Hvordan Blockchain Bridges blev hackers primære mål

Kryptoindustrien har udviklet sig til et økosystem, der forbinder flere Layer-1(L1) blockchains og Layer-2(L2) skaleringsløsninger med unikke muligheder og afvejninger. 

Netværk som Fantom, Terra eller Avalanche er blevet rige på DeFi-aktivitet, mens play-to-earn-dapps som Axie Infinity og DeFi Kingdoms opretholder hele økosystemer som Ronin og Harmony. Disse blockchains er steget som seriøse alternativer til Ethereums gasgebyrer og relativt langsomme transaktionstider. Behovet for en nem måde at flytte aktiver mellem protokoller på forskellige blockchains blev mere kritisk end nogensinde. 

Det er her, blockchain-broer kommer ind.

Som et resultat af multichain-scenariet steg Total Value Locked (TVL) på tværs af alle DeFi-dapps i vejret. I slutningen af ​​marts 2022 blev industriens TVL anslået til 215 milliarder dollars, 156 % højere end marts 2021. Mængden af ​​værdi, der var låst og bygget bro i disse DeFi-dapps, lokkede opmærksomheden hos ondsindede hackere, og den seneste tendens tyder på, at angribere muligvis har fundet et svagt led i blockchain-broer. 

Ifølge Rekt-databasen blev 1.2 milliarder dollars i kryptoaktiver stjålet i 1. kvartal 2022, hvilket repræsenterer 35.8% af alle tiders stjålne midler ifølge samme kilde. Interessant nok er mindst 80 % af de tabte aktiver i 2022 blevet stjålet fra broer. 

Et af de mest alvorlige angreb fandt sted for to uger siden, da Ronin-broen blev hacket for 540 millioner dollars. Før det, den Solana ormehul og BNB Chain's Qubit Finance-bro blev udnyttet for mere end $400 millioner i 2022. Det største hack i kryptohistorien fandt sted i august 2021, da PolyNetwork-broen blev udnyttet for 610 millioner dollars, selvom de stjålne midler senere blev returneret. 

Broer er et af de mest værdifulde værktøjer i branchen, men deres interoperable karakter udgør en vigtig udfordring for de projekter, der bygger dem. 

Forstå Blockchain Bridges

Analogt med Manhattan-broer er blockchain-broer platforme, der forbinder to forskellige netværk, hvilket muliggør en cross-chain-overførsel af aktiver og information fra en blockchain til en anden. På denne måde bliver kryptovalutaer og NFT'er ikke lukket i deres oprindelige kæder, men kan "brokobles" på tværs af forskellige blockchains, hvilket multiplicerer mulighederne for at bruge disse aktiver. 

Takket være broer bruges Bitcoin i smarte kontraktbaserede netværk til DeFi-formål, eller en NFL All Day NFT kan bygges bro fra Flow til Ethereum for at blive fraktioneret eller brugt som sikkerhed. 

Der er forskellige tilgange, når det kommer til at overføre aktiver. Som deres navn antyder, fungerer Lock-and-Mint-broer ved at låse de originale aktiver inde i en smart kontrakt på afsendersiden, mens det modtagende netværk laver en kopi af det originale token på den anden side. Hvis Ether er koblet fra Ethereum til Solana, er Ether i Solana blot en "indpakket" repræsentation af kryptoen, ikke selve tokenet.  

Mens lock-and-mint-tilgangen er den mest populære brobygningsmetode, er der andre måder at fuldføre aktivoverførslen på, såsom 'burn-and-mint' eller atomswaps, der udføres selv af en smart kontrakt for at udveksle aktiver mellem to netværk. Connext (tidligere xPollinate) og cBridge er broer, der er afhængige af atomswaps. 

Fra et sikkerhedssynspunkt kan broer klassificeres i to hovedgrupper: tillidsfulde og tillidsløse. Pålidelige broer er platforme, der er afhængige af en tredjepart til at validere transaktioner, men, hvad der er vigtigere, til at fungere som depoter af de brokoblede aktiver. Eksempler på pålidelige broer kan findes i næsten alle blockchain-specifikke broer som Binance Bridge, Polygon POS Bridge, WBTC Bridge, Avalanche Bridge, Harmony Bridge, Terra Shuttle Bridge og specifikke dapps som Multichain (tidligere Anyswap) eller Tron's Just Cryptos. 

Omvendt er platforme, der udelukkende er afhængige af smarte kontrakter og algoritmer til at opbevare aktiver. tillidsløse broer. Sikkerhedsfaktoren i tillidsløse broer er knyttet til det underliggende netværk, hvor aktiverne bliver brokoblet, dvs. hvor aktiverne er låst. Tillidsløse broer kan findes i NEAR's Rainbow Bridge, Solana's Wormhole, Polkadot's Snow Bridge, Cosmos IBC og platforme som Hop, Connext og Celer. 

Ved første øjekast kan det se ud til, at tillidsløse broer tilbyder en mere sikker mulighed for at overføre aktiver mellem blockchains. Men både pålidelige og tillidsløse broer står over for forskellige udfordringer. 

