Web3 sa nedostane do hlavného prúdu, kým nedôjde k bezproblémovej integrácii blockchainu: Čo to znamená so stále väčším počtom útokov na most?

Späť v marci 2022 sieť kryptomien Ronin odhalil, že sa stal obeťou jedného z najväčších hackov všetkých čias, pričom utrpel porušenie, ktoré útočníkom umožnilo ukradnúť viac ako 540 miliónov dolárov v hodnote mincí Ethereum a USD. Pri incidente hackeri zneužili zraniteľnosť v službe známej ako Ronin Bridge. Je to jeden z mnohých úspešných útokov na „blockchain bridge“ v poslednej dobe, ktoré upriamili pozornosť na ich inherentnú bezpečnostnú neefektívnosť.

Blockchainové mosty, niekedy nazývané aj sieťové mosty, sú služby, ktoré umožňujú držiteľom kryptomien presúvať ich digitálne aktíva z jedného blockchainu do druhého. Poskytujú dôležitú úlohu, pretože kryptomeny sú často umlčané a chýba im interoperabilita, čo znamená, že môžete posielať bitcoiny napríklad na adresu Ethereum peňaženky. Kvôli tejto umlčanej povahe sa mosty objavili ako kľúčový mechanizmus v rámci krypto ekonomiky.

Premosťovacie služby v skutočnosti neprenášajú jeden druh digitálneho majetku do iného reťazca. Skôr to, čo robia, je „zabaliť“ tokeny kryptomien, aby ich premenili na nové aktívum v druhom reťazci. Takže ak chce používateľ premostiť bitcoiny so Solanom, most v podstate zmrazí pôvodný BTC tým, že ho uzamkne v adrese peňaženky, a potom vypľuje to, čo je známe ako zabalené BTC (WBTC), ktoré možno použiť v druhom reťazci. Možno si to predstaviť ako druh darčekovej karty, ktorá poskytuje presne rovnakú peňažnú hodnotu, ktorú možno použiť iba v konkrétnom obchode.

Vďaka tomu, ako fungujú, majú mosty značné rezervy tokenov kryptomien, ktoré sú zamknuté v smart kontraktoch, a vďaka týmto rezervám sú pre hackerov obzvlášť atraktívne.

Ako krypto oddaní vedia až príliš dobre, akákoľvek hodnota, ktorá je držaná v reťazci, je vystavená útoku kedykoľvek počas dňa. Internet nikdy neprejde do režimu offline, čo znamená, že tokeny držané akýmkoľvek mostom sú vždy prístupné.

Ronin Hack ukazuje nebezpečenstvo centralizácie

 Útok na sieť Ronin bol jedným z najväčších lúpeží DeFi, pokiaľ ide o hodnotu v dolároch. Ronin je vedľajší reťazec Ethereum, ktorý umožňuje lacnejšie transakcie oveľa rýchlejšími rýchlosťami ako hlavná sieť. Bol to most voľby pre populárnu kryptomenovú hru Axie Infinity „play-to-earn“, čo znamená, že neustále spracovávala milióny dolárov v krypto a stablecoinoch.

Bočné reťazce sú riešením na škálovanie blockchainu, ktoré vyžaduje most na pripojenie k iným reťazcom. S Roninom môžu používatelia uzamknúť svoje ETH a raziť zabalené ETH v alternatívnych sieťach. Transakcie sa spracúvajú a schvaľujú prostredníctvom konsenzuálneho algoritmu osvedčenia o autorite. Pri tomto modeli sa musí 5 z 9 validátorov dohodnúť na transakcii, aby sa dosiahol konsenzus. Štyri validátory Roninu však prevádzkovala jedna spoločnosť – Sky Mavis, vývojár Roninu.

Bolo to silne centralizované nastavenie, ktoré vyplynulo z rozhodnutia Axie Dao zriadiť uzol RPC bez plynu v novembri 2021, aby sa pokúsil opraviť preťaženie siete. DAO zaradilo kľúče Sky Mavis na zoznam povolených na podpisovanie transakcií v jeho mene. Malo ísť len o dočasné opatrenie, no zoznam povolených nebol nikdy zrušený. Toto vytvoril otvor pre útočníkov – údajne ide o skupinu Lazarus sponzorovanú Severnou Kóreou – ktorá použila techniky sociálneho inžinierstva na kompromitáciu štyroch kľúčov Sky Mavis. Hackeri potom objavili zraniteľnosť v kóde RPC, ktorá mu dala kontrolu nad piatym validátorom a umožnila mu vykonať nezákonné stiahnutie.

Hlavným problémom bolo, že Roninov systém viacerých podpisov na podpisovanie transakcií bol ohrozený z dôvodu nedostatočnej decentralizácie. Ilustruje slabosť bezpečnostných mechanizmov, kde je väčšina riadenia sústredená v rukách jediného subjektu.

Zraniteľnosť inteligentnej zmluvy pretrváva

 Ronin hack nebol jednorazový, ale skôr len posledný z radu významných útokov na blockchainové mosty, ktoré viedli k strate hodnoty miliónov dolárov. Mesiac predtým útočníci po útoku na most Qubit úspešne získali Ethereum v hodnote približne 80 miliónov dolárov.

Ide o službu prevádzkovanú platformou Qubit Finance, ktorá používateľom umožňuje požičiavať a požičiavať si digitálne aktíva cez siete Ethereum a Binance Smart Chain. Napríklad umožňuje vložiť token ERC-20 a výmenou získať mincu BEP-20, ktorú potom možno použiť v reťazci Binance.

Qubit Bridge bol hacknutý kvôli tomu, čo sa považovalo za „logickú chybu“ v kóde jeho inteligentnej zmluvy. Zraniteľnosť umožnila hackerovi manipulovať s mostom pomocou škodlivých údajov, takže si mohol vybrať tokeny BSC bez toho, aby vykonal akýkoľvek vklad na Ethereum. An pitva útoku zistili, že inteligentná zmluva QBridge riadne neoverila, že požadované množstvo ETH bolo uzamknuté. Namiesto toho sa hackerovi podarilo ukázať falošný dôkaz o neexistujúcom vklade.

Tento incident poslúžil na zdôraznenie toho, ako zraniteľné miesta inteligentných zmlúv zostávajú pretrvávajúcim problémom v DeFi, a to najmä pre blockchainové mosty. Prevažná väčšina útokov na mosty sa zameriava na chyby v inteligentných zmluvách, čo sú automatizované zmluvy, ktoré sa pri splnení určitých podmienok vykonávajú samy.

Mosty sú kľúčom k rozšíreniu dosahu kryptomien

 Odkedy sa začínajúci priemysel začal stávať populárnym, krypto platformy boli vystavené nekonečnému prúdu útokov. Prívrženci DeFi tvrdia, že môže poskytnúť dostupnejšiu a spravodlivejšiu alternatívu k tradičným finančným službám, ale ako sa priestor vyvíjal, bol podrobený tomu, čo je v podstate skúška ohňom. Útoky na mosty sa stali takou samozrejmosťou ako výmena kryptomien a lúpeže protokolu DeFi. Problém je v tom, že mosty, ako sú výmeny a protokoly, sú vysokohodnotné platformy, ktoré majú obrovské množstvo hodnoty a ktorákoľvek z nich môže byť zraniteľná voči chybám v základnom kóde.

Je rozšírené presvedčenie, že kryptomeny a DeFi nikdy nedosiahnu široké prijatie bez riadneho riešenia rizika útokov. Prevažnú väčšinu svetovej hodnoty vlastnia inštitucionálni investori, ako sú investičné banky a veľké hedžové fondy. Takéto organizácie uprednostňujú dodržiavanie predpisov a bezpečnosť svojich finančných prostriedkov pred akýmkoľvek možným ziskom. Je teda nepravdepodobné, že by sa DeFi a kryptomeny stali viac než len špecializovaným investičným odvetvím, kým sa nevyriešia jeho bezpečnostné problémy.

