Späť v marci 2022 sieť kryptomien Ronin odhalil, že sa stal obeťou jedného z najväčších hackov všetkých čias, pričom utrpel porušenie, ktoré útočníkom umožnilo ukradnúť viac ako 540 miliónov dolárov v hodnote mincí Ethereum a USD. Pri incidente hackeri zneužili zraniteľnosť v službe známej ako Ronin Bridge. Je to jeden z mnohých úspešných útokov na „blockchain bridge“ v poslednej dobe, ktoré upriamili pozornosť na ich inherentnú bezpečnostnú neefektívnosť.
Blockchainové mosty, niekedy nazývané aj sieťové mosty, sú služby, ktoré umožňujú držiteľom kryptomien presúvať ich digitálne aktíva z jedného blockchainu do druhého. Poskytujú dôležitú úlohu, pretože kryptomeny sú často umlčané a chýba im interoperabilita, čo znamená, že môžete posielať bitcoiny napríklad na adresu Ethereum peňaženky. Kvôli tejto umlčanej povahe sa mosty objavili ako kľúčový mechanizmus v rámci krypto ekonomiky.
Premosťovacie služby v skutočnosti neprenášajú jeden druh digitálneho majetku do iného reťazca. Skôr to, čo robia, je „zabaliť“ tokeny kryptomien, aby ich premenili na nové aktívum v druhom reťazci. Takže ak chce používateľ premostiť bitcoiny so Solanom, most v podstate zmrazí pôvodný BTC tým, že ho uzamkne v adrese peňaženky, a potom vypľuje to, čo je známe ako zabalené BTC (WBTC), ktoré možno použiť v druhom reťazci. Možno si to predstaviť ako druh darčekovej karty, ktorá poskytuje presne rovnakú peňažnú hodnotu, ktorú možno použiť iba v konkrétnom obchode.
Vďaka tomu, ako fungujú, majú mosty značné rezervy tokenov kryptomien, ktoré sú zamknuté v smart kontraktoch, a vďaka týmto rezervám sú pre hackerov obzvlášť atraktívne.
Ako krypto oddaní vedia až príliš dobre, akákoľvek hodnota, ktorá je držaná v reťazci, je vystavená útoku kedykoľvek počas dňa. Internet nikdy neprejde do režimu offline, čo znamená, že tokeny držané akýmkoľvek mostom sú vždy prístupné.
Ronin Hack ukazuje nebezpečenstvo centralizácie
Bolo to silne centralizované nastavenie, ktoré vyplynulo z rozhodnutia Axie Dao zriadiť uzol RPC bez plynu v novembri 2021, aby sa pokúsil opraviť preťaženie siete. DAO zaradilo kľúče Sky Mavis na zoznam povolených na podpisovanie transakcií v jeho mene. Malo ísť len o dočasné opatrenie, no zoznam povolených nebol nikdy zrušený. Toto vytvoril otvor pre útočníkov – údajne ide o skupinu Lazarus sponzorovanú Severnou Kóreou – ktorá použila techniky sociálneho inžinierstva na kompromitáciu štyroch kľúčov Sky Mavis. Hackeri potom objavili zraniteľnosť v kóde RPC, ktorá mu dala kontrolu nad piatym validátorom a umožnila mu vykonať nezákonné stiahnutie.
Hlavným problémom bolo, že Roninov systém viacerých podpisov na podpisovanie transakcií bol ohrozený z dôvodu nedostatočnej decentralizácie. Ilustruje slabosť bezpečnostných mechanizmov, kde je väčšina riadenia sústredená v rukách jediného subjektu.
Zraniteľnosť inteligentnej zmluvy pretrváva
Qubit Bridge bol hacknutý kvôli tomu, čo sa považovalo za „logickú chybu“ v kóde jeho inteligentnej zmluvy. Zraniteľnosť umožnila hackerovi manipulovať s mostom pomocou škodlivých údajov, takže si mohol vybrať tokeny BSC bez toho, aby vykonal akýkoľvek vklad na Ethereum. An pitva útoku zistili, že inteligentná zmluva QBridge riadne neoverila, že požadované množstvo ETH bolo uzamknuté. Namiesto toho sa hackerovi podarilo ukázať falošný dôkaz o neexistujúcom vklade.