Begrænsninger af betroede og tillidsløse broer

Ronin-broen fungerer som en centraliseret betroet platform. Denne bro bruger en multisig-pung til opbevaring af de brokoblede aktiver. Kort sagt er en multisig-pung en adresse, der kræver to eller flere kryptografiske signaturer for at godkende en transaktion. I Ronins tilfælde har sidekæden ni validatorer, der skal bruge fem forskellige signaturer for at godkende ind- og udbetalinger.  

Andre platforme bruger samme tilgang, men diversificerer risikoen bedre. For eksempel er Polygon afhængig af otte validatorer og kræver fem signaturer. De fem signaturer kontrolleres af forskellige parter. I tilfældet med Ronin blev fire underskrifter holdt af Sky Mavis-teamet alene, hvilket skabte et enkelt point of failure. Efter at hackeren formåede at kontrollere de fire Sky Mavis-signaturer på én gang, var der kun behov for en signatur mere for at godkende tilbagetrækningen af ​​aktiver. 

Den 23. marts fik angriberen kontrol over Axie DAO's signatur, den sidste brik, der kræves for at fuldføre angrebet. 173,600 ETH og 25.5 millioner USDC blev drænet fra Ronins depotkontrakt i to forskellige transaktioner i det næststørste kryptoangreb nogensinde. Det er også værd at bemærke, at Sky Mavis-teamet fandt ud af hacket næsten en uge senere, hvilket viste, at Ronins overvågningsmekanismer i det mindste var mangelfulde, hvilket afslørede en anden fejl i denne betroede platform. 

Mens centralisering udgør en grundlæggende fejl, er tillidsløse broer tilbøjelige til at udnytte på grund af fejl og sårbarheder i deres software og kodning. 

Solana Wormhole, en platform, der muliggør cross-bridge transaktioner mellem Solana og Ethereum, blev udsat for en udnyttelse i februar 2022, hvor $ 325 millioner blev stjålet på grund af en fejl i Solanas depotkontrakter. En fejl i Wormhole-kontrakterne gjorde det muligt for hackeren at udtænke validatorer på tværs af kæder. Angriberen sendte 0.1 ETH fra Ethereum til Solana for at udløse et sæt "overførselsbeskeder", der narrede programmet til at godkende en formodet 120,000 ETH indbetaling.

Ormehulshacket skete efter Poly-netværk blev udnyttet for 610 millioner dollars i august 2021 på grund af fejl i kontrakternes taksonomi og struktur. Transaktioner på tværs af kæder i denne dapp er godkendt af en centraliseret gruppe af noder kaldet "keepere" og valideret på det modtagende netværk af en gateway-kontrakt. I dette angreb var hackeren i stand til at opnå privilegier som keeper og bedragede dermed gatewayen ved at indstille sine egne parametre. Angriberen gentog processen i Ethereum, Binance, Neo og andre blockchains for at udtrække flere aktiver.

Alle broer fører til Ethereum

Ethereum er fortsat det mest dominerende DeFi-økosystem i branchen, der tegner sig for næsten 60% af branchens TVL. Samtidig udløste stigningen af ​​forskellige netværk som alternativer til Ethereums DeFi-dapps blockchain-broernes tværkædeaktivitet. 

Den største bro i branchen er WBTC-broen, som varetages af BitGo, Kyber og Republic Protocol, holdet bag RenVM. Da Bitcoin-tokens ikke er teknisk kompatible med smarte kontraktbaserede blockchains, "pakker WBTC-broen" den indfødte Bitcoin, låser den i broens depotkontrakt og laver sin ERC-20-version på Ethereum. Denne bro blev enormt populær i DeFi Summer og rummer nu omkring $12.5 milliarder i Bitcoin. WBTC tillader BTC at blive brugt som sikkerhed i dapps som Aave, Compound og Maker, eller til at give gård eller tjene interesse i flere DeFi-protokoller. 

Multichain, tidligere kendt som Anyswap, er en dapp, der tilbyder cross-chain transaktioner til mere end 40 blockchains med en indbygget bro. Multichain har 6.5 milliarder dollars på tværs af alle tilsluttede netværk. Fantom-broen til Ethereum er dog langt den største pulje med $3.5 milliarder låst. I løbet af anden halvdel af 2021 etablerede Proof-of-Stake-netværket sig som en populær DeFi-destination med attraktive udbyttefarme, der involverer FTM, forskellige stablecoins eller WETH som dem, der findes på SpookySwap. 

I modsætning til Fantom bruger de fleste L1 blockchains en uafhængig direkte bro til at forbinde netværk. Avalanche-broen er for det meste varetaget af Avalanche Foundation og er den største L1<>L1-bro. Avalanche kan prale af et af de mest robuste DeFi-landskaber med dapps som Trader Joe, Aave, Curve og Platypus Finance. 

Binance-broen skiller sig også ud med $4.5 milliarder i låste aktiver, tæt fulgt af Solana Wormhole med $3.8 milliarder. Terra's Shuttle Bridge sikrer kun 1.4 milliarder dollars på trods af, at den er den næststørste blockchain med hensyn til TVL.

