[ad_1]
Ngayong linggo, ang cryptocurrency community Ronin isiwalat isang paglabag kung saan nakuha ng mga umaatake ang $540 milyon na halaga ng Ethereum at USDC stablecoin. Ang insidente, na isa sa pinakamalaking heists sa kasaysayan ng cryptocurrency, ay partikular na sumipsip ng mga pondo mula sa isang serbisyo na kilala bilang Ronin Bridge. Ang mga matagumpay na pag-atake sa “mga tulay na blockchain” ay naging pangkaraniwan sa nakalipas na ilang taon, at ang sitwasyon kay Ronin ay isang kilalang paalala ng pagkaapurahan ng problema.
Ang mga blockchain bridge, na kilala rin bilang community bridges, ay mga utility na nagpapahintulot sa mga tao na ilipat ang mga digital asset mula sa isang blockchain patungo sa isa pa. Ang mga cryptocurrency ay karaniwang siled at hindi maaaring mag-interoperate—hindi ka makakagawa ng isang transaksyon sa Bitcoin blockchain gamit ang Dogecoins—kaya ang “mga tulay” ay naging isang mahalagang mekanismo, halos nawawalang hyperlink, sa ekonomiya ng cryptocurrency.
Ang mga serbisyo ng tulay ay “i-wrap” ang cryptocurrency upang i-convert ang isang uri ng barya sa isa pa. Kaya kung pupunta ka sa isang tulay upang gumamit ng isa pang pera, tulad ng Bitcoin (BTC), ang tulay ay magluluwa ng mga nakabalot na bitcoin (WBTC). Ito ay tulad ng isang present card o isang tseke na kumakatawan sa nakaimbak na halaga sa isang versatile na alternatibong format. Ang mga tulay ay nangangailangan ng isang reserba ng mga cryptocurrency na barya upang i-underwrite ang lahat ng mga nakabalot na barya, at ang trove na iyon ay isang pangunahing goal para sa mga hacker.
“Anumang capital on-chain ay napapailalim sa pag-atake 24/7/365, kaya ang mga tulay ay palaging magiging isang tanyag na goal,” sabi ni James Prestwich, na nag-aaral at bumuo ng mga cross-chain na mga protocol ng komunikasyon. “Ang mga tulay ay patuloy na lalago dahil ang mga tao ay palaging nais ng pagkakataon na sumali sa mga bagong ecosystem. Sa paglipas ng panahon, gagawin naming propesyonal, bubuo ng pinakamahuhusay na kagawian, at magkakaroon ng mas maraming tao na could kakayahang bumuo at magsuri ng bridge code. Ang mga tulay ay sapat na bago kaya kakaunti ang mga eksperto.”
Bilang karagdagan sa pagnanakaw ng Ronin, ang mga umaatake ay nagnakaw ng humigit-kumulang $80 milyon na halaga ng cryptocurrency mula sa Qubit Bridge sa katapusan ng Enero, humigit-kumulang $320 milyon ang halaga. mula sa Wormhole Bridge sa simula ng Pebrero, at $4.2 milyon na nagkakahalaga ng mga araw mamaya mula sa Meter.io Bridge. Magugunitang, ang tulay ng Poly Community ay could humigit-kumulang $611 milyon na halaga ng cryptocurrency na ninakaw noong Agosto, bago ang umaatake. ibinalik ang pondo makalipas ang ilang araw. Sa lahat ng mga pag-atakeng ito, pinagsamantalahan ng mga hacker ang mga kahinaan ng software program upang maubos ang mga pondo, ngunit ang pag-atake ng Ronin Bridge ay could ibang kahinaan.
Si Ronin ay nilikha ng kumpanyang Vietnamese na Sky Mavis, na bumuo ng sikat na NFT-based na online game Axie Infinity. Sa kaso ng bridge hack na ito, tila ginamit ng mga umaatake ang social engineering upang linlangin ang kanilang paraan sa pag-access sa mga pribadong encryption key na ginagamit upang i-verify ang mga transaksyon sa community. At ang paraan ng pag-set up ng mga key na ito upang patunayan ang mga transaksyon ay hindi lubos na mahigpit, na nagpapahintulot sa mga umaatake na aprubahan ang kanilang mga nakakahamak na pag-withdraw.
“Tulad ng aming nasaksihan, si Ronin ay hindi immune sa pagsasamantala, at ang pag-atake na ito ay nagpatibay sa kahalagahan ng pagbibigay-priyoridad sa seguridad, pananatiling mapagbantay, at pagpapagaan ng lahat ng mga banta,” isinulat ng kumpanya sa paunang pahayag nito tungkol sa insidente noong Martes.
Natuklasan ni Ronin ang paglabag noong araw na iyon, ngunit ang “validator nodes” ng platform ay nakompromiso noong Marso 23. Ninakaw ng mga attacker ang 173,600 Ethereum at 25.5 milyong USDC. Ang Ronin Bridge ay bumaba mula midday, at ang mga gumagamit ay hindi maaaring magsagawa ng mga transaksyon sa platform.
[ad_2]
Source link