W marcu 2022 r. sieć kryptowalut Ronin ujawnił, że padł ofiarą jednego z największych włamań wszechczasów, doznając naruszenia, które pozwoliło atakującym: ukraść ponad 540 milionów dolarów wartość monet Ethereum i USD. W wyniku incydentu hakerzy wykorzystali lukę w usłudze znanej jako Ronin Bridge. Jest to jeden z wielu udanych ataków na „mosty łańcucha bloków”, które zwróciły uwagę na ich nieodłączną nieefektywność bezpieczeństwa.
Mosty łańcucha bloków, czasami nazywane mostami sieciowymi, to usługi, które umożliwiają posiadaczom kryptowalut przenoszenie ich zasobów cyfrowych z jednego łańcucha bloków do drugiego. Pełnią ważną rolę, ponieważ kryptowaluty są często wyciszone i nie mają interoperacyjności, co oznacza, że możesz na przykład wysłać Bitcoin na adres portfela Ethereum. Z powodu tej cichej natury mosty stały się kluczowym mechanizmem w gospodarce kryptograficznej.
Usługi pomostowe w rzeczywistości nie przenoszą jednego rodzaju zasobów cyfrowych do innego łańcucha. Zamiast tego to, co robią, to „owijanie” tokenów kryptowalut w celu przekształcenia ich w nowy zasób w drugim łańcuchu. Jeśli więc użytkownik chce połączyć Bitcoin z Solaną, most zasadniczo zamrozi oryginalny BTC, blokując go w adresie portfela, zanim wypluje coś, co jest znane jako opakowane BTC (WBTC), którego można użyć w drugim łańcuchu. Można ją traktować jako rodzaj karty podarunkowej, która zapewnia dokładnie taką samą wartość pieniężną, której można użyć tylko w określonym sklepie.
Ze względu na sposób działania mosty przechowują zatem znaczne rezerwy tokenów kryptowalut, które są zamknięte w inteligentnych kontraktach, a te rezerwy czynią je szczególnie atrakcyjnymi dla hakerów.
Jak wierni kryptowaluty wiedzą aż za dobrze, każda wartość przechowywana w łańcuchu może być atakowana o każdej porze dnia. Internet nigdy nie przechodzi w tryb offline, co oznacza, że zawsze można uzyskać dostęp do tokenów przechowywanych przez dowolny most.
Ronin Hack pokazuje niebezpieczeństwo centralizacji
Była to mocno scentralizowana konfiguracja, która wynikała z decyzji Axie Dao o utworzeniu w listopadzie 2021 r. bezgazowego węzła RPC, aby spróbować rozwiązać problem przeciążenia sieci. DAO dopuściło klucze Sky Mavis do podpisywania transakcji w jego imieniu. Miał to być tylko tymczasowy układ, ale lista dozwolonych nigdy nie została odwołana. Ten stworzył otwarcie dla atakujących – podobno sponsorowanej przez Koreę Północną Grupy Lazarus – która wykorzystała techniki socjotechniki do skompromitowania czterech kluczy Sky Mavis. Hakerzy odkryli następnie lukę w kodzie RPC, dając mu kontrolę nad piątym walidatorem i umożliwiając mu dokonanie nielegalnego wypłaty.
Głównym problemem było to, że system multipodpisu Ronina do podpisywania transakcji został naruszony z powodu braku decentralizacji. Ilustruje słabość mechanizmów bezpieczeństwa, w których większość zarządzania jest skoncentrowana w rękach jednego podmiotu.
Utrzymują się luki w inteligentnych kontraktach
Qubit Bridge został zhakowany z powodu „błędu logicznego” w kodzie inteligentnego kontraktu. Luka umożliwiła hakerowi manipulowanie mostem za pomocą złośliwych danych, dzięki czemu mógł wycofać tokeny BSC bez dokonywania wpłaty na Ethereum. jakiś autopsja ataku okazało się, że inteligentna umowa QBridge nie weryfikowała prawidłowo, czy wymagana ilość ETH została zablokowana. Zamiast tego haker był w stanie pokazać fałszywy dowód nieistniejącego depozytu.
