Blockchain-bridging is een game changer in het gedecentraliseerde financiële (DeFi) ecosysteem, waardoor naadloze interoperabiliteit tussen protocollen mogelijk wordt.
Met bridges, of bruggen, kunnen gebruikers digitale assets tussen netwerken verplaatsen, waardoor de kracht en het potentieel van DeFi worden onthuld.
Maar met grote kracht…
Bridges zijn het gemakkelijkste doelwit geworden voor spraakmakende hacks in de crypto-industrie, met een verlies van $2 miljard in 2022.
Wat kunnen we leren van blockchain-bridge-hacks uit het verleden, en wat kunnen ontwikkelaars doen om de risico’s te verminderen?
Blockchain-bridgehacks
Hieronder vind je een aantal opmerkelijke bridge-hacks die tot aanzienlijke verliezen hebben geleid.
Ronin Hack
De hack op de Ronin-bridgeis niet alleen de belangrijkste bridgeaanval, maar ook de grootste crypto-aanval aller tijden. Het werd georkestreerd tegen een bridge gebouwd door Sky Mavis, een ontwikkelaar van de play-to-own-game Axie Infinity, om de op EVM gebaseerde zijketen van Axie Infinity, Ronin Network, te verbinden met ethereum (ETC).
Via social engineering hebben de hackers een van de technici van het bedrijf gecompromitteerd en toegang gekregen tot privésleutels. De hackers deden zich voor als recruiter en boden banen aan aan een selectie van de ontwikkelaars van Axie Infinity, van wie er één in het aas greep.
Na een reeks interviews kreeg de ontwikkelaar – een senior engineer – de baan aangeboden en ontving hij een pdf-bestand met alle details over de compensatie. Na het downloaden van het document, gevuld met spyware, kregen de hackers toegang tot vier van de negen validators (verantwoordelijk voor het verifiëren van transacties op het netwerk).
Aangezien ze nog geen controle hadden gekregen over de 50% van de validators die nodig waren om met succes transacties af te tekenen, maakten ze misbruik van een achterdeur die open bleef toen de gedecentraliseerde autonome organisatie (DAO) Sky Mavis het recht gaf om namens haar te tekenen voor transacties. met een hoog gebruikersvolume.
Hiermee konden de hackers plaats maken voor meer dan $600 miljoen aan crypto-activa. Concreet leidde de exploit tot het verlies van 173,6K ETH- en 25,5 miljoen USDC-tokens. De aanval was gekoppeld aan de Lazarus Group, een van de door de Noord-Koreaanse overheid gesponsorde hackersgroepen, die de afgelopen jaren naar verluidt meer dan 2 miljard dollar aan crypto-activa hadden gestolen.
Binance-hack
Een andere grote bridge-hack was de Binance-bridge-hack, resulterend in het verlies van meer dan $570 miljoen aan crypto-activa. De Binance-bridge verbindt en maakt de overdracht van activa mogelijk van Binance’s BNB Chain en BNB Smart Chain naar ethereum en terug.
Volgens Immunefi, een Web3- en crypto-bug bounty- en beveiligingsplatform, hebben de hackers misbruik gemaakt van een bug in het transactiebewijs van de Binance-bridge. De hacker slaagde erin een bericht te bemachtigen dat de geldigheid van een transactie bewees, waardoor de logica van het contract werd misleid door te denken dat het bericht inderdaad geldig was, ook al had de hacker geen aanspraak op het geld.
Dit resulteerde erin dat de Token Hub de transactie uitbetaalde, wat leidde tot het weglekken van twee miljoen BNB-tokens ter waarde van ongeveer $570 miljoen op het moment van de aanval. Terwijl het resterende geld in de keten bevroren was, konden de hackers 137 miljoen dollar overmaken naar andere ketens.
Door de gestolen BNB als onderpand te gebruiken om verschillende stablecoins te lenen, werd het grootste deel van het geld witgewassen via Venus en Geist, terwijl het resterende geld via Uniswap, PancakeSwap, Curve Finance en Platypus Finance ging.
Wormhole-hack
In 2022 was er weer een blockchain-bridge-hack, Wormhole, die Solana verbindt met andere belangrijke blockchains zoals ethereum. Bij de aanval werd misbruik gemaakt van een verouderde functie in de code om de handtekeningverificatie te omzeilen.
Op basis van open source-codecommits werd de code die bedoeld was om dit beveiligingslek aan te pakken al in januari geproduceerd en op de dag van de aanval in februari gepubliceerd in de Wormhole GitHub-repository.
