L2 Beat solleva domande sulla gestione di milioni di fondi degli utenti da parte di Multichain

La stragrande maggioranza delle criptovalute perse a causa degli hack quest'anno sono state rubate dai bridge, la tecnologia che consente agli utenti di trasferire risorse digitali tra blockchain.

Le ragioni sono chiare: i bridge sono complicati e offrono agli aggressori più possibilità di sfruttamento. 

Inoltre, forniscono un singolo punto di fallimento: un contratto intelligente che tiene il denaro dell'utente in deposito a garanzia mentre i token "trasferiti" - essenzialmente pagherò - vengono utilizzati nella catena di destinazione.

Mossa insolita

Quindi i ricercatori di L2 Beat sono rimasti sorpresi quando hanno scavato in Multichain, una piattaforma ponte con un valore totale bloccato di 1 miliardo di dollari, e hanno trovato un'apparente minaccia dall'interno.

Con una mossa insolita, Multichain ha trasferito milioni di fondi degli utenti dal deposito a garanzia per fornire liquidità altrove nella sua rete, secondo L2 Beat, un progetto di ricerca che analizza lo spazio blockchain di livello 2.

"Sono soldi degli utenti, quindi o questo è stato concordato con gli utenti di questa catena, oppure hanno rotto un contratto sociale con gli utenti", ha detto a The Defiant Bartek Kiepuszewski, un ricercatore di L2 Beat.

Sono i soldi degli utenti, quindi o questo è concordato con gli utenti di questa catena oppure hanno rotto un contratto sociale con gli utenti.

Bartek Kiepuszewski

Mentre il trasferimento dei token dall'escrow può essere visto on-chain, secondo Kiepuszewski dove siano finiti alla fine questi token è un mistero. 

Multichain afferma che i token sono stati utilizzati per fornire liquidità altrove sulla sua rete, ma le dimensioni di quella rete significano che confermare le affermazioni è estremamente difficile per un piccolo team come L2 Beat.

Michael Lewellen, responsabile delle soluzioni presso la società di sicurezza crittografica Open Zeppelin, ha affermato che la pratica è effettivamente problematica.

"Se non esiste un modo chiaro per identificare che i beni che il ponte afferma di sostenere non sono presenti da qualche parte che sia pubblicamente verificabile, lo affermerei sicuramente come una preoccupazione specifica per il ponte", ha detto Lewellen a The Defiant. 

Le accuse di L2 mettono in discussione il comportamento e le pratiche di sicurezza di un’organizzazione responsabile di oltre 1 miliardo di dollari in fondi degli utenti. La multicatena collega dozzine di blockchain e supporta migliaia di token. Confermare che Multichain abbia ancora quella criptovaluta – che non sia stata rubata o messa al gioco nei protocolli DeFi – sarebbe un compito titanico.

Dubbio fresco

Inoltre, le accuse potrebbero gettare nuovi dubbi sulla tecnologia dei ponti, che quest’anno ha subito enormi danni per mano degli hacker.

Tre dei cinque più grandi hack nella storia delle criptovalute si sono verificati quest'anno e ognuno di essi è stato un bridge hack, secondo l'exploit di Rekt leaderboard. Più di 600 milioni di dollari sono stati prelevati dalla rete Ronin. Quasi 600 milioni di dollari sono stati prelevati da un bridge Binance. Più di 300 milioni di dollari sono stati prelevati dal ponte Wormhole. 

Multichain non ha risposto a molteplici richieste di commento inviate tramite l'indirizzo email di contatto elencato sul suo sito web.

Presupposti di sicurezza

L'episodio evidenzia il ruolo che L2 sta giocando nell'analisi dello spazio di ridimensionamento della blockchain. Quando il protocollo di prestito Maker stava valutando se espandersi alle blockchain di livello 2 come Optimism e Arbitrum, aveva bisogno di capire meglio come funzionavano quelle blockchain. 

Il progetto che ne seguì alla fine si separò da Maker e divenne L2 Beat, un sito web che elenca una miriade di blockchain di livello 2, la quantità di denaro che detengono e le ipotesi di sicurezza che fanno.

[Contenuto incorporato]

Questo mese il progetto si è ampliato con il lancio di una dashboard per i protocolli bridge. Accanto a Multichain, il secondo protocollo bridge più grande al mondo, il team di L2 Beat ha aggiunto un piccolo scudo giallo recante un punto esclamativo, avvertendo gli utenti della sospetta scorrettezza.

"Ogni singolo ponte funziona più o meno allo stesso modo", ha spiegato Kiepuszewski. “Invii token a un indirizzo e [nuovi] token verranno coniati dai validatori sulla [blockchain] di destinazione. Se vuoi tornare indietro, accade il contrario, quindi bruci i token a destinazione e i validatori dovrebbero rilasciare i token da quell'indirizzo di deposito a garanzia a cui li hai originariamente inviati."

Liquidity Network

I protocolli bridge che non possono coniare nuovi token su una catena di destinazione utilizzano invece il metodo della “rete di liquidità”. I fornitori di liquidità depositano token in pool di liquidità sulla catena di destinazione. Questi token sono disponibili per gli utenti che effettuano il bridge su quella blockchain e vengono restituiti al pool quando gli utenti del bridge si ritirano nella loro catena di origine.

Secondo L2 Beat, la multichain, che ha collegamenti con dozzine di blockchain, è un ibrido. In alcuni casi conia gettoni. In altri, utilizza pool di liquidità.

Secondo la ricerca di Kiepuszewski, i validatori multichain hanno prelevato quasi 80 milioni di dollari in stablecoin e 300 Bitcoin da un contratto di deposito a garanzia, lasciando sulla catena di destinazione più criptovalute di quelle rimaste nel contratto.

Kiepuszewski ha detto di aver contattato Multichain e i rappresentanti gli hanno detto che la criptovaluta è stata utilizzata per fornire pool di liquidità attraverso diverse catene.

"Affermano che a loro avviso questo non è problematico, perché il denaro risiede ancora nell'ecosistema Multichain e gli utenti, secondo loro, dovrebbero sempre essere in grado di prelevare l'importo di cui hanno bisogno", ha detto Kiepuszewski. Ma eseguire un audit “ora diventa estremamente complicato, perché devi analizzare tutto l’ecosistema Multichain, giusto?”

Lewellen degli Open Zeppelin era d’accordo. “Anche per le reti di liquidità”, ha detto. "C'è almeno un modo per esaminare i diversi pool [fornitori di liquidità] e le diverse catene e identificare che le attività complessive emesse da un ponte corrispondono a qualche pool di liquidità altrove."

Sia Lewellen che Kiepuszewski hanno affermato che una dashboard che mostri il percorso che stanno prendendo i loro fondi sarebbe molto utile per alleviare le preoccupazioni sul movimento delle criptovalute degli utenti.

Vulnerabilità del software

Aggiunge anche una nuova ruga nel valutare se Multichain è un posto sicuro dove parcheggiare i propri soldi. In genere, un controllo confermerebbe se esistono vulnerabilità del software. Ora, gli utenti devono anche chiedersi se ci si può fidare di Multichain stessa con i loro soldi, ha detto Kiepuszewski.

Anche se i fondi sono custoditi, accedervi tempestivamente potrebbe essere difficile. E questo presenta i suoi problemi, secondo Lewellen, che ha sottolineato il fatto che sembra esserci meno Dai nel bridge Fantom di Multichain rispetto ai token Dai coniati da Multichain su Fantom. 

Nessuna chiarezza

Secondo L52 Beat, più di 1 milioni di dollari di Dai collegati a Fantom, una blockchain di livello 2, sarebbero stati rimossi dal deposito a garanzia dai validatori Multichain. 

Se Dai dovesse perdere il suo ancoraggio al dollaro USA e le persone con Dai su Fantom volessero riscattare quel Dai in USD, potrebbero perdere una notevole quantità di denaro nel tempo necessario per individuare e trasferire il Dai che avrebbe dovuto essere in deposito a garanzia, secondo Lewellen. 

“Non è che ciò accadrà oggi, ma potrebbe accadere se questi fattori si allineassero in un modo non molto favorevole per Multichain”, ha detto, “e penso che alla fine sia da questo che deriva la preoccupazione. Semplicemente non c’è chiarezza su come Multichain gestisce questo rischio”.