Цена уязвимостей в криптографии: о хакерских атаках и блокчейн-мостах на рынке криптовалют в 2022 году

Один из последних отчетов ImmuneFi – компании, специалисты которой исследуют безопасность блокчейнов, недавно успел привлечь внимание СМИ. И не зря, ведь в нем приводятся интересные данные: за последние три месяца в результате разных хакерских атак было украдено около 670 млн долларов в криптовалюте. Самая крупная - на блокчейн-мост. Опять.

«В интернете очень глупо надеяться на безопасность, ведь вы входите в систему, к которой подключены сразу два млрд компьютеров. И если вы думаете, что кто-то вас защитит от хакеров, то кто, черт возьми, это сделает?» - Джон Макафи, создатель антивирусного ПО McAfee, сторонник криптовалют.

Блокчейн-мосты и другие тернистые дороги

Вероятно, вы уже слышали про инцидент с протоколом Harmony и атаку на блокчейн-мост Harmony horizon, которая стоила 100 миллионов долларов. В результате эксплуатации уязвимости злоумышленник смог вывести разную криптовалюту, которая затем была конвертирована в ETH на Uniswap (DEX-биржа). Если вам интересны технические детали и алгоритм действий хакера в отношении MultiSigWallet, то тут представлен детальный разбор.

Если просто и коротко, мосты (blockchain bridges) – это решения, которые позволяют переводить криптовалюты из одного блокчейна в другой, поскольку каждый блокчейн уникален. Технология относительно молодая, что и объясняет ее недостатки. Особой популярностью она стала пользоваться только в 2021 году. Именно тогда появилось достаточно много мостов для Ethereum.

Интересно, что в более раннем отчете ImmuneFi говорится о том, что в течение первого квартала 2022 года криптохакеры смогли украсть более 1,2 млрд долларов. Большая часть суммы пришлась также на блокчейн-мосты.

Wormhole и Ronin

В феврале 2022 года злоумышленники атаковали Wormhole. Эти ребята предлагали мост между Solana и другими блокчейнами. И именно с него хакеры смогли вывести около 120 000 wETH (в разном эквиваленте), суммарная стоимость которых на тот момент составляла около 323 млн долларов. Злоумышленники нашли лазейку в самой системе подтверждения заморозки токенов на одном блокчейне с последующим выпуском токенов на другом. Они создали специальный фейковый аккаунт, через который и осуществили кражу.

Еще одним крупным инцидентом стал случай с мостом Ronin. Он произошел через месяц после кражи через Wormhole. На этот раз злоумышленники, помимо прочего, использовали социальный инжиниринг. Это позволило им украсть порядка 625 млн долларов. Кстати, мост перезапущен.

Хотели как лучше, а получилось как всегда

Ну и, конечно, самое время вспомнить еще об одной крупнейшей хакерской атаке через блокчейн-мост, произошедшей в 2021 году. В августе с the Poly Network было украдено более 610 млн долларов в результате реализации уязвимости смарт-контрактов на платформе. Тут, правда, надо заметить, что по итогу все деньги компании были возвращены, а хакер вдобавок получил за это вознаграждение. Кстати, Мистер Белая Шляпа (белый хакер, укравший криптовалюту) сообщил, что изначально планировал ее вернуть.

Ну, а что дальше

Вероятно, рост доверия пользователей с учетом последних событий будет по отношению к тем мостам, компании которых обладают серьезными запасами для покрытия подобных расходов. А вообще, у технологии достаточно много слабых мест, что концептуально связано с разницей между блокчейнами разных сетей. И исправляться они будут по ходу развития самой технологии.

По большому счету, именно хакеры показывают те недостатки мостов, которые приводят к их дальнейшей трансформации. Конечно, эти решения достаточно удобны, но именно за удобство и приходится расплачиваться дополнительными рисками. Хотя в случае со взломом Harmony есть версия, что хакер просто демонстрировал свои возможности. И что, раз он не пытается анонимизировать криптовалюту, возможно, это все разновидность радикального и несанкционированного тестирования. Кстати, сама сеть объявила награду в 1 млн долларов за необходимую информацию о взломе и заявила, что не будет организовывать уголовное преследование, если крипту вернут. Так что, возможно, при благоприятном сценарии мы все окажемся в плюсе. Сеть станет надежнее, компания получит свои деньги, а хакер станет богаче и исправит себе карму.

Мосты и торговые маршруты

Несмотря на эксплойты, с экономической точки зрения блокчейн-мосты выполняют одну важную роль на рынке - они являются поставщиками ликвидности, выступая в роли каналов для перевода. Об объемах ликвидности можно судить хотя бы по тем суммам, которые были украдены в результате приведенных в статье хакерских атак. Суммы действительно значительные, потому что, к примеру, за первый квартал 2022 года из WEB3-проектов ВСЕГО было украдено около 2 млрд долларов. Короче, направление это все еще достаточно молодое, но обновления и последующие DeFi-решения могут решить проблемы. С другой стороны, если вас так пугают эксплойты, всевозможные риски и теории заговоров, в любой момент можно стать консервативным биткоин-инвестором only.

P.S. Хотя недавно промелькнула интересная новость про группу майнеров «отцов-основателей», которые добывали первые биткоины. Ну и, конечно, теперь с новым энтузиазмом люди обсуждают новые теории заговора относительно BTC. Но это уже совсем другая история и тема для следующей статьи.