De hacker ontdekte de kwetsbaarheid pas enkele uren later, mogelijk nadat hij de commits in de code had gezien, wat erop wees dat de productieapplicatie de fixes nog niet had ontvangen. Dit stelde hen in staat een geldige handtekening te vervalsen voor een transactie waarmee ze vrijelijk 120.000-verpakte Ethereum (wETH) konden slaan.
Nomad-hack
In tegenstelling tot andere bridges die native blockchains en validators hebben, is Nomad over het algemeen een bridge waarmee gebruikers activa en gegevens kunnen overbrengen via verschillende blockchains, zoals ethereum en Moonbeam.
Deze cross-chain bridge is kostenefficiënter dan andere, omdat het gebruik maakt van smart contracts op de keten om overbrugde fondsen en off-chain agenten te verzamelen en te distribueren om berichten tussen verschillende blockchains door te geven en te verifiëren, waardoor de overhead wordt verminderd.
De hack omvatte in totaal 960 transacties met 1.175 individuele opnames van de bridge. De exploit werd mogelijk gemaakt door een verkeerde configuratie van het belangrijkste smart contract van het project, waardoor iedereen met een basiskennis van de code zelf opnames kon autoriseren.
Volgens Nomad zorgde een implementatiefout ervoor dat het Replica-contract de berichten niet correct kon verifiëren. Door dit probleem kon elk bericht worden vervalst, zolang het nog niet was verwerkt.
Als gevolg hiervan vertoonden contracten die voor de authenticatie van inkomende berichten afhankelijk waren van de Replica, beveiligingsproblemen. Deze authenticatiefout had tot gevolg dat frauduleuze berichten werden doorgegeven aan het Nomad BridgeRouter-contract, waardoor opnames mogelijk waren.
In totaal werd de bridge ontdaan van $190 miljoen aan crypto in de vorm van USDC en wETH. Na deze hack bood Nomad een premie aan, waarbij aanvallers 10% van hun geld mogen behouden en juridische gevolgen kunnen vermijden, op voorwaarde dat de resterende 90% wordt teruggegeven, naast een Whitehat non-fungible token (NFT) als blijk van waardering. Uiteindelijk werd echter slechts $ 36 miljoen teruggevorderd.
Harmony-hack
De crypto-industrie leed een verlies van $100 miljoen door een blockchain-bridgeaanval die gericht was op de Horizon-bridge die eigen is aan de Harmony layer-1-blockchain. De bridge vergemakkelijkt de overdracht van activa tussen Harmony en de BNB Smart Chain- en Ethereum-blockchains.
Hoewel het onbekend is hoe de hackers toegang kregen tot de privésleutels, werd vastgesteld dat de exploit mogelijk werd gemaakt door hun compromis. Deze sleutels werden gebruikt om een transactie goed te keuren en de overdracht van geld te bewerkstelligen.
Harmony’s Horizon Bridge had echter slechts twee van de vijf privésleutels nodig om een transactie af te tekenen. Nadat de hacker de twee sleutels had gestolen, keurden ze een transactie ter waarde van $ 100 miljoen goed.
De hack was gekoppeld aan de Lazarus Group, die het geld in Tornado Cash witwast ondanks dat er een premie van $ 1 miljoen werd aangeboden.
Bridges: de zwakste schakel
Chainalysis stelt dat blockchain-bridges gevoeliger zijn voor crypto-hacks dan blockchain-netwerken. In 2022 waren bridge-hacks verantwoordelijk voor meer dan 52% van alle cryptoverliezen en 64% van alle defi-protocolverliezen.
Bridges zijn kwetsbaarder omdat ze, ondanks dat ze zich in een gedecentraliseerde omgeving bevinden, een centraal punt hebben waar ze al het onderpand voor overbrugde activa opslaan. Dit maakt de bridge een gemakkelijker doelwit, ongeacht de methode die wordt gebruikt om de activa op te slaan, of het nu een smart contract is of met een centrale bewaarder.
Bovendien blijft een succesvol bridgeontwerp, ondanks dat er talloze nieuwe modellen worden gemaakt en getest, een technisch probleem. Deze ontwerpen bieden nieuwe aanvalspunten die kwaadwillende actoren kunnen gebruiken naarmate de tijd verstrijkt, zelfs als de best practices worden verbeterd.
Sommige bridgeprojecten publiceren hun broncodes ook als open source om openheid en transparantie te bevorderen. Hoewel open-sourcecodes het vertrouwen bevorderen, maken ze het voor hackers gemakkelijker om zwakke punten in de software van een bridge te onderzoeken, dupliceren of vinden.
