Миллионы украдены в результате кибератаки, использующей уязвимость в ключевом компоненте платформы DeFi
Garden Finance, протокол межсетевого моста, потерял около 11 миллионов долларов после того, как скомпрометированный решатель слил средства с платформы.
Протокол предлагал вознаграждение в размере 10% за возврат украденных средств. Он также ищет помощи в понимании того, как именно произошел эксплойт.
Что произошло и почему это важно
Атака была нацелена на решатель Garden Finance, по сути, механизм маркет-мейкера, который облегчает межсетевые транзакции. Мосты перемещают активы между различными блокчейнами, а решатели являются посредниками, которые сопоставляют и выполняют эти сделки.
Garden Finance заявила, что эксплойт не затронул средства пользователей, предполагая, что уязвимость была связана с операционной инфраструктурой протокола, а не с активами, внесенными пользователями.
Реклама
Исследователи безопасности выразили обеспокоенность по поводу того, действительно ли скомпрометированный решатель был независимой третьей стороной или частью собственной внутренней инфраструктуры Garden. Если последнее, то уязвимость заключалась не в каком-то мошенническом внешнем субъекте, использующем несанкционированную систему, а скорее в сбое в собственном управлении ключами протокола и операционной безопасности.
Многие протоколы мостов полагаются на небольшое количество доверенных участников для проверки и передачи сообщений между цепочками. Когда эти участники подвергаются риску, будь то посредством социальной инженерии, плохой гигиены ключей или инсайдерского доступа, вся система может развалиться.
Мосты остаются самой уязвимой целью криптовалют
Аналитики безопасности неоднократно предупреждали, что многие мостовые архитектуры по своей сути хрупкие, поскольку полагаются на слабую проверку сообщений и централизованное управление ключами. Мосты находятся на пересечении нескольких моделей доверия, и самому мосту часто приходится совмещать эти различия с помощью автономных ретрансляторов или схем с мультиподписью, которые создают риск централизации.
Эксплойт Garden Finance появился примерно в то же время, что и другой инцидент с мостом Ронин, в результате которого бот с максимальной извлекаемой ценностью (MEV) вывел 11,33 миллиона долларов. Sky Mavis, компания, стоящая за Ronin, заявила, что основные резервы моста остаются в безопасности.
Ранее Ronin Bridge стал целью одного из крупнейших эксплойтов DeFi — кражи 620 миллионов долларов, связанной с северокорейскими хакерами, которая стала примером того, почему централизация доверия к небольшому набору валидаторов создает катастрофические единые точки отказа. Мост «Червоточина» пострадал от отдельного взлома стоимостью 322 миллиона долларов.
Что это значит для инвесторов
Предложение Garden Finance о вознаграждении в размере 10% призвано побудить злоумышленника предпочесть гарантированную выплату риску быть отслеженным или привлеченным к ответственности. Тот факт, что Гарден одновременно просит помощи в понимании основной причины эксплойта, говорит о том, что команда все еще пытается разобраться, что пошло не так.
Каждое взаимодействие моста — это неявная ставка на то, что автономная инфраструктура моста, управление ключами и логика смарт-контрактов одновременно функционируют правильно в враждебных условиях.