede antallet validatorer som var nødvendig for å godkjenne transaksjoner. Hackere trengte bare å kompromittere to av totalt fem kontoer for å få de nødvendige passordene for å ta ut penger.

En lignende situasjon skjedde med Ronin. Hackere trengte bare å overbevise fem av ni validatorer på nettverket til å overlevere sine private nøkler for å få tilgang til krypto låst inne i systemet.

I Nomads tilfelle var broen mye enklere for hackere å manipulere. Angripere var i stand til å legge inn hvilken som helst verdi i systemet og deretter ta ut penger, selv om det ikke var nok eiendeler deponert i broen. De trengte ingen programmeringskunnskaper, og deres bedrifter førte til at copycats hopet seg inn, noe som førte til tidenes åttende største kryptotyveri, ifølge Elliptic.

Nomad er tilbyr hackere en dusør på opptil 10 % for å hente brukermidler og sier at de vil avstå fra å forfølge rettslige skritt mot hackere som returnerer 90 % av eiendelene de tok.

Nomad sa til CNBC at det er "forpliktet til å holde fellesskapet oppdatert etter hvert som det lærer mer" og "setter pris på alle de som handlet raskt for å beskytte midler."

Broer er et viktig verktøy i den desentraliserte finansindustrien (DeFi), som er kryptos alternativ til banksystemet.

Med DeFi, i stedet for sentraliserte aktører som slår skuddet, administreres pengevekslingen av en programmerbar kodebit kalt en smart kontrakt. Denne kontrakten er skrevet på en offentlig blokkjede, som f.eks ethereum or Solana, og den utføres når visse betingelser er oppfylt, og negerer behovet for en sentral mellommann. 

"Vi kan ikke bare flytte disse eiendelene," sa Hetman. "Det er derfor vi trenger blockchain-broer."

Ettersom DeFi-området fortsetter å utvikle seg, må utviklere gjøre blokkjeder interoperable for å sikre at eiendeler og data kan flyte jevnt mellom nettverk.

"Uten dem er eiendeler låst på innfødte kjeder," sa Auston Bunsen, medgründer av QuikNode, som leverer blockchain-infrastruktur til utviklere og selskaper.

Men de er risikable.

"De er i praksis ukontrollerte," sa David Carlisle, leder for regulatoriske anliggender i Elliptic. De er "veldig sårbare for hacks, eller for å bli brukt i forbrytelser som hvitvasking av penger."

Kriminelle har overført minst 540 millioner dollar verdt av dårlig oppnådde gevinster gjennom en bro kalt RenBridge siden 2020, ifølge ny forskning som Elliptic ga til CNBC.

"Et stort spørsmål er om broer vil bli underlagt regulering, siden de fungerer mye som kryptobørser, som allerede er regulert," sa Carlisle.

Denne uken, det amerikanske finansdepartementets kontor for kontroll av utenlandske aktiva, eller OFAC, kunngjorde sanksjoner mot Tornado Cash, en populær kryptovaluta-mikser, som forbyr amerikanere å bruke tjenesten. Miksere er verktøy som blander en brukers tokens med en pool av andre midler for å skjule identiteten til enkeltpersoner og enheter som er involvert.

Carlisle sa at det begynner å bli tydelig at "amerikanske regulatorer er forberedt på å gå etter DeFi-tjenester som tilrettelegger for ulovlig aktivitet."

SE: Adrian Hetman fra Immunefi forklarer hvordan hackere stjal 200 millioner dollar