Spektrum decentralizacji było gorącym tematem po a kontrwykorzystanie niedawno przeprowadzony przez Jump Crypto na hakerze Wormhole, który ukradł 120,000 325 ETH — około XNUMX milionów dolarów — w lutym ubiegłego roku.
Po otrzymaniu zamówienie z High Court of England, Oasis – prywatna aplikacja wdrożona na bazie protokołu zdecentralizowanych finansów (DeFi) MakerDAO – przeprowadziła kontratak, dodając „autoryzowaną stronę trzecią” do swojego multisig. Strona trzecia — uważana za Jump — wykorzystała ją następnie do aktualizacji umowy proxy Oasis, ostatecznie przejmując fundusze.
Wielu uczestników branży wyraziło obawy co do tego posunięcia jako oznaki centralizacji DeFi i tego, czy te kontrakty, które można aktualizować, powinny w ogóle być używane.
Chwila, co to jest umowa pełnomocnictwa?
W wywiadzie dla Blockworks Joe Coll, inwestor venture capital w Framework Ventures, powiedział, że kontrakty proxy zapewniają możliwość aktualizacji zestawu inteligentnych kontraktów protokołów.
„Kiedy kontrakty są niezmienne – gdy nie można ich aktualizować, cała sieć musi rozwidlić kod” — powiedział Coll.
Uniswap jest jednym z przykładów tego typu protokołu. Właśnie dlatego Uniswap przez kilka lat wdrażał oddzielne wersje swojej wiodącej na rynku zdecentralizowanej giełdy, z których najnowszą jest „Uniswap V3”. Poprzednie wersje nadal działają — tak jak zawsze od czasu ich pierwotnego wdrożenia — i będą działać tak długo, jak długo sieć Ethereum będzie produkować bloki.
Gdyby Uniswap zamiast tego korzystał z umów proxy, mógłby zamiast tego wycofać starsze wersje.
„Kiedy użytkownik wysyła transakcję za pośrednictwem umowy proxy, kieruje ją do innej umowy, która zawiera podstawową logikę, prawie jak router” — powiedział Coll.
Kontrakty proxy mogą być kontrolowane na wiele różnych sposobów: mogą być aktualizowane za pomocą jednego klucza prywatnego, mogą być również aktualizowane poprzez głosowanie w łańcuchu, w którym cała społeczność musiałaby użyć tokenów do głosowania przed wprowadzeniem jakichkolwiek zmian w umowie, lub może być kontrolowany przez multisig, powiedział.
Multisig — skrót od multi-signature — to portfel kryptowalut z dwoma lub więcej uchwytami na klucze.
W przypadku kontrwykorzystywania umowa proxy była kontrolowana przez multisig 4 z 12 Oasis — znaną grupę osób, które utrzymywały wiele kluczy prywatnych, które wspólnie umożliwiają autoryzację transakcji.
„Ruanse polegają na tym, że kilka dni przed tym wszystkim, co opisali jako grupę białych hakerów, przybyło do [Oasis] i zidentyfikowało wcześniej„ lukę ”w tej umowie multisig proxy” – powiedział Coll. „A kiedy zostało to przez nich zrealizowane i najwyraźniej również przez sąd, możliwość jednostronnego działania przez ten multisig była faktycznie możliwa i wydaje się, że sąd to wymusił”.
Czy to oznacza koniec decentralizacji?
Krótka odpowiedź na to pytanie brzmi „nie”, chociaż można wyciągnąć wnioski z tego kontrwyczynu.
„Multisigi istnieją, ponieważ [protokoły] chcą robić coś szybko, a to, że można je aktualizować, nie oznacza, że mogą zrobić wszystko” — powiedział Coll.
Coll zauważa, że w tej konkretnej sytuacji była to „naprawdę dopracowana kombinacja z nieznaną w środku luką w zabezpieczeniach”.
„Multisigi mogą być bardzo legalne i mogą zachować decentralizację, jeśli są wdrażane we właściwy sposób” — powiedział Coll.
To zdanie podziela m.in Badania blokowe analityk Dan Smith, który zauważył, że ten konkretny exploit był wyjątkową sytuacją.
„Prawdziwym problemem jest użycie serwerów proxy ORAZ scentralizowanego multisig. To połączenie obu rzeczy. Serwery proxy odgrywają ważną rolę w DeFi i nigdzie się nie wybierają w najbliższym czasie” – powiedział Smith.
Ponieważ umowy proxy są aktualizowane przez ich właścicieli, scentralizowany właściciel multisig może usunąć ten jeden aspekt decentralizacji.
„Rząd Wielkiej Brytanii zmusił Oasis – prywatną firmę [z siedzibą] w [Wielkiej] Wielkiej Brytanii – aby pozwoliła na ten kontreksploat” – powiedział Smith. „Ludzie nie są odporni na regulacje tylko dlatego, że budują na szynach blockchain”.
Z drugiej strony kod, gdy jest wdrażany w niezmienny sposób, jest znacznie bardziej odporny na ingerencje, uzasadnione lub nie.
Codziennie wieczorem otrzymuj na swój e-mail najświeższe wiadomości i spostrzeżenia dotyczące kryptowalut. Zapisz się do bezpłatnego biuletynu Blockworks teraz.
Chcesz, aby alfa była wysyłana bezpośrednio do Twojej skrzynki odbiorczej? Zdobądź pomysły na handel degen, aktualizacje zarządzania, wydajność tokenów, tweety, których nie można przegapić i więcej Codzienne podsumowanie Blockworks Research.
Nie możesz się doczekać? Otrzymuj nasze wiadomości w najszybszy możliwy sposób. Dołącz do nas na Telegramie i śledź nas na wiadomości Google.
Źródło: https://blockworks.co/news/wormhole-forces-multisig-scrutiny