Zabezpečenie mosta je mimoriadne dôležité. Siled charakter blockchainov je vážny handicap, ktorý obmedzuje potenciálny dosah akejkoľvek decentralizovanej aplikácie. dApp postavený na Ethereu nemôže hovoriť s ostatnými na základe rôznych blockchainov. Nemôže obchodovať s bitcoínom, najhodnotnejšou a najpoužívanejšou kryptomenou na svete, čo znamená, že držitelia BTC nemajú žiadny spôsob interakcie s ekosystémom DeFi. Ak sa kryptomeny niekedy stanú všadeprítomnými, používatelia musia mať bezpečný spôsob komunikácie s rôznymi reťazcami.

Budovanie lepších mostov

 Dobrou správou je, že v tomto odvetví sú ľudia, ktorí uznávajú dôležitosť bezpečného blockchain pripojenia. Jedna vzrušujúca perspektíva je AllianceBlock vysoko sľubné AllianceBridge, ktorá podporuje hlavné siete vrátane Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism a Energy Web s jedinečnou infraštruktúrou, ktorá je viac decentralizovaná a poskytuje rýchlejší a bezpečnejší výkon.

Na rozdiel od centralizovaných mostov, ktoré sa spoliehajú na jeden alebo len niekoľko subjektov na overenie legitímnosti transakcií, decentralizované mosty sú založené na rovnakých princípoch ako samotný blockchain. Existuje viacero operátorov, ktorí využívajú dobre štruktúrované mechanizmy konsenzu na stanovenie platnosti transakcií. AllianceBridge je decentralizovaný most, ktorý vyvinul jedinečnú metódu na zabezpečenie dosiahnutia konsenzu.

Rovnako ako u iných, AllianceBridge uzamkne tokeny, ktoré dostane, do inteligentnej zmluvy a potom vydá zabalené tokeny na cieľový blockchain. Tieto zabalené tokeny budú existovať v druhom reťazci, kým sa používateľ nerozhodne uplatniť ich v pôvodnej sieti. V tom momente sú zabalené žetóny spálené, čo znamená, že prestanú existovať, zatiaľ čo pôvodné žetóny na natívnom reťazci sú odomknuté.

AllianceBridge sa líši v tom, že využíva sieť operátorov mostov kompatibilnú s EVM. Okrem toho využíva robustný nástroj tretej strany Služba konsenzu Hedera Hashgraph ktorý je poháňaný inovatívnym „klebetiť-o-klebetiť“konsenzuálny algoritmus.

Pomocou služby HCS môžu blockchainové aplikácie a siete odosielať správy do verejnej knihy Hedera, kde sú označené časovou pečiatkou a usporiadané s úplnou transparentnosťou. To umožňuje spoločnosti AllianceBridge dosiahnuť konsenzus bez zachovania synchronizácie medzi operátormi mostov. To znamená rýchlejší výkon s vysokým stupňom decentralizácie, zatiaľ čo HCS poskytuje ďalšiu vrstvu dôvery, vďaka ktorej je most bezpečnejší.

Inteligentné zmluvy AllianceBridge, ktoré sa používajú na uzamknutie pôvodných aktív a razenie a spaľovanie zabalených tokenov, poskytujú ešte väčšiu istotu. Celá kódová základňa inteligentných zmlúv bola napísaná tak, aby rezonovala so štandardom EIP-2535 a bola plne auditované spoločnosťou Omniscia. Počas auditu spoločnosť Omniscia poukázala na množstvo potenciálnych problémov, ktoré AllianceBlock okamžite vyriešila pred uvedením kódu do prevádzky.

Bezpečnosť a spoľahlivosť AllianceBridge zohrala kľúčovú úlohu pri rozširovaní užitočnosti ponuky DeFi spoločnosti AllianceBlock, vrátane Terminál DeFi, ktorá poskytuje projektom jednoduchý spôsob, ako spustiť kampane na ťažbu likvidity a stávkovanie vo viacerých podporovaných sieťach a dApps. Vďaka svojmu zabezpečenému protokolu interoperability blockchain, AllianceBlock buduje robustný základ, ktorý potrebuje bohatý, prepojený Web3 ekosystém, aby mohol rásť a vyvíjať sa.

- Reklama -