Hackere har stjålet 1.4 milliarder dollars i år ved hjælp af kryptobroer

Krypto-investorer er blevet hårdt ramt i år af hacks og svindel. En grund er, at cyberkriminelle har fundet en særlig nyttig vej til at nå dem: broer.

Blockchain-broer, som næppe forbinder netværk for at muliggøre hurtige udvekslinger af tokens, vinder popularitet som en måde for kryptobrugere at handle på. Men ved at bruge dem omgår krypto-entusiaster en centraliseret udveksling og bruger et system, der stort set er ubeskyttet.

I alt omkring 1.4 milliarder dollars er gået tabt på grund af brud på disse krydskædede broer siden starten af ​​året, ifølge tal fra blockchain-analysefirmaet Chainalysis. Den største enkeltstående begivenhed var rekord 615 millioner dollars træk snuppet fra Ronin, en bro, der understøtter det populære ikke-fungible token-spil Axie Infinity, som lader brugere tjene penge, mens de spiller.

Der var også $320 millioner stjålet fra Wormhole, en kryptobro støttet af Wall Street højfrekvente handelsfirma Jump Trading. I juni led Harmony's Horizon-broen et angreb på 100 millioner dollars. Og i sidste uge, næsten 200 millioner dollars blev beslaglagt af hackere i et brud rettet mod Nomad.

"Blockchain-broer er blevet den lavthængende frugt for cyberkriminelle, med kryptoaktiver for milliarder af dollars låst inde i dem," sagde Tom Robinson, medstifter og chefforsker hos blockchain-analysefirmaet Elliptic, i et interview. "Disse broer er blevet brudt af hackere på en række forskellige måder, hvilket tyder på, at deres sikkerhedsniveau ikke har holdt trit med værdien af ​​aktiver, de har."

Broudnyttelserne sker i en slående hastighed, i betragtning af at det er et så nyt fænomen. Ifølge Chainalysis-data tegner det stjålne beløb ved brotyverier sig for 69 % af de midler, der er stjålet i krypto-relaterede hacks indtil videre i 2022.

En bro er et stykke software, der gør det muligt for nogen at sende tokens ud af ét blockchain-netværk og modtage dem på en separat kæde. Blockchains er de distribuerede hovedbøger, der understøtter forskellige kryptovalutaer.

Når du skifter et token fra en kæde til en anden - som ved at sende nogle ether fra ethereum til solana-netværket - en investor indsætter tokens i en smart kontrakt, et stykke kode på blockchain, der gør det muligt for aftaler at eksekvere automatisk uden menneskelig indblanding.

Denne krypto bliver så "præget" på en ny blockchain i form af en såkaldt wrapped token, som repræsenterer et krav på de originale ether-mønter. Tokenet kan derefter handles på et nyt netværk. Det kan være nyttigt for investorer, der bruger ethereum, som er blevet berygtet for pludselige stigninger i gebyrer og længere ventetider, når netværket er optaget.

"De rummer normalt enorme mængder penge," sagde Adrian Hetman, tech lead hos kryptosikkerhedsfirmaet Immunefi. "Disse mængder af penge, og hvor meget trafik der går gennem broer, er et meget lokkende angrebspunkt."

Broers sårbarhed kan til dels spores til sjusket teknik.

Hacket på Harmony's Horizon-broen var for eksempel muligt på grund af det begrænsede antal validatorer, der var nødvendige for at godkende transaktioner. Hackere behøvede kun at kompromittere to ud af i alt fem konti for at få de nødvendige adgangskoder til at hæve penge.

En lignende situation opstod med Ronin. Hackere behøvede kun at overbevise fem ud af ni validatorer på netværket til at udlevere deres private nøgler for at få adgang til krypto låst inde i systemet.

I Nomads tilfælde var broen meget nemmere for hackere at manipulere. Angribere var i stand til at indtaste enhver værdi i systemet og derefter hæve penge, selvom der ikke var nok aktiver deponeret i broen. De behøvede ingen programmeringsfærdigheder, og deres bedrifter fik copycats til at hobe sig ind, hvilket førte til det ottende største kryptotyveri nogensinde, ifølge Elliptic.

Nomad er tilbyder hackere en dusør på op til 10 % for at hente brugermidler og siger, at den vil afholde sig fra at anlægge sag mod hackere, der returnerer 90 % af de aktiver, de tog.

Nomad fortalte CNBC, at det er "forpligtet til at holde sit samfund opdateret, efterhånden som det lærer mere" og "sætter pris på alle dem, der handlede hurtigt for at beskytte midler."

Broer er et væsentligt værktøj i den decentraliserede finansindustri (DeFi), som er kryptos alternativ til banksystemet.

Med DeFi styres pengeudvekslingerne af et programmerbart stykke kode, der kaldes en smart kontrakt, i stedet for at centraliserede spillere slår skud. Denne kontrakt er skrevet på en offentlig blockchain, som f.eks ethereum or Solana, og det udføres, når visse betingelser er opfyldt, hvilket negerer behovet for en central mellemmand. 

"Vi kan ikke bare flytte disse aktiver," sagde Hetman. "Det er derfor, vi har brug for blockchain-broer."

Efterhånden som DeFi-området fortsætter med at udvikle sig, bliver udviklere nødt til at gøre blockchains interoperable for at sikre, at aktiver og data kan flyde jævnt mellem netværk.

"Uden dem er aktiver låst på indfødte kæder," sagde Auston Bunsen, medstifter af QuikNode, som leverer blockchain-infrastruktur til udviklere og virksomheder.

Men de er risikable.

"De er faktisk ukontrollerede," sagde David Carlisle, leder af regulatoriske anliggender hos Elliptic. De er "meget sårbare over for hacks eller til at blive brugt i forbrydelser som hvidvaskning af penge."

Kriminelle har overført mindst 540 millioner dollars i dårligt opnåede gevinster gennem en bro kaldet RenBridge siden 2020, ifølge ny forskning som elliptisk leverede til CNBC.

"Et stort spørgsmål er, om broer vil blive underlagt regulering, da de fungerer meget som kryptobørser, som allerede er reguleret," sagde Carlisle.

I denne uge, US Treasury Department's Office of Foreign Assets Control, eller OFAC, annoncerede sanktioner mod Tornado Cash, en populær kryptovaluta-mixer, der forbyder amerikanere at bruge tjenesten. Mixere er værktøjer, der blander en brugers tokens med en pulje af andre midler for at skjule identiteten på de involverede personer og enheder.

Carlisle sagde, at det er ved at blive tydeligt, at "amerikanske regulatorer er parate til at gå efter DeFi-tjenester, der letter ulovlig aktivitet."

HOLDE ØJE: Adrian Hetman fra Immunefi forklarer, hvordan hackere stjal 200 millioner dollars