Verbetering van de Blockchain Bridge-beveiliging
De beveiliging van Blockchain-bridges kan in gevaar worden gebracht door technische benaderingen, zoals het vinden van foutjes in de code, of door mensen met bevoorrechte toegang tot de bridge te manipuleren door middel van technieken zoals social engineering.
Als zodanig moeten pogingen om de beveiliging van bridges te verbeteren rekening houden met beide kwetsbaarheden. Op technisch vlak moeten ontwikkelaars:
Gebruik maken van multi-signature technologie
Multi-sig is een aanpak waarbij meerdere goedkeuringen of handtekeningen vereist zijn voordat een transactie wordt uitgevoerd en geld wordt overgemaakt. Dit voorkomt dat één partij de absolute macht heeft, waardoor er een single point of Failure ontstaat.
Doordat er meerdere handtekeningen nodig zijn, wordt het single point of faillisement geëlimineerd en wordt het voor een hacker moeilijk om goedkeuring te krijgen om een transactie te voltooien. Hoewel de methode al vele jaren in de crypto-industrie wordt toegepast, hebben velen de minimaal vereiste handtekeningen of het totale aantal ondertekenaars moeten verhogen voor extra beveiligingslagen.
Audits
Er is ook vastgesteld dat code een bron van kwetsbaarheden op bridge is. Hackers kunnen mazen in de wet vinden en deze exploiteren voor activa door de code te verkennen. Daarom moeten bridges uitgebreide beoordelingen en audits ondergaan om kwetsbare codes in een veiliger omgeving te identificeren.
Audits door derden, zoals die van Trails of Bits, Solidified, Ackee Report, Halborn of Code4rena, worden ook aanbevolen.
Deze audits moeten ook worden uitgebreid naar nieuw geschreven code voordat deze wordt samengevoegd met de productiecode om potentiële kwetsbaarheden te identificeren die kunnen ontstaan als gevolg van de aangebrachte wijzigingen.
Optimistische aanpak
Bij deze aanpak gaat een bridge ervan uit dat alle transacties geldig zijn en worden in plaats daarvan externe deelnemers gebruikt om verdachte transacties te markeren in ruil voor beloningen voordat ze worden uitgevoerd.
Als zodanig vertrouwt de bridge op de validators om verdachte transacties op te merken en deze te betwisten voor verder onderzoek, wat resulteert in een veiligere bridge. De veiligheid gaat echter ten koste van de snelheid van uitvoering van transacties, omdat ze moeten wachten tot de challenge-periode is verstreken, waarin de derde partijen een transactie kunnen markeren.
Onderwijs
Wat mensen en hun interacties met platforms betreft, kunnen bridge-eigenaren eraan werken hun ontwikkelaars en personen met bevoorrechte toegang voor te lichten over hoe ze social engineering en phishing-zwendel kunnen identificeren en vermijden.
Deze mensen moeten ook op de hoogte blijven van de nieuwste trends en hacks om de nieuwe manieren te leren waarop hackers ontwikkelaars oplichten voor informatie die de bridge in gevaar zou kunnen brengen.
Conclusie
Ongetwijfeld heeft de toename van blockchain-bridges ook geleid tot een toename van de geleden verliezen. Dat heeft onvermijdelijk gevolgen gehad voor de markt door een daling van de prijs van activa of een verminderd transactievolume te veroorzaken, zij het tijdelijk.
Hackers ontwikkelen voortdurend hun technieken en verbeteren hun aanpak. Gelukkig versterken ontwikkelaars en platforms ook de beveiliging van de bridges en zijn ze waakzamer over hun aanpak om het platform te beveiligen.
Bovendien zou de sector uiteindelijk kunnen worden gereguleerd met normen en raamwerken die zijn ingevoerd om de algehele veiligheid van de sector te garanderen. Als gevolg hiervan zal het DeFi-landschap, zij het langzaam, veiliger worden en minder bedreigd door hacks. Dit zal het vertrouwen bij investeerders stimuleren en inspireren, wat zal resulteren in groei in de sector.
Referenties
- What went wrong: Biggest blockchain bridge hacks – (Limechain)
- Hack Analysis: Binance Bridge, October 2022 – (Medium)
- Nomad Bridge Hack: Root Cause Analysis – (Medium)
- 2022 Biggest Year Ever For Crypto Hacking with $3.8 Billion Stolen, Primarily from DeFi Protocols and by North Korea-linked Attackers – (Chainalysis)