Tilsvarende er skaleringsløsninger som Polygon, Arbitrum og Optimisme også blandt de mest betydningsfulde broer med hensyn til låste aktiver. Polygon POS-broen, hovedindgangen mellem Ethereum og dets sidekæde, er den tredjestørste bro med næsten 6 milliarder dollars i varetægt. I mellemtiden er likviditeten i broerne på populære L2-platforme som Arbitrum og Optimism også stigende. 

En anden bro, der er værd at nævne, er Near Rainbow-broen, som har til formål at løse den berømte interoperabilitetstrilemma. Denne platform, der forbinder Near og Aurora med Ethereum, kan være en værdifuld mulighed for at opnå sikkerhed i tillidsløse broer. 

Forbedring af cross-chain sikkerhed

Både betroede og tillidsløse broer, de to tilgange til depotbaserede aktiver, er tilbøjelige til grundlæggende og tekniske svagheder. Alligevel er der måder at forhindre og mindske påvirkningen forårsaget af ondsindede angribere rettet mod blockchain-broer. 

I tilfælde af betroede broer er det klart, at det er nødvendigt at øge antallet af underskrivere, der kræves, samtidig med at multisigs holdes fordelt i forskellige tegnebøger. Og selvom tillidsløse broer fjerner risiciene i forbindelse med centralisering, udgør fejl og andre tekniske begrænsninger risikable situationer, som vist af Solana-ormehullet eller Qubit Finance-udnyttelsen. Det er således nødvendigt at implementere off-chain handlinger for at beskytte cross-chain platforme så meget som muligt.

Der er behov for samarbejde mellem protokoller. Web3-området er kendetegnet ved dets bundne fællesskab, så det ville være det perfekte scenarie at have de dygtigste hjerner i branchen, der arbejder sammen om at gøre rummet til et mere sikkert sted. Animoca Brands, Binance og andre Web3-mærker rejste $150 millioner for at hjælpe Sky Mavis med at mindske den økonomiske virkning af Ronins brohack. At arbejde sammen om en fremtid med flere kæder kan skubbe interoperabilitet til det næste niveau. 

Ligeledes bør koordinering med kædeanalyseplatforme og centraliserede udvekslinger (CEX'er) hjælpe med at spore og markere stjålne tokens. Denne betingelse kan afskrække kriminelle på mellemlang sigt, da gatewayen til at udbetale krypto til fiat bør kontrolleres af KYC-procedurer i etablerede CEX'er. Sidste måned, et par 20-årige blev lovligt sanktioneret efter at have snydt folk i NFT-rummet. Det er rimeligt at bede om den samme behandling for identificerede hackere.

Audits og bug-bounties er en anden måde at forbedre sundheden for enhver Web3-platform, inklusive broer. Certificerede organisationer som Certik, Chainsafe, Blocksec og flere andre hjælper med at gøre Web3-interaktioner sikrere. Alle aktive broer skal auditeres af mindst én certificeret organisation. 

I mellemtiden skaber bug bounty-programmer en synergi mellem projektet og dets fællesskab. Hvide hackere spiller en afgørende rolle i at identificere sårbarheder, før ondsindede hackere gør det. For eksempel har Sky Mavis lancerede for nylig et 1 million dollars bug bounty-program at styrke sit økosystem. 

Konklusion

Udbredelsen af ​​L1- og L2-løsninger som holistiske blockchain-økosystemer, der udfordrer Ethereum-dapps, har skabt behovet for tværkædede platforme til at flytte aktiver mellem netværk. Dette er essensen af ​​interoperabilitet, en af ​​søjlerne i Web3. 

Ikke desto mindre er det nuværende interoperable scenarie afhængig af protokoller på tværs af kæder snarere end en multikæde-tilgang, et scenarie om hvilket Vitalik lettede sine advarende ord i starten af ​​året. Behovet for interoperabilitet i rummet er mere end tydeligt. Ikke desto mindre er der behov for mere robuste sikkerhedsforanstaltninger i denne type platform. 

Desværre vil udfordringen ikke let blive overvundet. Både pålidelige og tillidsløse platforme præsenterer fejl i deres design. Disse iboende krydskædede fejl er blevet mærkbare. Mere end 80 % af de 1.2 milliarder dollars, der blev tabt i hacks i 2022, er kommet gennem udnyttede broer. 

Derudover bliver hackere også mere sofistikerede, efterhånden som værdien i branchen bliver ved med at stige. Traditionelle cyberangreb som social engineering og phishing-angreb har tilpasset sig Web3-fortællingen. 

Multichain-tilgangen, hvor alle token-versioner er native til hver blockchain, er stadig langt væk. Derfor skal tværkædede platforme lære af tidligere begivenheder og styrke deres processer for at reducere antallet af vellykkede angreb så meget som muligt.

Læs det originale indlæg på Den trossende

• Coinsmart. Europas bedste Bitcoin og Crypto Exchange.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. FRI ADGANG.
• CryptoHawk. Altcoin radar. Gratis prøveversion.
• Kilde: https://thedefiant.io/hackers-target-blockchain-bridges/