Kuinka Blockchain Bridgesistä tuli hakkereiden tärkeimpiä kohteita

Kryptoteollisuus on kehittynyt ekosysteemiksi, joka yhdistää useita Layer-1(L1)-lohkoketjuja ja Layer-2(L2)-skaalausratkaisuja ainutlaatuisilla ominaisuuksilla ja kompromissilla. 

Verkostot, kuten Fantom, Terra tai Avalanche, ovat tulleet rikkaiksi DeFi-toiminnassa, kun taas ansaitsemissovellukset, kuten Axie Infinity ja DeFi Kingdoms, ylläpitävät kokonaisia ​​ekosysteemejä, kuten Ronin ja Harmony. Nämä lohkoketjut ovat nousseet vakavina vaihtoehtoina Ethereumin kaasumaksuille ja suhteellisen hitaille transaktioajoille. Tarve helpolle tavan siirtää omaisuutta protokollien välillä eri lohkoketjuissa tuli kriittisemmäksi kuin koskaan. 

Tässä lohkoketjusillat tulevat mukaan.

Moniketjuisen skenaarion seurauksena kaikkien DeFi-dappien kokonaisarvo lukittu (TVL) nousi pilviin. Maaliskuun 2022 lopussa alan TVL:ksi arvioitiin 215 miljardia dollaria, 156 % korkeampi kuin maaliskuussa 2021. Näissä DeFi-dappeissa lukitun ja silloitetun arvon määrä houkutteli haitallisten hakkerien huomion, ja viimeisin trendi viittaa siihen, että hyökkääjät saattoivat olla löysi heikon lenkin lohkoketjusilloista. 

Rekt-tietokannan mukaan vuoden 1.2 ensimmäisellä neljänneksellä varastettiin 1 miljardia dollaria kryptoomaisuutta, mikä vastaa 2022 prosenttia kaikkien aikojen varastetuista varoista saman lähteen mukaan. Mielenkiintoista on, että ainakin 35.8 % vuonna 80 kadonneista varoista on varastettu silloista. 

Yksi vakavimmista hyökkäyksistä tapahtui kaksi viikkoa sitten, kun Roninin silta hakkeroitiin 540 miljoonalla dollarilla. Ennen sitä, Solana-madonreikä ja BNB Chainin Qubit Finance -siltaa hyödynnettiin yli 400 miljoonalla dollarilla vuonna 2022. Kryptohistorian suurin hakkerointi tapahtui elokuussa 2021, kun PolyNetwork-siltaa hyödynnettiin 610 miljoonalla dollarilla, vaikka varastetut varat palautettiin myöhemmin. 

Sillat ovat yksi alan arvokkaimmista työkaluista, mutta niiden yhteentoimivuus on tärkeä haaste niitä rakentaville projekteille. 

Blockchain-siltojen ymmärtäminen

Manhattanin siltojen analogiset lohkoketjusillat ovat alustoja, jotka yhdistävät kaksi eri verkkoa mahdollistaen omaisuuden ja tiedon ketjujen välisen siirron lohkoketjusta toiseen. Tällä tavalla kryptovaluuttoja ja NFT:itä ei sidota alkuperäisiin ketjuihinsa, vaan ne voidaan "sillata" eri lohkoketjujen välillä, mikä moninkertaistaa mahdollisuudet hyödyntää näitä varoja. 

Siltojen ansiosta Bitcoinia käytetään älykkäissä sopimuspohjaisissa verkoissa DeFi-tarkoituksiin, tai NFL All Day NFT voidaan sillata Flow'sta Ethereumiin jakaa tai käyttää vakuutena. 

Omaisuuden siirtämiseen on erilaisia ​​lähestymistapoja. Kuten niiden nimestä voi päätellä, Lock-and-Mint -sillat toimivat lukitsemalla alkuperäiset resurssit älykkään sopimuksen sisään lähettäjäpuolella, kun taas vastaanottava verkko tekee kopion alkuperäisestä tunnuksesta toiselle puolelle. Jos Ether on siltattu Ethereumista Solanaan, Solanan eetteri on vain "kääritty" esitys kryptosta, ei itse merkki.  

Vaikka lock and mint -lähestymistapa on suosituin siltausmenetelmä, on olemassa muitakin tapoja varojen siirtämiseen loppuun, kuten "polta ja-mint" tai älykkäällä sopimuksella itse toteutetut atominvaihdot varojen vaihtamiseksi kahden verkon välillä. Yhteys (entinen xPollinate) ja cSilta ovat siltoja, jotka perustuvat atomien vaihtoon. 

Turvallisuuden näkökulmasta sillat voidaan luokitella kahteen pääryhmään: luotettu ja luotettu. Luotettavat sillat ovat alustoja, jotka turvautuvat kolmannen osapuolen puoleen transaktioiden vahvistamisessa, mutta mikä vielä tärkeämpää, toimivat silloitettujen varojen säilyttäjinä. Esimerkkejä luotetuista silloista löytyy melkein kaikista lohkoketjukohtaisista silloista, kuten Binance Bridge, Polygon POS Bridge, WBTC Bridge, Avalanche Bridge, Harmony Bridge, Terra Shuttle Bridge ja tietyt dappit, kuten Multichain (aiemmin Anyswap) tai Tron's Just Cryptos. 

Sitä vastoin alustat, jotka luottavat puhtaasti älykkäisiin sopimuksiin ja omaisuuden säilytysalgoritmeihin, ovat luotettavia siltoja. Luotettamattomien siltojen turvallisuustekijä on sidottu alla olevaan verkkoon, jossa omaisuus silloitetaan, eli mihin omaisuus on lukittu. Luotettamattomia siltoja löytyy LÄHELLÄ on Rainbow Bridge, Solanan Wormhole, Polkadot's Snow Bridge, Cosmos IBC ja alustat, kuten Hop, Connext ja Celer. 

Ensi silmäyksellä saattaa näyttää siltä, ​​​​että luotettavat sillat tarjoavat turvallisemman vaihtoehdon varojen siirtämiseen lohkoketjujen välillä. Sekä luotetuilla että luotettavilla silloilla on kuitenkin erilaisia ​​haasteita. 

Luotettujen ja luotettamattomien siltojen rajoitukset

Ronin-silta toimii keskitettynä luotettavana alustana. Tämä silta käyttää multisig-lompakkoa silloitetun omaisuuden säilyttämiseen. Lyhyesti sanottuna multisig-lompakko on osoite, joka vaatii vähintään kaksi kryptografista allekirjoitusta tapahtuman hyväksymiseksi. Roninin tapauksessa sivuketjussa on yhdeksän validaattoria, jotka tarvitsevat viisi erilaista allekirjoitusta talletusten ja nostojen hyväksymiseksi.  

Muut alustat käyttävät samaa lähestymistapaa, mutta hajauttavat riskiä paremmin. Esimerkiksi Polygon luottaa kahdeksaan validaattoriin ja vaatii viisi allekirjoitusta. Viittä allekirjoitusta hallitsevat eri puolueet. Roninin tapauksessa Sky Mavis -tiimin hallussa oli neljä allekirjoitusta, mikä loi yhden epäonnistumispisteen. Kun hakkeri onnistui hallitsemaan neljä Sky Mavis -allekirjoitusta kerralla, tarvittiin vain yksi allekirjoitus lisää varojen poistamisen hyväksymiseen. 

23. maaliskuuta hyökkääjä sai hallintaansa Axie DAO:n allekirjoituksen, viimeisen hyökkäyksen suorittamiseen tarvittavan kappaleen. 173,600 25.5 ETH:ta ja XNUMX miljoonaa USDC:tä tyhjennettiin Roninin säilytyssopimuksesta kahdessa eri transaktiossa kaikkien aikojen toiseksi suurimmassa kryptohyökkäyksessä. On myös syytä huomata, että Sky Mavis -tiimi sai tietää hakkeroinnista melkein viikkoa myöhemmin, mikä osoitti, että Roninin valvontamekanismit olivat vähintäänkin puutteellisia, mikä paljasti toisen puutteen tässä luotetussa alustassa. 

Vaikka keskittäminen on perustavanlaatuinen puute, luotettamattomat sillat ovat alttiita hyväksikäytölle ohjelmistojen ja koodauksen vikojen ja haavoittuvuuksien vuoksi. 

Solana Wormhole, alusta, joka mahdollistaa Solanan ja Ethereumin väliset siltatapahtumat, joutui hyväksikäyttöön helmikuussa 2022, jossa 325 miljoonaa dollaria varastettiin Solanan säilytyssopimusten virheen vuoksi. Virhe Wormhole-sopimuksissa antoi hakkerille mahdollisuuden suunnitella ketjujen välisiä validaattoreita. Hyökkääjä lähetti 0.1 ETH:tä Ethereumista Solanaan laukaistakseen joukon "siirtoviestejä", jotka huijasivat ohjelman hyväksymään oletetun 120,000 XNUMX ETH:n talletuksen.

Madonreiän hakkerointi tapahtui sen jälkeen Poly-verkko Sitä hyödynnettiin 610 miljoonalla dollarilla elokuussa 2021 sopimusten taksonomian ja rakenteen virheiden vuoksi. Tämän dapp-sovelluksen ketjujen väliset tapahtumat hyväksyy keskitetty ryhmä solmuja, joita kutsutaan "pitäjiksi", ja ne validoidaan vastaanottavassa verkossa yhdyskäytäväsopimuksella. Tässä hyökkäyksessä hakkeri pystyi hankkimaan haltijan oikeudet ja petti siten yhdyskäytävän asettamalla omat parametrinsa. Hyökkääjä toisti prosessin Ethereumissa, Binancessa, Neossa ja muissa lohkoketjuissa saadakseen lisää omaisuutta.

Kaikki sillat johtavat Ethereumiin

Ethereum on edelleen alan hallitsevin DeFi-ekosysteemi, ja sen osuus on lähes 60 % alan TVL:stä. Samaan aikaan eri verkkojen nousu vaihtoehdoiksi Ethereumin DeFi-dappeille sai aikaan lohkoketjusiltojen ketjujen välisen toiminnan. 

Alan suurin silta on WBTC-silta, jota ylläpitävät BitGo, Kyber ja Republic Protocol, RenVM:n takana oleva tiimi. Koska Bitcoin-tunnukset eivät ole teknisesti yhteensopivia älykkäiden sopimuspohjaisten lohkoketjujen kanssa, WBTC-silta "käärii" alkuperäisen Bitcoinin, lukitsee sen sillan säilytyssopimukseen ja lyö sen ERC-20-version Ethereumiin. Tästä sillasta tuli valtavan suosittu DeFi Summerissa, ja sillä on nyt noin 12.5 miljardin dollarin arvosta Bitcoinia. WBTC mahdollistaa BTC:n käytön vakuudeksi dappeissa, kuten Aave, Compound ja Maker, tai tuottamaan maatilaa tai ansaitsemaan kiinnostusta useisiin DeFi-protokolliin. 

Multichain, joka tunnettiin aiemmin nimellä Anyswap, on dapp, joka tarjoaa ketjujen välisiä transaktioita yli 40 lohkoketjulle sisäänrakennetulla sillalla. Multichainilla on 6.5 miljardia dollaria kaikista yhdistetyistä verkoista. Fantom-silta Ethereumiin on kuitenkin ylivoimaisesti suurin allas, jossa on 3.5 miljardia dollaria lukittuina. Vuoden 2021 toisella puoliskolla Proof-of-Stake -verkosto vakiinnutti itsensä suosituksi DeFi-kohteeksi houkuttelevilla tuottotiloilla, joissa on mukana FTM, erilaisia ​​​​stablecoineja tai WETH, kuten SpookySwapissa. 

Toisin kuin Fantom, useimmat L1-lohkoketjut käyttävät itsenäistä suoraa siltaa verkkojen yhdistämiseen. Avalanche-silta on enimmäkseen Avalanche Foundationin hallussa ja se on suurin L1<>L1-silta. Avalanchella on yksi vankimmista DeFi-maisemista dappien, kuten Trader Joe, Aave, Curve ja Platypus Finance, kanssa. 

Binancen silta erottuu myös 4.5 miljardin dollarin omaisuudesta, jota seuraa tiiviisti Solana Wormhole 3.8 miljardilla dollarilla. Terran Shuttle Bridge turvaa vain 1.4 miljardia dollaria huolimatta siitä, että se on TVL:n toiseksi suurin lohkoketju.

Samoin skaalausratkaisut, kuten Polygon, Arbitrum ja Optimism, ovat myös merkittävimpiä siltoja lukittujen varojen suhteen. Polygon POS Bridge, Ethereumin ja sen sivuketjun välinen pääsypiste, on kolmanneksi suurin silta lähes 6 miljardilla dollarilla. Samaan aikaan myös suosittujen L2-alustojen, kuten Arbitrumin ja Optimismin, siltojen likviditeetti on nousussa. 

Toinen mainitsemisen arvoinen silta on Near Rainbow -silta, jonka tarkoituksena on ratkaista kuuluisa yhteentoimivuuden trilemma. Tämä Nearin ja Auroran Ethereumiin yhdistävä alusta voi tarjota arvokkaan mahdollisuuden turvallisuuden saavuttamiseen luotettavilla silloilla. 

Cross-Chain Securityn parantaminen

Sekä luotetut että luotetut sillat, kaksi lähestymistapaa säilytyssillattuihin omaisuuseriin, ovat alttiita perustavanlaatuisille ja teknisille heikkouksille. Silti on olemassa tapoja estää ja vähentää lohkoketjusilloille kohdistavien haitallisten hyökkääjien aiheuttamia vaikutuksia. 

Luotettujen siltojen kohdalla on selvää, että allekirjoittajien määrää on lisättävä, samalla kun multisigit jaetaan eri lompakoihin. Ja vaikka luottamattomat sillat poistavat keskittämiseen liittyvät riskit, virheet ja muut tekniset rajoitteet aiheuttavat riskitilanteita, kuten Solana Wormhole tai Qubit Finance -hyökkääjät osoittavat. Siksi on välttämätöntä toteuttaa ketjun ulkopuolisia toimia ketjujen välisten alustojen suojaamiseksi mahdollisimman paljon.

Yhteistyötä protokollien välillä tarvitaan. Web3-tilalle on ominaista sen sidottu yhteisö, joten alan kirkkaimmat mielet työskentelevät yhdessä tehdäkseen tilasta turvallisemman paikan olisi täydellinen skenaario. Animoca Brands, Binance ja muut Web3-brändit keräsivät 150 miljoonaa dollaria auttaakseen Sky Mavisia vähentämään Roninin sillan hakkeroinnin taloudellisia vaikutuksia. Yhteistyö moniketjuisen tulevaisuuden puolesta voi viedä yhteentoimivuuden uudelle tasolle. 

Samoin koordinoinnin ketjuanalyysialustojen ja keskitettyjen vaihtojen (CEX) kanssa pitäisi auttaa jäljittämään ja ilmoittamaan varastetut tunnukset. Tämä ehto saattaa lannistaa rikollisia keskipitkällä aikavälillä, koska yhdyskäytävää krypton lunastamiseen fiatille tulisi hallita vakiintuneiden CEX:ien KYC-menettelyillä. Viime kuukausi, pari 20-vuotiasta heille määrättiin laillinen seuraamus sen jälkeen, kun he huijasivat ihmisiä NFT-tilassa. On reilua pyytää samaa kohtelua tunnistetuille hakkereille.

Tarkastukset ja bugipalkkiot ovat toinen tapa parantaa minkä tahansa Web3-alustan, myös siltojen, kuntoa. Sertifioidut organisaatiot, kuten Certik, Chainsafe, Blocksec ja monet muut, auttavat tekemään Web3-vuorovaikutuksesta turvallisempaa. Kaikki aktiiviset sillat tulee auditoida vähintään yhden sertifioidun organisaation toimesta. 

Samaan aikaan bug bounty -ohjelmat luovat synergiaa projektin ja sen yhteisön välille. Valkoisilla hakkereilla on tärkeä rooli haavoittuvuuksien tunnistamisessa ennen haitallisia hyökkääjiä. Esimerkiksi Sky Mavisilla on käynnisti äskettäin miljoonan dollarin bugipalkkioohjelman vahvistaakseen ekosysteemiään. 

Yhteenveto

L1- ja L2-ratkaisujen lisääntyminen kokonaisvaltaisina lohkoketjuekosysteemeina, jotka haastavat Ethereum-dappeja, ovat luoneet tarpeen ketjujen välisille alustoille resurssien siirtämiseksi verkkojen välillä. Tämä on yhteentoimivuuden ydin, yksi Web3:n pilareista. 

Tästä huolimatta nykyinen yhteentoimiva skenaario perustuu ketjujen välisiin protokolliin moniketjuisen lähestymistavan sijaan. Vitalik helpotti varoituksen sanoja vuoden alussa. Yhteentoimivuuden tarve avaruudessa on enemmän kuin ilmeinen. Tästä huolimatta tämän tyyppisissä alustoissa tarvitaan tehokkaampia turvatoimia. 

Valitettavasti haastetta ei voi voittaa helposti. Sekä luotettujen että luotettavien alustojen suunnittelussa on puutteita. Nämä luontaiset ketjujen väliset puutteet ovat tulleet havaittaviksi. Yli 80 % vuonna 1.2 hakkeroinnissa menetetyistä 2022 miljardista dollarista on tullut käytettyjen siltojen kautta. 

Lisäksi alan arvon kasvaessa jatkuvasti, myös hakkerit kehittyvät entistä kehittyneemmiksi. Perinteiset kyberhyökkäykset, kuten sosiaalinen manipulointi ja tietojenkalasteluhyökkäykset, ovat mukautuneet Web3:n tarinaan. 

Moniketjuinen lähestymistapa, jossa kaikki merkkiversiot ovat alkuperäisiä jokaiselle lohkoketjulle, on vielä kaukana. Siksi ketjujen välisten alustojen on opittava aiemmista tapahtumista ja vahvistettava prosessejaan vähentääkseen onnistuneiden hyökkäysten määrää mahdollisimman paljon.

Lue alkuperäinen viesti Epäilevä

• Coinsmart. Euroopan paras Bitcoin- ja kryptopörssi.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. VAPAA PÄÄSY.
• CryptoHawk. Altcoinin tutka. Ilmainen kokeilu.
• Lähde: https://thedefiant.io/hackers-target-blockchain-bridges/