Hogyan lettek a Blockchain Bridges a hackerek elsődleges célpontjai

A kriptoipar olyan ökoszisztémává fejlődött, amely több Layer-1(L1) blokkláncot és Layer-2(L2) skálázási megoldást köt össze egyedi képességekkel és kompromisszumokkal. 

Az olyan hálózatok, mint a Fantom, a Terra vagy az Avalanche, gazdagodtak a DeFi-tevékenységben, míg az olyan játék-keresős dapp-ok, mint az Axie Infinity és a DeFi Kingdoms olyan teljes ökoszisztémákat tartanak fenn, mint a Ronin és a Harmony. Ezek a blokkláncok komoly alternatívákként emelkedtek az Ethereum gázdíjaihoz és a viszonylag lassú tranzakciós időhöz képest. A különböző blokkláncokon lévő eszközök protokollok közötti egyszerű mozgatásának szükségessége kritikusabbá vált, mint valaha. 

Itt jönnek be a blokklánc hidak.

A többláncú forgatókönyv eredményeként a teljes érték zárolt (TVL) értéke az összes DeFi dappban az egekbe szökött. 2022. március végén az iparág TVL-jét 215 milliárd dollárra becsülték, ami 156%-kal magasabb, mint 2021 márciusában. Az ezekben a DeFi-dappokban zárolt és áthidalt érték mennyisége felkeltette a rosszindulatú hackerek figyelmét, és a legújabb trend arra utal, hogy a támadók gyenge láncszemet talált a blokklánc hidakban. 

A Rekt adatbázis szerint 1.2 első negyedévében 1 milliárd dollárnyi kriptoeszközt loptak el, ami ugyanezen forrás szerint a minden idők ellopott pénzeszközeinek 2022%-át jelenti. Érdekes, hogy 35.8-ben az elveszett eszközök legalább 80%-át hidakról lopták el. 

Az egyik legsúlyosabb támadás két héttel ezelőtt történt, amikor a A Ronin hidat feltörték 540 millió dollárért. Ezt megelőzően a Solana féreglyuk és a BNB Chain Qubit Finance hídját 400-ben több mint 2022 millió dollár értékben használták ki. A kriptográfia történetének legnagyobb hackje 2021 augusztusában történt, amikor a A PolyNetwork hidat 610 millió dollárért használták ki, bár az ellopott pénzeszközöket később visszaadták. 

A hidak az egyik legértékesebb eszköz az iparágban, de interoperábilis jellegük komoly kihívás elé állítja az ezeket építő projekteket. 

A blokklánc hidak megértése

A Manhattan hidakkal analóg módon a blokklánc hidak olyan platformok, amelyek két különböző hálózatot kötnek össze, lehetővé téve az eszközök és információk láncok közötti átvitelét egyik blokkláncról a másikra. Ily módon a kriptovaluták és az NFT-k nincsenek bezárva a natív láncukon belül, hanem „áthidalhatók” különböző blokkláncokon, megsokszorozva az eszközök hasznosításának lehetőségeit. 

A hidaknak köszönhetően a Bitcoint intelligens szerződés alapú hálózatokban használják DeFi célokra, vagy egy NFL All Day NFT áthidalható a Flow-tól az Ethereum-ig, hogy frakcionálható vagy biztosítékként használható legyen. 

Különféle megközelítések léteznek az eszközök átruházásakor. Ahogy a nevük is sugallja, a Lock-and-Mint hidak úgy működnek, hogy az eredeti eszközöket egy intelligens szerződésbe zárják a küldő oldalon, míg a fogadó hálózat a másik oldalon az eredeti token másolatát készíti el. Ha az Ether áthidalódik az Ethereumból Solanába, akkor a Solanában lévő Ether csak a kripto „becsomagolt” reprezentációja, nem maga a tényleges token.  

Míg a „lock and-mint” megközelítés a legnépszerűbb áthidaló módszer, vannak más módok is az eszközátruházás befejezésére, mint például a „burn-and-mint” vagy az intelligens szerződéssel önállóan végrehajtott atomcsere-ügyletek két hálózat közötti eszközök cseréjére. Következő (korábban xPollinate) és cBridge olyan hidak, amelyek atomcserékre támaszkodnak. 

