Zdecentralizowane finanse (DeFi) mogły wyłonić się jako ekscytująca kategoria w ekosystemie blockchain, ale ich wciąż powstający stan naraził wielu uczestników na towarzyszące ryzyko związane z tą bardziej zdemokratyzowaną iteracją usług finansowych.
Najnowszy exploit Wormhole, mostu blockchain pomiędzy Solaną i Ethereum, podkreśla wady, które wciąż pojawiają się i wpływają na użytkowników DeFi. Dla kontekstu, włamanie na kwotę 325 milionów dolarów było w rzeczywistości wynikiem błędnej logiki w zestawie programowym mostu do aktualizacji.
Zwykle transakcja przepływająca przez tunel czasoprzestrzenny do Solany wymaga ważnego podpisu transakcji i opiekuna (zatwierdzony węzeł walidacyjny). Jeśli te dwa warunki zostaną spełnione, żądania transakcji zostaną zatwierdzone. W przypadku nieprawidłowego podpisu transakcji i ważnego opiekuna, warunki niezbędne do zainicjowania transakcji nie są spełnione, co powoduje, że Solana odrzuciła tę prośbę. Jednak zamiast przedstawiać nieprawidłowe warunki w przypadku nieprawidłowego podpisu transakcji i ważnego opiekuna, haker użył nieprawidłowego podpisu i osoby niebędącej opiekunem, tworząc w rezultacie dwa niezatwierdzone warunki.
Ponieważ potrzebne są dwa prawidłowe warunki, aby utworzyć „dopasowanie” w celu zaakceptowania żądań transakcji, a dwa nieprawidłowe warunki można również postrzegać jako „dopasowanie” w ramach istniejącej logiki systemu, umożliwiło to hakerowi wybicie Ethereum (wETH) na platformie Solana . Bez konieczności wpłacania 120,000 120,000 ETH na konto depozytowe haker wybił XNUMX XNUMX wETH, które następnie wymieniono, oszukując Wormhole do odblokowania zwykłego Ethereum, które zabezpieczało inne wETH na Solanie.
Chociaż zespół Wormhole załatał usterkę, nie jest jasne, w jaki sposób zamierzają dokapitalizować fundusze skradzione z mostu, pomimo zapowiedzi podejmowanych wysiłków. Chociaż oferowali hakerowi nagrodę, brak odpowiedzi był ogłuszający. Mimo to ten hack uwypukla znaczące luki w zabezpieczeniach krytycznych infrastruktur interoperacyjności, które łączą DeFi, a co ważniejsze, tych, które umożliwiają komunikację łańcuchów bloków.
Czy obliczenia wielostronne mogą oznaczać bezpieczniejszą interoperacyjność?
Interoperacyjność, czyli w tym kontekście możliwość łączenia odłączonych łańcuchów bloków i ekosystemów, to spoiwo spajające zdecentralizowane finanse poprzez mosty, wyrocznie i nie tylko. Jednak interoperacyjność może również oznaczać podatność na zagrożenia, jak miało to miejsce w przypadku Wormhole, zwłaszcza gdy interoperacyjność odpowiada za nadzorowanie bezpiecznej wymiany wartości między dwoma systemami.
Pomysł wymagania od wielu stron lub dowodów (takich jak podpisy) w celu zatwierdzenia określonych transakcji nie jest obcy technologii blockchain, ale jest raczej powszechną cechą niektórych e-portfeli. Pomysł rozdzielenia mocy podpisu pomiędzy wiele stron zmniejsza ryzyko wystąpienia pojedynczego punktu awarii.
W przypadku portfeli mutlisig oznacza to podjęcie decyzji, kim będą współsygnatariusze i ilu współsygnatariuszy musi podpisać transakcję. Problemem w tym modelu jest zmiana osób podpisujących i uprawnień, nie wspominając o konieczności złożenia wielu podpisów jednocześnie, co skutkuje wymaganiami dostępności ze strony współsygnatariuszy dla każdej transakcji.
Obliczenia wielostronne (MPC) mogą pomóc uniknąć tych komplikacji, ale ich zastosowanie wykracza daleko poza portfele i weryfikację kluczy. MPC wykorzystuje całkowicie modyfikowalne punkty końcowe zawierające część tajnych kluczy, ale nie ich całość. Razem te punkty końcowe są wykorzystywane do utworzenia konsensusu i ustawiana jest minimalna liczba punktów końcowych, aby osiągnąć ten konsensus w sprawie transakcji.
Kurt Nielsen, prezes i współzałożyciel Partisia blockchain, uważa, że MPC posiada klucz do uwolnienia prawdziwego potencjału interoperacyjności w bezpieczniejszych i godnych zaufania ramach. Nielsen zauważa: „Interoperacyjność za pośrednictwem mostów tokenowych wykazuje ogromny potencjał, aby stać się głównym twórcą wartości w ekosystemie blockchain. Jednakże, jak widzieliśmy w przypadku exploita Wormhole, przenoszenie tokenów poza ustalony model bezpieczeństwa stwarza poważne wyzwania i luki w zabezpieczeniach. Naszą odpowiedzią są bardziej wyrafinowane, sprawdzone zasady audytu i środki bezpieczeństwa MPC na dużą skalę.”
Wyjaśnia dalej: „Po pierwsze, regularnie wygasająca Oracle skutecznie i przejrzyście reprezentuje wartości w różnych łańcuchach bloków, na przykład księgowość podwójnego zapisu, która udowodniła swoją wartość od czasów Medici Bank w XIV wieku. Po drugie, zakrojone na szeroką skalę środki bezpieczeństwa MPC pozwalają uniknąć akumulacji ryzyka finansowego pomiędzy Wyroczniami lub epokami. Po trzecie, węzły obsługujące Wyrocznię w danej epoce zapewniają zabezpieczenie przekazywanych wartości, a wreszcie obiektywne braki równowagi są kompensowane w drodze zdecentralizowanego procesu spornego.
Partisia jest zaangażowana w komercyjne rozwiązania MPC od 2008 roku, a obecnie wykorzystuje swoją wiedzę w aplikacjach opartych na blockchain. Partisia Blockchain skutecznie działa jako warstwa interoperacyjności, wykorzystując obliczenia odporne na wiedzę zerową. Dzięki ocenie i rankingu węzłów na podstawie ich wyniku zaufania użytkownicy DeFi mogą zyskać większe zaufanie do tego, jak i kto przenosi swoją wartość między ekosystemami.
Chociaż będzie to jak dotąd największy tego typu incydent w 2022 r., Wormhole prawdopodobnie nie będzie jedynym protokołem, mostem lub łańcuchem bloków DeFi, na które w miarę upływu roku staną się celem hakerów. Niemniej jednak, jak pokazuje Partisia, MPC wyróżnia się jako jedna ze strategii wspierania komunikacji między sieciami, które nadzorują transfer danych lub wartości, nie wiedząc dokładnie, co jest przesyłane przez kogo i dokąd.
Źródło: https://zycrypto.com/wormhole-exploit-underlines-case-for-greater-mpc-use-across-blockchain-oracles-bridges/