Web3 nie wejdzie do głównego nurtu, dopóki nie będzie bezproblemowej integracji Blockchain: Co to oznacza przy coraz większej liczbie ataków mostkowych?

W marcu 2022 r. sieć kryptowalut Ronin ujawnił, że padł ofiarą jednego z największych włamań wszechczasów, doznając naruszenia, które pozwoliło atakującym: ukraść ponad 540 milionów dolarów wartość monet Ethereum i USD. W wyniku incydentu hakerzy wykorzystali lukę w usłudze znanej jako Ronin Bridge. Jest to jeden z wielu udanych ataków na „mosty łańcucha bloków”, które zwróciły uwagę na ich nieodłączną nieefektywność bezpieczeństwa.

Mosty łańcucha bloków, czasami nazywane mostami sieciowymi, to usługi, które umożliwiają posiadaczom kryptowalut przenoszenie ich zasobów cyfrowych z jednego łańcucha bloków do drugiego. Pełnią ważną rolę, ponieważ kryptowaluty są często wyciszone i nie mają interoperacyjności, co oznacza, że ​​możesz na przykład wysłać Bitcoin na adres portfela Ethereum. Z powodu tej cichej natury mosty stały się kluczowym mechanizmem w gospodarce kryptograficznej.

Usługi pomostowe w rzeczywistości nie przenoszą jednego rodzaju zasobów cyfrowych do innego łańcucha. Zamiast tego to, co robią, to „owijanie” tokenów kryptowalut w celu przekształcenia ich w nowy zasób w drugim łańcuchu. Jeśli więc użytkownik chce połączyć Bitcoin z Solaną, most zasadniczo zamrozi oryginalny BTC, blokując go w adresie portfela, zanim wypluje coś, co jest znane jako opakowane BTC (WBTC), którego można użyć w drugim łańcuchu. Można ją traktować jako rodzaj karty podarunkowej, która zapewnia dokładnie taką samą wartość pieniężną, której można użyć tylko w określonym sklepie.

Ze względu na sposób działania mosty przechowują zatem znaczne rezerwy tokenów kryptowalut, które są zamknięte w inteligentnych kontraktach, a te rezerwy czynią je szczególnie atrakcyjnymi dla hakerów.

Jak wierni kryptowaluty wiedzą aż za dobrze, każda wartość przechowywana w łańcuchu może być atakowana o każdej porze dnia. Internet nigdy nie przechodzi w tryb offline, co oznacza, że ​​zawsze można uzyskać dostęp do tokenów przechowywanych przez dowolny most.

Ronin Hack pokazuje niebezpieczeństwo centralizacji

 Atak na sieć Ronin był jednym z największych w historii napadów na DeFi pod względem wartości dolara. Ronin to łańcuch boczny Ethereum, który umożliwia tańsze transakcje przy znacznie szybszych prędkościach niż sieć główna. Był to pomost z wyboru dla popularnej gry kryptowalutowej Axie Infinity „graj, aby zarobić”, co oznacza, że ​​stale przetwarzała miliony dolarów w kryptowalutach i stablecoinach.

Łańcuchy boczne to rozwiązanie skalowania łańcucha bloków, które wymaga mostu do połączenia z innymi łańcuchami. Dzięki Roninowi użytkownicy mogą zablokować swoje ETH i ETH w miętowym opakowaniu w alternatywnych sieciach. Transakcje są przetwarzane i zatwierdzane za pomocą algorytmu konsensusu Proof of Authority. W tym modelu 5 z 9 walidatorów musi uzgodnić transakcję, aby osiągnąć konsensus. Jednak cztery walidatory Ronina były obsługiwane przez jedną firmę – Sky Mavis, twórcę Ronina.

