چگونه پل های بلاک چین به اهداف اصلی هکرها تبدیل شدند؟

صنعت کریپتو به اکوسیستمی تبدیل شده است که چندین بلاک چین Layer-1 (L1) و راه حل های مقیاس بندی Layer-2 (L2) با قابلیت ها و مبادلات منحصر به فرد را به هم متصل می کند. 

شبکه‌هایی مانند Fantom، Terra یا Avalanche در فعالیت‌های DeFi غنی شده‌اند، در حالی که برنامه‌های بازی برای کسب درآمد مانند Axie Infinity و DeFi Kingdoms کل اکوسیستم‌هایی مانند Ronin و Harmony را حفظ می‌کنند. این بلاک چین ها به عنوان جایگزین های جدی برای کارمزدهای گاز اتریوم و زمان معاملات نسبتاً آهسته مطرح شده اند. نیاز به روشی آسان برای جابجایی دارایی ها بین پروتکل ها در بلاک چین های متفاوت بیش از هر زمان دیگری حیاتی شد. 

اینجاست که پل های بلاک چین وارد می شوند.

در نتیجه سناریوی چند زنجیره ای، ارزش کل قفل شده (TVL) در تمام برنامه های DeFi به شدت افزایش یافت. در پایان مارس 2022، TVL صنعت 215 میلیارد دلار تخمین زده شد که 156 درصد بیشتر از مارس 2021 است. مقدار ارزش قفل شده و پل شده در این برنامه های DeFi توجه هکرهای مخرب را به خود جلب کرد و آخرین روند نشان می دهد که مهاجمان ممکن است یک حلقه ضعیف در پل های بلاک چین پیدا کرد. 

با توجه به پایگاه داده Rekt، 1.2 میلیارد دلار از دارایی های رمزنگاری شده در سه ماهه اول 1 به سرقت رفته است که بر اساس همان منبع، 2022٪ از وجوه سرقت شده تمام دوران را تشکیل می دهد. جالب اینجاست که حداقل 35.8 درصد از دارایی های از دست رفته در سال 80 از پل ها به سرقت رفته است. 

یکی از شدیدترین حملات دو هفته پیش زمانی رخ داد که پل رونین هک شد به مبلغ 540 میلیون دلار قبل از آن، کرم چاله سولانا و پل Qubit Finance BNB Chain بیش از 400 میلیون دلار در سال 2022 مورد بهره برداری قرار گرفتند. بزرگترین هک در تاریخ کریپتو در آگوست 2021 رخ داد. پل PolyNetwork به مبلغ 610 میلیون دلار مورد بهره برداری قرار گرفت، اگرچه وجوه سرقت شده بعدا بازگردانده شد. 

پل ها یکی از با ارزش ترین ابزارها در صنعت هستند، اما ماهیت قابلیت همکاری آنها چالش مهمی برای پروژه های سازنده آنها است. 

آشنایی با پل های بلاک چین

پل‌های آنالوگ به منهتن، پل‌های بلاک چین پلتفرم‌هایی هستند که دو شبکه مختلف را به هم متصل می‌کنند و امکان انتقال زنجیره‌ای متقابل دارایی‌ها و اطلاعات را از یک بلاک چین به زنجیره‌ی دیگر فراهم می‌کنند. به این ترتیب، ارزهای دیجیتال و NFT در زنجیره‌های اصلی خود قرار نمی‌گیرند، اما می‌توان آنها را در میان زنجیره‌های بلوکی مختلف «پل» کرد و گزینه‌های استفاده از این دارایی‌ها را چند برابر کرد. 

به لطف پل‌ها، بیت کوین در شبکه‌های مبتنی بر قرارداد هوشمند برای اهداف DeFi استفاده می‌شود، یا NFL All Day NFT را می‌توان از Flow به Ethereum پل زد تا کسری شود یا به عنوان وثیقه استفاده شود. 

در مورد انتقال دارایی، رویکردهای مختلفی وجود دارد. همانطور که از نام آنها پیداست، پل های Lock-and-Mint با قفل کردن دارایی های اصلی در داخل یک قرارداد هوشمند در سمت ارسال کار می کنند، در حالی که شبکه دریافت کننده یک کپی از توکن اصلی را در طرف دیگر ضرب می کند. اگر اتر از اتریوم به سولانا پل شود، اتر موجود در سولانا فقط یک نمایش "پیچیده" از رمزنگاری است، نه خود توکن واقعی.  

در حالی که رویکرد قفل و منت محبوب‌ترین روش پل زدن است، روش‌های دیگری نیز برای تکمیل انتقال دارایی‌ها وجود دارد، مانند «سوزاندن و منت» یا مبادله اتمی که توسط یک قرارداد هوشمند برای مبادله دارایی‌ها بین دو شبکه انجام می‌شود. کنکس (قبلا xPollinate) و cBrid پل هایی هستند که بر مبادلات اتمی متکی هستند. 

از نقطه نظر امنیتی، پل ها را می توان به دو گروه اصلی طبقه بندی کرد: قابل اعتماد و غیر قابل اعتماد. پل های قابل اعتماد پلتفرم هایی هستند که برای اعتبارسنجی تراکنش ها به شخص ثالث متکی هستند، اما مهمتر از آن، به عنوان نگهبان دارایی های پل شده عمل می کنند. نمونه‌هایی از پل‌های قابل اعتماد را می‌توان تقریباً در تمام پل‌های خاص بلاک چین مانند پل بایننس پیدا کرد. پل POS چند ضلعی، پل WBTC، پل بهمنی، پل هارمونی، پل شاتل ترا، و برنامه های خاصی مانند Multichain (Anyswap سابق) یا Tron's Just Cryptos. 

برعکس، پلتفرم‌هایی که صرفاً به قراردادهای هوشمند و الگوریتم‌ها برای نگهداری دارایی‌ها متکی هستند، پل های بی اعتماد. عامل امنیتی در پل‌های غیرقابل اعتماد به شبکه زیربنایی که دارایی‌ها در آن پل می‌شوند، یعنی جایی که دارایی‌ها قفل می‌شوند، گره خورده است. پل های بی اعتماد را می توان در آن یافت پل رنگین کمان نزدیک، Solana's Wormhole، Polkadot's Snow Bridge، Cosmos IBC و پلتفرم هایی مانند Hop، Connext و Celer. 

در نگاه اول، ممکن است به نظر برسد که پل های غیرقابل اعتماد گزینه ای امن تری برای انتقال دارایی ها بین بلاک چین ها ارائه می دهند. با این حال، پل های قابل اعتماد و غیر قابل اعتماد با چالش های متفاوتی روبرو هستند. 

محدودیت های پل های قابل اعتماد و بی اعتماد

پل رونین به عنوان یک پلت فرم متمرکز متمرکز عمل می کند. این پل از یک کیف پول multisig برای نگهداری دارایی های پل شده استفاده می کند. به طور خلاصه، کیف پول مولتی سیگ آدرسی است که برای تایید یک تراکنش به دو یا چند امضای رمزنگاری نیاز دارد. در مورد Ronin، زنجیره جانبی دارای 9 تایید کننده است که برای تایید سپرده ها و برداشت ها به پنج امضای مختلف نیاز دارند.  

پلتفرم های دیگر از همین رویکرد استفاده می کنند اما ریسک را بهتر متنوع می کنند. به عنوان مثال، Polygon به هشت اعتبار سنج متکی است و به پنج امضا نیاز دارد. این پنج امضا توسط احزاب مختلف کنترل می شود. در مورد رونین، چهار امضا تنها توسط تیم اسکای ماویس نگه داشته شد و یک نقطه شکست را ایجاد کرد. پس از اینکه هکر موفق شد چهار امضای Sky Mavis را به طور همزمان کنترل کند، تنها یک امضای دیگر برای تأیید برداشت از دارایی ها لازم بود. 

در 23 مارس، مهاجم کنترل امضای Axie DAO را به دست آورد، آخرین قطعه مورد نیاز برای تکمیل حمله. 173,600 ETH و 25.5 میلیون USDC از قرارداد حافظ رونین در دو تراکنش مختلف در دومین حمله بزرگ رمزنگاری تا کنون تخلیه شد. همچنین شایان ذکر است که تیم Sky Mavis تقریباً یک هفته بعد متوجه این هک شد و نشان داد که مکانیسم‌های نظارتی Ronin حداقل ناقص بوده و نقص دیگری را در این پلتفرم قابل اعتماد آشکار می‌کند. 

در حالی که تمرکز یک نقص اساسی است، پل‌های بدون اعتماد به دلیل اشکالات و آسیب‌پذیری‌ها در نرم‌افزار و کدنویسی‌شان مستعد سوءاستفاده هستند. 

Solana Wormhole، پلتفرمی که تراکنش های متقابل بین Solana و Ethereum را امکان پذیر می کند، در فوریه 2022 مورد سوء استفاده قرار گرفت. 325 میلیون دلار سرقت شد به دلیل یک اشکال در قراردادهای سرپرست سولانا. یک اشکال در قراردادهای Wormhole به هکر اجازه داد تا اعتبارسنجی زنجیره ای متقابل را طراحی کند. مهاجم 0.1 اتریوم از اتریوم به سولانا ارسال کرد تا مجموعه‌ای از «پیام‌های انتقال» را راه‌اندازی کند که برنامه را فریب داد تا واریز فرضی 120,000 ETH را تأیید کند.

هک Wormhole پس از آن اتفاق افتاد شبکه پلی به دلیل نقص در طبقه بندی و ساختار قراردادها به مبلغ 610 میلیون دلار در آگوست 2021 مورد بهره برداری قرار گرفت. تراکنش های زنجیره ای متقابل در این dapp توسط یک گروه متمرکز از گره ها به نام "حافظان" تایید شده و در شبکه دریافت کننده توسط یک قرارداد دروازه تایید می شوند. در این حمله، هکر توانست امتیازاتی را به عنوان نگهبان به دست آورد و به این ترتیب با تنظیم پارامترهای خود دروازه را فریب داد. مهاجم این فرآیند را در اتریوم، بایننس، نئو و سایر بلاک چین‌ها برای استخراج دارایی‌های بیشتر تکرار کرد.

همه پل ها به اتریوم منتهی می شوند

اتریوم همچنان غالب ترین اکوسیستم DeFi در صنعت است و تقریباً 60 درصد از TVL صنعت را به خود اختصاص داده است. در همان زمان، ظهور شبکه‌های مختلف به‌عنوان جایگزینی برای برنامه‌های DeFi اتریوم، فعالیت زنجیره‌ای متقابل پل‌های بلاک‌چین را برانگیخت. 

بزرگترین پل در این صنعت، پل WBTC است که توسط BitGo، Kyber، و پروتکل جمهوری، تیم پشتیبان RenVM نگهداری می شود. از آنجایی که توکن‌های بیت‌کوین از نظر فنی با بلاک‌چین‌های مبتنی بر قرارداد هوشمند سازگار نیستند، پل WBTC بیت‌کوین بومی را می‌پیچد، آن را در قرارداد نگهبان پل قفل می‌کند و نسخه ERC-20 آن را در اتریوم ضرب می‌کند. این پل در تابستان DeFi محبوبیت زیادی پیدا کرد و اکنون حدود 12.5 میلیارد دلار بیت کوین دارد. WBTC به BTC اجازه می دهد تا به عنوان وثیقه در dapp هایی مانند Aave، Compound و Maker استفاده شود، یا برای تولید مزرعه یا کسب سود در چندین پروتکل DeFi استفاده شود. 

Multichain که قبلاً Anyswap نامیده می‌شد، برنامه‌ای است که تراکنش‌های زنجیره‌ای متقابل را به بیش از ۴۰ بلاک چین با یک پل داخلی ارائه می‌دهد. Multichain دارای 40 میلیارد دلار در تمام شبکه های متصل است. با این حال، پل فانتوم به اتریوم با 6.5 میلیارد دلار قفل، با اختلاف بزرگترین استخر است. در نیمه دوم سال 3.5، شبکه Proof-of-Stake خود را به عنوان یک مقصد محبوب DeFi با مزارع بازدهی جذاب شامل FTM، استیبل کوین‌های مختلف یا WETH مانند مواردی که در SpookySwap یافت می‌شود، تثبیت کرد. 

برخلاف فانتوم، بیشتر بلاک چین های L1 از یک پل مستقیم مستقل برای اتصال شبکه ها استفاده می کنند. پل بهمن عمدتا توسط بنیاد بهمن نگهداری می شود و بزرگترین پل L1<>L1 است. Avalanche دارای یکی از قوی ترین مناظر DeFi با برنامه هایی مانند Trader Joe، Aave، Curve و Platypus Finance است. 

پل بایننس نیز با 4.5 میلیارد دلار دارایی قفل شده برجسته است و پس از آن Solana Wormhole با 3.8 میلیارد دلار قرار دارد. پل شاتل Terra با وجود اینکه دومین بلاک چین بزرگ از نظر TVL است، تنها 1.4 میلیارد دلار تضمین می کند.

به طور مشابه، راه حل های مقیاس بندی مانند Polygon، Arbitrum و Optimism نیز از مهم ترین پل ها از نظر دارایی های قفل شده هستند. پل Polygon POS، نقطه ورود اصلی بین اتریوم و زنجیره جانبی آن، سومین پل بزرگ با حدود 6 میلیارد دلار نگهبانی است. در همین حال، نقدینگی در پل پلتفرم های محبوب L2 مانند Arbitrum و Optimism نیز در حال افزایش است. 

یکی دیگر از پل های قابل ذکر، پل نزدیک رنگین کمان است که هدف آن حل معروف است سه گانه قابلیت همکاری. این پلتفرم که Near و Aurora را به اتریوم متصل می‌کند، ممکن است فرصت ارزشمندی برای دستیابی به امنیت در پل‌های بدون اعتماد باشد. 

بهبود امنیت زنجیره ای

پل های قابل اعتماد و غیرقابل اعتماد، دو رویکرد برای نگهداری دارایی های پل شده، مستعد ضعف های اساسی و فنی هستند. با این حال، راه‌هایی برای جلوگیری و کاهش تأثیر مهاجمان مخربی که پل‌های بلاک چین را هدف قرار می‌دهند، وجود دارد. 

در مورد پل های قابل اعتماد، واضح است که افزایش نسبت امضاکنندگان مورد نیاز مورد نیاز است، در حالی که مولتی سیگ ها در کیف پول های مختلف توزیع می شوند. و حتی اگر پل‌های غیرقابل اعتماد خطرات مربوط به تمرکز را حذف می‌کنند، اشکالات و سایر محدودیت‌های فنی موقعیت‌های خطرناکی را ایجاد می‌کنند، همانطور که توسط Solana Wormhole یا سوء استفاده‌های Qubit Finance نشان داده شده است. بنابراین، لازم است اقدامات خارج از زنجیره برای محافظت از پلت فرم های زنجیره ای تا حد امکان اجرا شود.

همکاری بین پروتکل ها مورد نیاز است. فضای Web3 با جامعه پیوند خورده‌اش مشخص می‌شود، بنابراین داشتن باهوش‌ترین ذهن‌های صنعت که با هم کار می‌کنند تا فضا را به مکانی امن‌تر تبدیل کنند، بهترین سناریو خواهد بود. برندهای Animoca، Binance و سایر برندهای Web3 150 میلیون دلار جمع آوری کردند تا به Sky Mavis کمک کنند تا تأثیر مالی هک پل Ronin را کاهش دهد. کار با هم برای آینده چند زنجیره ای می تواند قابلیت همکاری را به سطح بعدی برساند. 

به همین ترتیب، هماهنگی با پلتفرم‌های تحلیل زنجیره‌ای و صرافی‌های متمرکز (CEX) باید به ردیابی و پرچم‌گذاری توکن‌های سرقت‌شده کمک کند. این شرایط ممکن است در میان مدت مجرمان را بی انگیزه کند، زیرا دروازه نقدینگی ارزهای دیجیتال برای فیات باید توسط رویه‌های KYC در CEXهای مستقر کنترل شود. ماه گذشته، یک زن و شوهر 20 ساله پس از کلاهبرداری از افراد در فضای NFT، از نظر قانونی تحریم شدند. منصفانه است که برای هکرهای شناسایی شده نیز همین رفتار را بخواهید.

ممیزی ها و پاداش های باگ راه دیگری برای بهبود سلامت هر پلتفرم Web3 از جمله پل ها هستند. سازمان‌های معتبر مانند Certik، Chainsafe، Blocksec و چندین سازمان دیگر به ایمن‌تر کردن تعاملات Web3 کمک می‌کنند. تمام پل های فعال باید توسط حداقل یک سازمان دارای گواهی ممیزی شوند. 

در همین حال، برنامه‌های پاداش باگ یک هم افزایی بین پروژه و جامعه آن ایجاد می‌کند. هکرهای سفید نقش حیاتی در شناسایی آسیب‌پذیری‌ها قبل از حمله‌های مخرب دارند. به عنوان مثال، Sky Mavis دارد اخیراً یک برنامه پاداش باگ 1 میلیون دلاری راه اندازی کرده است برای تقویت اکوسیستم آن 

نتیجه

افزایش راه‌حل‌های L1 و L2 به‌عنوان اکوسیستم‌های کل‌نگر بلاک چین که اتریوم را به چالش می‌کشند، نیاز به پلتفرم‌های زنجیره‌ای متقابل برای جابجایی دارایی‌ها بین شبکه‌ها را ایجاد کرده است. این جوهره قابلیت همکاری، یکی از ارکان Web3 است. 

با این وجود، سناریوی تعاملی کنونی به پروتکل های زنجیره ای متقابل متکی است تا رویکرد چند زنجیره ای، سناریویی که در مورد آن ویتالیک احتیاط را کاهش داد در آغاز سال نیاز به قابلیت همکاری در فضا بیش از پیش مشهود است. با این وجود، اقدامات امنیتی قوی تری در این نوع پلت فرم مورد نیاز است. 

متأسفانه، این چالش به راحتی برطرف نخواهد شد. پلتفرم های قابل اعتماد و غیر قابل اعتماد هر دو نقص هایی در طراحی خود دارند. این معایب ذاتی زنجیره متقابل قابل توجه شده است. بیش از 80 درصد از 1.2 میلیارد دلار از دست رفته در هک ها در سال 2022 از طریق پل های استثمار شده به دست آمده است. 

علاوه بر این، با افزایش ارزش در صنعت، هکرها نیز پیچیده تر می شوند. حملات سایبری سنتی مانند مهندسی اجتماعی و حملات فیشینگ با روایت Web3 سازگار شده اند. 

رویکرد چند زنجیره ای که در آن همه نسخه های توکن بومی هر بلاک چین هستند، هنوز دور از دسترس است. بنابراین، پلتفرم های زنجیره ای متقابل باید از رویدادهای قبلی درس گرفته و فرآیندهای خود را تقویت کنند تا تعداد حملات موفق را تا حد امکان کاهش دهند.

پست اصلی را در ادامه بخوانید نافرجام

• Coinsmart. بهترین صرافی بیت کوین و کریپتو اروپا.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی رایگان.
• CryptoHawk. رادار آلت کوین امتحان رایگان.
• منبع: https://thedefiant.io/hackers-target-blockchain-bridges/