Incydent posłużył do zwrócenia uwagi na to, jak luki w inteligentnych kontraktach pozostają uporczywym problemem w DeFi, a zwłaszcza w przypadku mostów blockchain. Zdecydowana większość ataków pomostowych jest wycelowana w błędy w inteligentnych kontraktach, które są automatycznymi kontraktami, które wykonują się samoczynnie po spełnieniu określonych warunków.
Mosty są kluczem do zwiększenia zasięgu kryptowalut
Budowanie lepszych mostów
Dobrą wiadomością jest to, że w branży są tacy, którzy dostrzegają znaczenie bezpiecznej łączności blockchain. Jedną ekscytującą perspektywą jest: AllianceBlock bardzo obiecujący Most Sojuszu, który obsługuje główne sieci, w tym Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism i Energy Web, z unikalną infrastrukturą, która jest bardziej zdecentralizowana i zapewnia szybszą i bezpieczniejszą wydajność.
W przeciwieństwie do mostów scentralizowanych, które polegają na jednym lub tylko kilku podmiotach w celu sprawdzenia, czy transakcje są legalne, mosty zdecentralizowane opierają się na tych samych zasadach, co sam blockchain. Istnieje wielu operatorów, którzy wykorzystują dobrze ustrukturyzowane mechanizmy konsensusu w celu ustalenia ważności transakcji. AllianceBridge to zdecentralizowany most, który opracował unikalną metodę zapewniania konsensusu.
Podobnie jak w przypadku innych, AllianceBridge blokuje otrzymane tokeny w inteligentnej umowie, a następnie wydaje opakowane tokeny na docelowym blockchainie. Te opakowane tokeny będą istnieć w drugim łańcuchu do czasu, gdy użytkownik zdecyduje się je wykorzystać w oryginalnej sieci. W tym momencie opakowane tokeny zostają spalone, co oznacza, że przestają istnieć, podczas gdy oryginalne tokeny w rodzimym łańcuchu zostają odblokowane.
AllianceBridge różni się tym, że wykorzystuje kompatybilną z EVM sieć operatorów mostowych. Ponadto wykorzystuje solidną, zewnętrzną firmę Usługa konsensusu Hedera Hashgraph napędzany przez innowacyjny “plotki-o-plotkach” algorytm konsensusu.
Korzystając z usługi HCS, aplikacje i sieci blockchain mogą przesyłać wiadomości do publicznej księgi Hedera, gdzie są oznaczane czasowo i uporządkowane z pełną przejrzystością. Umożliwia to AllianceBridge osiągnięcie konsensusu bez utrzymywania synchronizacji między operatorami mostów. Oznacza to szybszą wydajność przy wysokim stopniu decentralizacji, podczas gdy HCS zapewnia dodatkową warstwę zaufania, która sprawia, że most jest bezpieczniejszy.
Inteligentne kontrakty AllianceBridge, które służą do blokowania oryginalnych aktywów oraz wybijania i wypalania opakowanych tokenów, zapewniają jeszcze większą pewność. Cała baza kodów inteligentnych kontraktów została napisana tak, aby rezonować ze standardem EIP-2535 i została w pełni skontrolowany przez Omniscia. Podczas audytu Omniscia wskazała na szereg potencjalnych problemów, które AllianceBlock szybko naprawił, zanim kod został uruchomiony.
Bezpieczeństwo i niezawodność AllianceBridge odegrało kluczową rolę w rozszerzeniu użyteczności pakietu ofert DeFi AllianceBlock, w tym Terminal DeFi, który zapewnia projektom łatwy sposób uruchamiania kampanii wydobywania płynności i stakingu w wielu obsługiwanych sieciach i aplikacjach dApps. Dzięki bezpiecznemu protokołowi interoperacyjności blockchain AllianceBlock buduje solidne podstawy, których potrzebuje bogaty, połączony ekosystem Web3, aby się rozwijać i ewoluować.
- Reklama -
Source: https://thecryptobasic.com/2022/09/21/web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean/?utm_source=rss&utm_medium=rss&utm_campaign=web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean