Die überwiegende Mehrheit der Kryptos, die in diesem Jahr durch Hacks verloren gingen, wurde von Bridges gestohlen, der Technologie, die es Benutzern ermöglicht, digitale Assets zwischen Blockchains zu übertragen.
Die Gründe liegen auf der Hand: Bridges sind kompliziert und bieten Angreifern mehr Ausnutzungsmöglichkeiten.
Darüber hinaus bieten sie einen einzigen Fehlerpunkt: einen intelligenten Vertrag, der das Geld des Benutzers treuhänderisch hält, während die „übertragenen“ Token – im Wesentlichen Schuldscheine – in der Zielkette verwendet werden.
Ungewöhnlicher Umzug
Daher waren die Forscher von L2 Beat überrascht, als sie sich in Multichain, eine Überbrückungsplattform mit einem gesperrten Gesamtwert von 1 Milliarde US-Dollar, vertieften und eine offensichtliche Bedrohung von innen fanden.
Laut L2 Beat, einem Forschungsprojekt, das den Layer-2-Blockchain-Raum analysiert, hat Multichain in einem ungewöhnlichen Schritt Millionen von Benutzergeldern von Treuhandkontos übertragen, um Liquidität an anderer Stelle in seinem Netzwerk bereitzustellen.
„Das ist das Geld der Benutzer, also wird dies entweder mit den Benutzern in dieser Kette vereinbart, oder sie haben einen Gesellschaftsvertrag mit den Benutzern gebrochen“, sagte Bartek Kiepuszewski, ein Forscher bei L2 Beat, gegenüber The Defiant.
Das ist Benutzergeld, also ist dies entweder mit Benutzern in dieser Kette vereinbart, oder sie haben einen Gesellschaftsvertrag mit Benutzern gebrochen.
Bartek Kiepuszewski
Während die Übertragung der Token von der Hinterlegung auf der Kette zu sehen ist, ist es laut Kiepuszewski ein Rätsel, wohin diese Token letztendlich gegangen sind.
Multichain behauptet, dass die Token verwendet wurden, um Liquidität an anderer Stelle in seinem Netzwerk bereitzustellen, aber die Größe dieses Netzwerks bedeutet, dass die Bestätigung der Behauptungen für ein kleines Team wie L2 Beat äußerst schwierig ist.
Michael Lewellen, Head of Solutions bei der Krypto-Sicherheitsfirma Open Zeppelin, sagte, die Praxis sei in der Tat problematisch.
„Wenn es keinen eindeutigen Weg gibt, um festzustellen, dass die Vermögenswerte, die die Brücke zu unterstützen behauptet, nicht öffentlich überprüfbar sind, würde ich dies definitiv als ein besonderes Anliegen für die Brücke bezeichnen“, sagte Lewellen gegenüber The Defiant.
Die Anschuldigungen von L2 stellen das Verhalten und die Sicherheitspraktiken einer Organisation in Frage, die für mehr als 1 Milliarde US-Dollar an Benutzergeldern verantwortlich ist. Multichain verbindet sich mit Dutzenden von Blockchains und unterstützt Tausende von Token. Zu bestätigen, dass Multichain diese Krypto immer noch hat – dass sie nicht gestohlen oder in DeFi-Protokollen verspielt wurde – wäre eine Herkulesaufgabe.
Frischer Zweifel
Darüber hinaus könnten die Vorwürfe neue Zweifel an der Bridge-Technologie aufkommen lassen, die in diesem Jahr durch Hacker enormen Schaden erlitten hat.
Drei der fünf größten Hacks in der Krypto-Geschichte ereigneten sich in diesem Jahr, und jeder von ihnen war laut Rekts Exploit ein Bridge-Hack Leaderboard. Mehr als 600 Millionen Dollar wurden vom Ronin-Netzwerk abgezogen. Fast 600 Millionen Dollar wurden von einer Binance-Brücke genommen. Mehr als 300 Millionen Dollar wurden von der Wurmlochbrücke erbeutet.
Multichain reagierte nicht auf mehrere Anfragen nach Kommentaren, die über die auf seiner Website aufgeführte Kontakt-E-Mail-Adresse gesendet wurden.
Sicherheitsannahmen
Die Folge hebt die Rolle hervor, die L2 bei der Untersuchung des Blockchain-Skalierungsraums spielt. Als der Lending Protocol Maker überlegte, ob er auf Layer-2-Blockchains wie Optimism und Arbitrum expandieren sollte, musste er besser verstehen, wie diese Blockchains funktionierten.
Das daraus resultierende Projekt wurde schließlich von Maker abgespalten und wurde zu L2 Beat – einer Website, die unzählige Layer-2-Blockchains, den Geldbetrag, den sie besitzen, und die von ihnen getroffenen Sicherheitsannahmen auflistet.
[Eingebetteten Inhalt]
In diesem Monat wurde das Projekt um die Einführung eines Dashboards für Bridge-Protokolle erweitert. Neben Multichain, dem zweitgrößten Bridge-Protokoll der Welt, hat das L2 Beat-Team ein kleines gelbes Schild mit einem Ausrufezeichen angebracht, das die Benutzer vor der vermuteten Unangemessenheit warnt.
„Jede einzelne Brücke funktioniert mehr oder weniger gleich“, erklärt Kiepuszewski. „Sie senden Token an eine Adresse und [neue] Token werden von Validatoren auf dem Ziel [Blockchain] geprägt. Wenn Sie zurückgehen möchten, geschieht das Gegenteil, also verbrennen Sie Token am Zielort und Validierer sollten Token von dieser Treuhandadresse freigeben, an die Sie ursprünglich Token gesendet haben.“
Liquiditätsnetzwerk
Bridge-Protokolle, die keine neuen Token auf einer Zielkette prägen können, verwenden stattdessen die „Liquidity Network“-Methode. Liquiditätsanbieter hinterlegen Token in Liquiditätspools in der Zielkette. Diese Token stehen Benutzern zur Verfügung, die zu dieser Blockchain überbrücken, und sie werden an den Pool zurückgegeben, wenn sich Bridge-Benutzer zu ihrer Ursprungskette zurückziehen.
Multichain, das Brücken zu Dutzenden von Blockchains hat, ist laut L2 Beat ein Hybrid. In einigen Fällen werden Token geprägt. In anderen verwendet es Liquiditätspools.
Laut den Recherchen von Kiepuszewski haben Multichain-Validierer fast 80 Millionen Dollar an Stablecoins und 300 Bitcoin aus einem Treuhandvertrag gezogen und mehr Krypto auf der Zielkette hinterlassen, als im Vertrag verblieben ist.
Kiepuszewski sagte, er habe sich an Multichain gewandt, und Vertreter sagten ihm, dass die Krypto verwendet wurde, um Liquiditätspools über verschiedene Ketten hinweg bereitzustellen.
Ether erreicht Sechs-Wochen-Hoch, da starke Gewinne die Börsenrallye befeuern
Layer-1-Token führen den Angriff an
„Sie behaupten, dass dies ihrer Meinung nach nicht problematisch ist, da das Geld immer noch im Multichain-Ökosystem liegt und Benutzer ihrer Meinung nach immer in der Lage sein sollten, den benötigten Betrag abzuheben“, sagte Kiepuszewski. Aber die Durchführung eines Audits „wird jetzt extrem kompliziert, weil Sie das gesamte Multichain-Ökosystem analysieren müssen, oder?“
Open Zeppelins Lewellen stimmten zu. „Sogar für Liquiditätsnetzwerke“, sagte er. „Es gibt zumindest eine Möglichkeit, sich die verschiedenen [Liquiditätsanbieter]-Pools und verschiedenen Ketten anzusehen und festzustellen, dass die von einer Brücke ausgegebenen Gesamtvermögenswerte mit einem Liquiditätspool an anderer Stelle übereinstimmen.“
Lewellen und Kiepuszewski sagten beide, dass ein Dashboard, das den Weg ihrer Gelder zeigt, einen großen Beitrag dazu leisten würde, Bedenken hinsichtlich der Bewegung der Krypto der Benutzer zu zerstreuen.
Sicherheitslücken in der Software
Es fügt auch eine neue Falte bei der Beurteilung hinzu, ob Multichain ein sicherer Ort ist, um sein Geld zu parken. In der Regel bestätigt ein Audit, ob Software-Schwachstellen vorhanden sind. Nun müssen sich die Nutzer auch fragen, ob man Multichain selbst ihr Geld anvertrauen kann, sagte Kiepuszewski.
Selbst wenn die Gelder sicher verwahrt sind, kann es schwierig sein, rechtzeitig darauf zuzugreifen. Und das wirft laut Lewellen seine eigenen Probleme auf, der auf die Tatsache hinwies, dass es in der Fantom-Brücke von Multichain weniger Dai zu geben scheint als von Multichain geprägte Dai-Token auf Fantom.
Keine Klarheit
Mehr als 52 Millionen Dollar Dai, die an Fantom, eine Layer-1-Blockchain, überbrückt wurden, wurden laut L2 Beat angeblich von Multichain-Validierern aus der Treuhand entfernt.
Wenn der Dai seine Bindung an den US-Dollar verlieren würde und Personen mit Dai auf Fantom diesen Dai gegen USD einlösen wollten, könnten sie in der Zeit, die zum Auffinden und Übertragen des Dai benötigt wird, einen erheblichen Geldbetrag verlieren Treuhandkonto, so Lewellen.
„Es ist nicht so, dass dies heute passieren wird, aber es könnte passieren, wenn diese Faktoren auf eine Weise zusammenlaufen, die für Multichain nicht sehr günstig ist“, sagte er, „und ich denke, das ist letztendlich der Grund für die Besorgnis. Es fehlt einfach die Klarheit darüber, wie Multichain mit diesem Risiko umgeht.“
- Bitcoin
- Blockchain
- Blockchain-Konformität
- Blockchain Konferenz
- coinbase
- Einfallsreichtum
- Konsens
- Krypto-Konferenz
- Kryptoabbau
- kryptowährung
- dezentralisiert
- DeFi
- Digitale Assets
- Astraleum
- Maschinelles Lernen
- nicht fungibler Token
- Plato
- platon ai
- Datenintelligenz von Plato
- Platoblockkette
- PlatoData
- Platogaming
- Vieleck
- Nachweis der Beteiligung
- Der Trotzige
- W3
- Zephyrnet
![Was ist Tranche? [Gesponsert]](https://platoblockchain.com/wp-content/uploads/2023/04/what-is-tranchess-sponsored-300x222.png "Was ist Tranche? [Gesponsert]")
![[GESPONSERT] Balancer Wars: Aura’s Path to Dominance in Ethereum DeFi PlatoBlockchain Data Intelligence. Vertikale Suche. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/Balancer-Wars-Auras-Path-to-Dominance-in-Ethereum-DeFi-300x169.png "[GESPONSERT] Balancer Wars: Auras Weg zur Dominanz in Ethereum DeFi")