Biztonsági szempontból a hidak két fő csoportba sorolhatók: megbízható és megbízhatatlan. Megbízható hidak olyan platformok, amelyek harmadik félre támaszkodnak a tranzakciók érvényesítésére, de ami még fontosabb, az áthidalt eszközök letéteményeseként működnek. Megbízható hidak példái szinte az összes blokklánc-specifikus hídban találhatók, mint például a Binance Bridge, Sokszög POS híd, WBTC Bridge, Avalanche Bridge, Harmony Bridge, Terra Shuttle Bridge és speciális dapps, mint a Multichain (korábban Anyswap) vagy a Tron's Just Cryptos. 

Ezzel szemben azok a platformok, amelyek pusztán intelligens szerződésekre és algoritmusokra támaszkodnak az eszközök letéti őrzésére megbízhatatlan hidak. A megbízható hidak biztonsági tényezője ahhoz a mögöttes hálózathoz van kötve, ahol az eszközök áthidalásra kerülnek, azaz ahol az eszközök zárva vannak. Megbízhatatlan hidak találhatók A szivárványhíd KÖZELÉBEN, Solana's Wormhole, Polkadot's Snow Bridge, Cosmos IBC és olyan platformok, mint a Hop, a Connext és a Celer. 

Első pillantásra úgy tűnhet, hogy a megbízható hidak biztonságosabb lehetőséget kínálnak az eszközök blokkláncok közötti átvitelére. Mindazonáltal mind a megbízható, mind a megbízhatatlan hidak különböző kihívásokkal néznek szembe. 

A megbízható és megbízhatatlan hidak korlátai

A Ronin híd központosított megbízható platformként működik. Ez a híd multisig pénztárcát használ az áthidalt eszközök őrzésére. Röviden, a multisig pénztárca egy olyan cím, amelyhez két vagy több kriptográfiai aláírás szükséges a tranzakció jóváhagyásához. Ronin esetében az oldalláncnak kilenc érvényesítője van, amelyekhez öt különböző aláírás szükséges a befizetések és kifizetések jóváhagyásához.  

Más platformok ugyanezt a megközelítést alkalmazzák, de jobban diverzifikálják a kockázatot. Például a Polygon nyolc érvényesítőre támaszkodik, és öt aláírást igényel. Az öt aláírást különböző pártok ellenőrzik. Ronin esetében egyedül a Sky Mavis csapata négy aláírást tartott, ami egyetlen kudarcot jelentett. Miután a hackernek sikerült egyszerre ellenőriznie a négy Sky Mavis aláírást, már csak egy aláírásra volt szükség az eszközök visszavonásának jóváhagyásához. 

Március 23-án a támadó megszerezte az irányítást az Axie DAO aláírása felett, ami a támadás befejezéséhez szükséges utolsó darab. 173,600 25.5 ETH-t és XNUMX millió USDC-t vontak le Ronin letétkezelői szerződéséből két különböző tranzakció során a valaha volt második legnagyobb kriptotámadás során. Azt is érdemes megjegyezni, hogy a Sky Mavis csapata csaknem egy héttel később értesült a feltörésről, ami azt mutatja, hogy Ronin megfigyelő mechanizmusai legalábbis hiányosak voltak, ami egy másik hibára is rávilágított ezen a megbízható platformon. 

Míg a központosítás alapvető hiba, a megbízható hidak hajlamosak a kihasználásokra a szoftverükben és kódolásukban előforduló hibák és sebezhetőségek miatt. 

A Solana Wormhole platform, amely lehetővé teszi a Solana és az Ethereum közötti áthidaló tranzakciókat, 2022 februárjában visszaélést szenvedett el. 325 millió dollárt loptak el Solana letétkezelői szerződéseinek hibája miatt. A Wormhole szerződések hibája lehetővé tette a hacker számára, hogy kidolgozza a láncok közötti érvényesítőket. A támadó 0.1 ETH-t küldött az Ethereumból Solanába, hogy elindítson egy sor „átviteli üzenetet”, amelyek rávetették a programot egy állítólagos 120,000 XNUMX ETH letét jóváhagyására.

A féreglyuk feltörése ezután történt Poly hálózat 610 augusztusában 2021 millió dollárért hasznosították a szerződések taxonómiájának és szerkezetének hibái miatt. A láncok közötti tranzakciókat ebben a dapp-ban a csomópontok központosított csoportja, az úgynevezett „őrzők” hagyja jóvá, és a fogadó hálózaton egy átjárószerződés érvényesíti. Ebben a támadásban a hacker jogosultságokat szerezhetett megőrzőként, és így saját paramétereinek beállításával megtévesztette az átjárót. A támadó megismételte a folyamatot az Ethereum, Binance, Neo és más blokkláncokban, hogy további eszközöket nyerjen ki.

Minden híd az Ethereumba vezet

Az Ethereum továbbra is a legdominánsabb DeFi ökoszisztéma az iparágban, az iparág TVL-jének csaknem 60%-át teszi ki. Ugyanakkor a különböző hálózatok, mint az Ethereum DeFi dappjainak alternatívájaként való megjelenése elindította a blokklánc hidak láncok közötti tevékenységét. 

Az iparág legnagyobb hídja a WBTC híd, amelyet a BitGo, a Kyber és a Republic Protocol, a RenVM mögött álló csapat őriz. Mivel a Bitcoin tokenek technikailag nem kompatibilisek az intelligens szerződés alapú blokkláncokkal, a WBTC híd „becsomagolja” a natív Bitcoint, bezárja a híd letétkezelői szerződésébe, és az ERC-20 verzióját az Ethereumon verzi. Ez a híd rendkívül népszerűvé vált a DeFi nyáron, és jelenleg körülbelül 12.5 milliárd dollár értékű Bitcoint tartalmaz. A WBTC lehetővé teszi, hogy a BTC-t biztosítékként használják olyan dapp-okban, mint az Aave, a Compound és a Maker, vagy hozamot termeljenek, vagy kamatokat szerezzenek több DeFi protokollban. 

A Multichain, korábban Anyswap néven ismert, egy olyan dapp, amely több mint 40 blokklánc számára kínál láncok közötti tranzakciókat beépített híddal. A Multichain 6.5 milliárd dollárt birtokol az összes csatlakoztatott hálózaton. Az Ethereum felé vezető Fantom-híd azonban messze a legnagyobb medence 3.5 milliárd dollárral. 2021 második felében a Proof-of-Stake hálózat népszerű DeFi célponttá nőtte ki magát, vonzó hozamgazdaságokkal, köztük FTM-mel, különféle stablecoinokkal vagy a SpookySwap-on megtalálható WETH-val. 

A Fantomtól eltérően a legtöbb L1 blokklánc független közvetlen hidat használ a hálózatok összekapcsolásához. Az Avalanche híd többnyire az Avalanche Foundation tulajdonában van, és a legnagyobb L1<>L1 híd. Az Avalanche az egyik legrobusztusabb DeFi tájjal büszkélkedhet olyan dappokkal, mint a Trader Joe, az Aave, a Curve és a Platypus Finance. 

A Binance híd is kiemelkedik 4.5 milliárd dolláros zárolt vagyonával, amelyet szorosan követ Solana Wormhole 3.8 milliárd dollárral. A Terra's Shuttle Bridge mindössze 1.4 milliárd dollárt biztosít annak ellenére, hogy a TVL tekintetében a második legnagyobb blokklánc.

Hasonlóképpen, az olyan skálázási megoldások, mint a Polygon, az Arbitrum és az Optimism, szintén a legjelentősebb hidak közé tartoznak a zárolt eszközök tekintetében. A Polygon POS Bridge, a fő belépési pont az Ethereum és oldallánca között, a harmadik legnagyobb híd csaknem 6 milliárd dollárral. Eközben a népszerű L2 platformok, például az Arbitrum és az Optimism hídjain a likviditás is emelkedik. 

Egy másik említésre méltó híd a Szivárványközeli híd, amely a híres interoperabilitási trilemma. Ez a platform, amely összeköti a Neart és az Aurorát az Ethereummal, értékes lehetőséget jelenthet a biztonság elérésére a megbízható hidakon. 

A láncok közötti biztonság javítása

Mind a megbízható, mind a megbízhatatlan hidak, az áthidalt vagyonkezelés két megközelítése hajlamosak alapvető és technikai gyengeségekre. Ennek ellenére vannak módok a blokklánc-hidakat célzó rosszindulatú támadók által okozott hatások megelőzésére és csökkentésére. 

A megbízható hidak esetében egyértelmű, hogy a szükséges aláírók arányának növelésére van szükség, miközben a multisigeket is el kell osztani a különböző pénztárcákba. És bár a megbízható hidak megszüntetik a központosítással kapcsolatos kockázatokat, a hibák és más technikai korlátok kockázatos helyzeteket teremtenek, amint azt a Solana Wormhole vagy a Qubit Finance kizsákmányolják. Ezért szükséges a láncon kívüli akciók végrehajtása a láncokon átívelő platformok lehető legnagyobb védelme érdekében.

A protokollok közötti együttműködésre van szükség. A Web3-teret összetartozó közösség jellemzi, így a tökéletes forgatókönyv lenne, ha az iparág legokosabb elméi együtt dolgoznának a tér biztonságosabbá tételén. Az Animoca Brands, a Binance és más Web3 márkák 150 millió dollárt gyűjtöttek össze, hogy segítsenek a Sky Mavis-nek csökkenteni a Ronin hídfeltörésének pénzügyi hatását. A többláncú jövőért való közös munka az interoperabilitást a következő szintre emelheti. 

Hasonlóképpen, a láncelemző platformokkal és a központosított tőzsdékkel (CEX-ekkel) való koordinációnak segítenie kell az ellopott tokenek nyomon követésében és megjelölésében. Ez a feltétel középtávon elriaszthatja a bûnözõket, mivel a kriptopénz fiat számára történõ kiváltásának kapuját a KYC eljárásokkal kell szabályozni a bevezetett CEX-ekben. Múlt hónap, pár 20 éves jogilag szankcionálták, miután átverték az embereket az NFT-térben. Méltányos ugyanazt a bánásmódot kérni az azonosított hackerekkel szemben.

Az auditok és a hibajavítások egy másik módja annak, hogy bármely Web3-platform állapotát javítsák, beleértve a hidakat is. A tanúsított szervezetek, például a Certik, a Chainsafe, a Blocksec és még sokan mások segítenek biztonságosabbá tenni a web3-as interakciókat. Minden aktív hidat legalább egy tanúsított szervezetnek ellenőriznie kell. 

Eközben a bug bounty programok szinergiát hoznak létre a projekt és közössége között. A fehér hackerek létfontosságú szerepet játszanak a sebezhetőségek azonosításában, mielőtt a rosszindulatú támadók tennék. Például a Sky Mavis rendelkezik nemrég elindított egy 1 millió dolláros bug bounty programot hogy erősítse ökoszisztémáját. 

Következtetés

Az L1-es és L2-es megoldások, mint holisztikus blokklánc-ökoszisztémák, amelyek kihívást jelentenek az Ethereum-dapp-ok számára, megkövetelte a láncokon átívelő platformok szükségességét az eszközök hálózatok közötti mozgatásához. Ez az interoperabilitás lényege, a Web3 egyik pillére. 

Mindazonáltal a jelenlegi interoperábilis forgatókönyv a láncok közötti protokollokra támaszkodik, nem pedig a többláncos megközelítésre, amely forgatókönyv Vitalik enyhítette a figyelmeztető szavakat év elején. Az interoperabilitás szükségessége a térben több mint nyilvánvaló. Mindazonáltal erősebb biztonsági intézkedésekre van szükség az ilyen típusú platformokon. 

Sajnos a kihívást nem lesz könnyű legyőzni. Mind a megbízható, mind a megbízhatatlan platformok tervezési hibákat mutatnak. Ezek a benne rejlő keresztlánc-hibák észrevehetővé váltak. A 80-ben feltörések miatt elvesztett 1.2 milliárd dollár több mint 2022%-a kihasznált hidakon keresztül származott. 

Ráadásul, ahogy az iparág értéke folyamatosan növekszik, a hackerek is egyre kifinomultabbak. A hagyományos kibertámadások, például a social engineering és az adathalász támadások alkalmazkodtak a Web3 narratívájához. 

A többláncos megközelítés, amelyben az összes token-verzió minden blokkláncban natív, még messze van. Ezért a láncokon átívelő platformoknak tanulniuk kell a korábbi eseményekből, és meg kell erősíteniük folyamataikat, hogy amennyire csak lehetséges, csökkentsék a sikeres támadások számát.

Olvassa el az eredeti bejegyzést A Defiant

• Coinsmart. Európa legjobb Bitcoin- és kriptográfiai tőzsdéje.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. SZABAD HOZZÁFÉRÉS.
• CryptoHawk. Altcoin radar. Ingyenes próbaverzió.
• Forrás: https://thedefiant.io/hackers-target-blockchain-bridges/