Blockchainové mosty jsou jednou z těch nejčastěji napadaných součástí kryptoměnové infrastruktury. A jedním z typických příkladů je oblíbený Ronin Bridge, který můžete znát např. v kontextu NFT hry Axie Infinity. Co se stalo v minulosti i aktuálně a jak se před takovými podvody chránit?
Ronin hack číslo 1
Ještě než se podíváme na aktuální problém, pojďme se ohlédnout za jedním z těch největších krypto hacků za celé fungování kryptoměn. V březnu roku 2022 se totiž Ronin Network stala terčem hackerů, kteří z ní vybrali až okolo 600 milionů dolarů. Tentokrát se jednalo o spíše individuální selhání, kdy útočník získal přístup k privátním klíčům vývojářského studia Sky Mavis. A jelikož v tu dobu byla ovládána síť pouze 9 validátory a útočník získal přístup ke 4 z nich, a postupně i k pátému, mohl si jednoduše ověřovat a potvrzovat transakce na celé síti.
Toho taky využil k tomu, aby z Ronin bridge kontraktu vybral 173 600 ETH a 25,5 milionů USDC. Tento hack jasně ukazuje, jak nebezpečná může být centralizace u kryptoměnových projektů. A to obzvlášť v případě, kdy pravomoci centralizované do rukou jen několika osob mohou ovlivnit fungování celé sítě. A navíc nejsou perfektně zabezpečeny.
Ronin Bridge a 2024 hack
Dva roky poté a blockchainové mosty jsou stále oblíbeným terčem útočníků. A to zejména proto, že jejich kontrakt bývají zpravidla naplněny značným kapitálem, aby zajistily co nejlepší likviditu pro převody mezi blockchainy.
V letošním roce tak přišel další útok na Ronin bridge, který je aktuálně stále ve stavu “v údržbě“ a čeká na uvedení zpět v provoz. Tentokrát se však jednalo o útok s mnohem menšími ztrátami. K tomu se ale ještě dostaneme. Co se tedy stalo?
V srpnu letošního roku bylo z Ronin bridge ukradeno cca 10 milionů dolarů. A dlouho nebyl znám oficiální důvod. S tím však po několika dnech přišla jak bezpečnostní společnost Verichains, tak i samotný tým Roninu, který tato odůvodnění prakticky potvrdil.
Na Ronin bridge totiž přišla větší aktualizace, která se však nevyhnula chybám. Tento upgrade totiž způsobil, že krátkodobě stačil nulový počet validátorů k potvrzení transakce. Vybírat z kontraktu mostu tak šlo prakticky bez jakéhokoliv potvrzení jeho klasických validátorů. V praxi tak nemuseli dokazovat validátorům, že kryptoměny jsou opravdu jejich a mají právo na jejich výběr.
NÁŠ TIP
Kniha KRYPTOŠLECHTA z paneláku
Ke knize získáš i přístup k 10 videím, kde Ivo detailně popisuje a vysvětluje dané krypto podvody.
V realitě tak mohl přijít opravdu velký průšvih, kdy bylo možné vybrat až úplně všechny prostředky z kontraktů bridge. Situaci zachránil operátor frontrunning/MEV bota pod přezdívkou Frontrunner Yoink, který využil toho, že útočník nastavil pouze nízké transakční poplatky a jeho transakci “předběhnul“ a vybral prostředky na svou peněženku.
Jelikož pak Yoink bot neměl nekalé úmysly, tým se mu povedlo zachránit. Domluvil se s nimi totiž na vrácení všech prostředků, za což získal odměnu ve výši 500 000 USD.
Ponaučení
A co si z toho vzít? V prvním případě rozhodně znalost potenciálních rizik centralizace. Ať už se bavíme o přístupu ke kódu, validátorům, nebo třeba o možnosti neomezeně nakládat s pokladnicí projektů.
V druhém případě to, že kryptoměny jsou stále ještě značně experimentálním prostředí, akorát že s obrovským kapitálem v reálném světě. Proto je třeba u každého upgradu, updatu a dalších očekávat, že se cokoliv mohlo pokazit. Možností je tak nevyužívat produkty těsně/v průběhu přechodu na nové verze a čekat, než se vše ověří. V případě blockchainových mostů také doporučujeme před využitím sledovat stav mostu. To můžete udělat ověřením, že probíhají transakce na blockchainovém prohlížeči, i kontrolou sociálních sítí, zdali již někdo o nějakém problému nemluví.
Kurz
JAK NEPŘIJÍT O KRYPTOMĚNY
Připravili jsme pro tebe našlapaný kurz, který se skládá z 14stránkového e-booku a 13 videí, kde řešíme 95 % nejčastějších podvodů na kryptoměnách.
