~/defi/bridges $ cat ronin-wormhole-nomad-uroki.md
Ronin, Wormhole, Nomad: le tre mega-rapine dei bridge e le loro lezioni
Il 2022 è l'anno dei bridge: tre rapine, tre vettori diversi, per oltre un miliardo di dollari in totale. Materiale didattico perfetto.
Ronin (~$620 milioni): le chiavi
Il bridge di Axie Infinity lo confermavano 9 validatori, la soglia - 5 firme. Lazarus ha ottenuto 4 chiavi di Sky Mavis più la chiave di un validatore «terzo» che aveva delegato i diritti allo stesso team. Cinque firme raccolte - il deposito svuotato. La lezione: il comitato delle chiavi è indipendente esattamente quanto sono davvero indipendenti i suoi membri.
Wormhole (~$320 milioni): il codice
Un bug nella verifica delle firme ha permesso all'attaccante di «dimostrare» un deposito inesistente e mintare 120 mila wETH dall'aria. Il buco l'ha chiuso il capitale di Jump, salvando la garanzia delle ricevute. La lezione: una riga di codice cross-chain regge centinaia di milioni; una ricevuta senza forziere è zero.
Nomad (~$190 milioni): la folla
Un errore di inizializzazione ha reso valida una «prova» fatta di zeri - ed è iniziata la prima rapina crowdsourcing della storia: centinaia di indirizzi copiavano la transazione del primo scopritore cambiando l'indirizzo del destinatario. La lezione: l'exploit può essere accessibile a ogni passante - la velocità di reazione del team decide tutto.
La conclusione generale per l'utente non è cambiata: il bridge è un luogo di transito, non di custodia; l'asset wrappato è una ricevuta su un forziere che viene svaligiato più spesso di ogni altro deposito dell'industria.