Była to mocno scentralizowana konfiguracja, która wynikała z decyzji Axie Dao o utworzeniu w listopadzie 2021 r. bezgazowego węzła RPC, aby spróbować rozwiązać problem przeciążenia sieci. DAO dopuściło klucze Sky Mavis do podpisywania transakcji w jego imieniu. Miał to być tylko tymczasowy układ, ale lista dozwolonych nigdy nie została odwołana. Ten stworzył otwarcie dla atakujących – podobno sponsorowanej przez Koreę Północną Grupy Lazarus – która wykorzystała techniki socjotechniki do skompromitowania czterech kluczy Sky Mavis. Hakerzy odkryli następnie lukę w kodzie RPC, dając mu kontrolę nad piątym walidatorem i umożliwiając mu dokonanie nielegalnego wypłaty.

Głównym problemem było to, że system multipodpisu Ronina do podpisywania transakcji został naruszony z powodu braku decentralizacji. Ilustruje słabość mechanizmów bezpieczeństwa, w których większość zarządzania jest skoncentrowana w rękach jednego podmiotu.

Utrzymują się luki w inteligentnych kontraktach

 Hakowanie Ronina nie było jednorazowym, ale raczej ostatnim z serii głośnych ataków na mosty blockchain, które doprowadziły do ​​utraty wartości wartej miliony dolarów. Miesiąc wcześniej atakującym udało się uciec z Ethereum o wartości około 80 milionów dolarów po ataku na most Qubit.

Jest to usługa obsługiwana przez platformę Qubit Finance, która umożliwia użytkownikom pożyczanie i pożyczanie zasobów cyfrowych w sieciach Ethereum i Binance Smart Chain. Na przykład umożliwia zdeponowanie tokena ERC-20 i otrzymanie w zamian monety BEP-20, którą można następnie wykorzystać w łańcuchu Binance.

Qubit Bridge został zhakowany z powodu „błędu logicznego” w kodzie inteligentnego kontraktu. Luka umożliwiła hakerowi manipulowanie mostem za pomocą złośliwych danych, dzięki czemu mógł wycofać tokeny BSC bez dokonywania wpłaty na Ethereum. jakiś autopsja ataku okazało się, że inteligentna umowa QBridge nie weryfikowała prawidłowo, czy wymagana ilość ETH została zablokowana. Zamiast tego haker był w stanie pokazać fałszywy dowód nieistniejącego depozytu.

Incydent posłużył do zwrócenia uwagi na to, jak luki w inteligentnych kontraktach pozostają uporczywym problemem w DeFi, a zwłaszcza w przypadku mostów blockchain. Zdecydowana większość ataków pomostowych jest wycelowana w błędy w inteligentnych kontraktach, które są automatycznymi kontraktami, które wykonują się samoczynnie po spełnieniu określonych warunków.

Mosty są kluczem do zwiększenia zasięgu kryptowalut

 Platformy kryptograficzne były przedmiotem niekończącego się strumienia ataków, odkąd rodząca się branża zaczęła stawać się popularna. Zwolennicy DeFi twierdzą, że może stanowić bardziej dostępną i sprawiedliwą alternatywę dla tradycyjnych usług finansowych, ale wraz z rozwojem przestrzeni została poddana zasadniczo próbie pożarowej. Ataki na mosty stały się tak powszechne, jak wymiana kryptowalut i napady na protokół DeFi. Problem polega na tym, że mosty, podobnie jak wymiany i protokoły, są platformami o wysokiej stawce, które mają ogromną wartość, a każda z nich może być podatna na błędy w ich podstawowym kodzie.

Istnieje powszechne przekonanie, że kryptowaluty i DeFi nigdy nie osiągną powszechnej adopcji bez odpowiedniego rozwiązania ryzyka ataków. Zdecydowana większość światowej wartości jest w posiadaniu inwestorów instytucjonalnych, takich jak banki inwestycyjne i duże fundusze hedgingowe. Takie organizacje stawiają na pierwszym miejscu zgodność i bezpieczeństwo swoich funduszy ponad wszelkie potencjalne zyski. Tak więc DeFi i kryptowaluty prawdopodobnie nie staną się czymś więcej niż tylko niszową branżą inwestycyjną, dopóki nie zostaną rozwiązane problemy z bezpieczeństwem.

Bezpieczeństwo mostów ma szczególne znaczenie. Silna natura blockchainów jest poważną przeszkodą, która ogranicza potencjalny zasięg jakiejkolwiek zdecentralizowanej aplikacji. dApp zbudowany na Ethereum nie może komunikować się z innymi w oparciu o różne blockchainy. Nie może dokonywać transakcji z Bitcoinem, najcenniejszą i najszerzej stosowaną kryptowalutą na świecie, co oznacza, że ​​posiadacze BTC nie mają możliwości interakcji z ekosystemem DeFi. Jeśli krypto ma kiedykolwiek stać się wszechobecne, użytkownicy muszą mieć bezpieczny sposób komunikowania się z różnymi sieciami.

Budowanie lepszych mostów

 Dobrą wiadomością jest to, że w branży są tacy, którzy dostrzegają znaczenie bezpiecznej łączności blockchain. Jedną ekscytującą perspektywą jest: AllianceBlock bardzo obiecujący Most Sojuszu, który obsługuje główne sieci, w tym Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism i Energy Web, z unikalną infrastrukturą, która jest bardziej zdecentralizowana i zapewnia szybszą i bezpieczniejszą wydajność.

W przeciwieństwie do mostów scentralizowanych, które polegają na jednym lub tylko kilku podmiotach w celu sprawdzenia, czy transakcje są legalne, mosty zdecentralizowane opierają się na tych samych zasadach, co sam blockchain. Istnieje wielu operatorów, którzy wykorzystują dobrze ustrukturyzowane mechanizmy konsensusu w celu ustalenia ważności transakcji. AllianceBridge to zdecentralizowany most, który opracował unikalną metodę zapewniania konsensusu.

Podobnie jak w przypadku innych, AllianceBridge blokuje otrzymane tokeny w inteligentnej umowie, a następnie wydaje opakowane tokeny na docelowym blockchainie. Te opakowane tokeny będą istnieć w drugim łańcuchu do czasu, gdy użytkownik zdecyduje się je wykorzystać w oryginalnej sieci. W tym momencie opakowane tokeny zostają spalone, co oznacza, że ​​przestają istnieć, podczas gdy oryginalne tokeny w rodzimym łańcuchu zostają odblokowane.

AllianceBridge różni się tym, że wykorzystuje kompatybilną z EVM sieć operatorów mostowych. Ponadto wykorzystuje solidną, zewnętrzną firmę Usługa konsensusu Hedera Hashgraph napędzany przez innowacyjny “plotki-o-plotkach” algorytm konsensusu.

Korzystając z usługi HCS, aplikacje i sieci blockchain mogą przesyłać wiadomości do publicznej księgi Hedera, gdzie są oznaczane czasowo i uporządkowane z pełną przejrzystością. Umożliwia to AllianceBridge osiągnięcie konsensusu bez utrzymywania synchronizacji między operatorami mostów. Oznacza to szybszą wydajność przy wysokim stopniu decentralizacji, podczas gdy HCS zapewnia dodatkową warstwę zaufania, która sprawia, że ​​most jest bezpieczniejszy.

Inteligentne kontrakty AllianceBridge, które służą do blokowania oryginalnych aktywów oraz wybijania i wypalania opakowanych tokenów, zapewniają jeszcze większą pewność. Cała baza kodów inteligentnych kontraktów została napisana tak, aby rezonować ze standardem EIP-2535 i została w pełni skontrolowany przez Omniscia. Podczas audytu Omniscia wskazała na szereg potencjalnych problemów, które AllianceBlock szybko naprawił, zanim kod został uruchomiony.

Bezpieczeństwo i niezawodność AllianceBridge odegrało kluczową rolę w rozszerzeniu użyteczności pakietu ofert DeFi AllianceBlock, w tym Terminal DeFi, który zapewnia projektom łatwy sposób uruchamiania kampanii wydobywania płynności i stakingu w wielu obsługiwanych sieciach i aplikacjach dApps. Dzięki bezpiecznemu protokołowi interoperacyjności blockchain AllianceBlock buduje solidne podstawy, których potrzebuje bogaty, połączony ekosystem Web3, aby się rozwijać i ewoluować.

- Reklama -