Tento incident poslúžil na zdôraznenie toho, ako zraniteľné miesta inteligentných zmlúv zostávajú pretrvávajúcim problémom v DeFi, a to najmä pre blockchainové mosty. Prevažná väčšina útokov na mosty sa zameriava na chyby v inteligentných zmluvách, čo sú automatizované zmluvy, ktoré sa pri splnení určitých podmienok vykonávajú samy.
Mosty sú kľúčom k rozšíreniu dosahu kryptomien
Budovanie lepších mostov
Dobrou správou je, že v tomto odvetví sú ľudia, ktorí uznávajú dôležitosť bezpečného blockchain pripojenia. Jedna vzrušujúca perspektíva je AllianceBlock vysoko sľubné AllianceBridge, ktorá podporuje hlavné siete vrátane Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism a Energy Web s jedinečnou infraštruktúrou, ktorá je viac decentralizovaná a poskytuje rýchlejší a bezpečnejší výkon.
Na rozdiel od centralizovaných mostov, ktoré sa spoliehajú na jeden alebo len niekoľko subjektov na overenie legitímnosti transakcií, decentralizované mosty sú založené na rovnakých princípoch ako samotný blockchain. Existuje viacero operátorov, ktorí využívajú dobre štruktúrované mechanizmy konsenzu na stanovenie platnosti transakcií. AllianceBridge je decentralizovaný most, ktorý vyvinul jedinečnú metódu na zabezpečenie dosiahnutia konsenzu.
Rovnako ako u iných, AllianceBridge uzamkne tokeny, ktoré dostane, do inteligentnej zmluvy a potom vydá zabalené tokeny na cieľový blockchain. Tieto zabalené tokeny budú existovať v druhom reťazci, kým sa používateľ nerozhodne uplatniť ich v pôvodnej sieti. V tom momente sú zabalené žetóny spálené, čo znamená, že prestanú existovať, zatiaľ čo pôvodné žetóny na natívnom reťazci sú odomknuté.
AllianceBridge sa líši v tom, že využíva sieť operátorov mostov kompatibilnú s EVM. Okrem toho využíva robustný nástroj tretej strany Služba konsenzu Hedera Hashgraph ktorý je poháňaný inovatívnym „klebetiť-o-klebetiť“konsenzuálny algoritmus.
Pomocou služby HCS môžu blockchainové aplikácie a siete odosielať správy do verejnej knihy Hedera, kde sú označené časovou pečiatkou a usporiadané s úplnou transparentnosťou. To umožňuje spoločnosti AllianceBridge dosiahnuť konsenzus bez zachovania synchronizácie medzi operátormi mostov. To znamená rýchlejší výkon s vysokým stupňom decentralizácie, zatiaľ čo HCS poskytuje ďalšiu vrstvu dôvery, vďaka ktorej je most bezpečnejší.
Inteligentné zmluvy AllianceBridge, ktoré sa používajú na uzamknutie pôvodných aktív a razenie a spaľovanie zabalených tokenov, poskytujú ešte väčšiu istotu. Celá kódová základňa inteligentných zmlúv bola napísaná tak, aby rezonovala so štandardom EIP-2535 a bola plne auditované spoločnosťou Omniscia. Počas auditu spoločnosť Omniscia poukázala na množstvo potenciálnych problémov, ktoré AllianceBlock okamžite vyriešila pred uvedením kódu do prevádzky.
Bezpečnosť a spoľahlivosť AllianceBridge zohrala kľúčovú úlohu pri rozširovaní užitočnosti ponuky DeFi spoločnosti AllianceBlock, vrátane Terminál DeFi, ktorá poskytuje projektom jednoduchý spôsob, ako spustiť kampane na ťažbu likvidity a stávkovanie vo viacerých podporovaných sieťach a dApps. Vďaka svojmu zabezpečenému protokolu interoperability blockchain, AllianceBlock buduje robustný základ, ktorý potrebuje bohatý, prepojený Web3 ekosystém, aby mohol rásť a vyvíjať sa.
- Reklama -
Source: https://thecryptobasic.com/2022/09/21/web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean/?utm_source=rss&utm_medium=rss&utm_campaign=web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean