L2 Beat מעלה שאלות לגבי ניהול מיליונים בכספי משתמשים של Multichain

הרוב המכריע של הקריפטו שאבד לפריצות השנה נגנב מגשרים, הטכנולוגיה המאפשרת למשתמשים להעביר נכסים דיגיטליים בין בלוקצ'יין.

הסיבות ברורות: גשרים מסובכים, ונותנים לתוקפים יותר דרכים לנצל. 

יתרה מכך, הם מספקים נקודת כשל יחידה: חוזה חכם המחזיק את כספי המשתמש בנאמנות בעוד שהאסימונים ה"מועברים" - בעצם IOUs - משמשים בשרשרת היעד.

מהלך לא רגיל

אז החוקרים ב-L2 Beat הופתעו כשחפרו ב-Multichain, פלטפורמת גישור עם ערך כולל של 1B$ ננעל, ומצאו איום לכאורה מבפנים.

בצעד יוצא דופן, Multichain העבירה מיליונים בכספי משתמשים מנאמנות כדי לספק נזילות במקומות אחרים ברשת שלה, על פי L2 Beat, פרויקט מחקר המנתח את מרחב הבלוקצ'יין של Layer 2.

"זה הכסף של המשתמשים, אז או שזה מוסכם עם המשתמשים בשרשרת הזו, או שהם הפרו חוזה חברתי עם משתמשים", אמר ברטק קיפוסבסקי, חוקר ב-L2 Beat, ל-The Defiant.

זה כסף של משתמשים, אז או שזה מוסכם עם המשתמשים בשרשרת הזו, או שהם הפרו חוזה חברתי עם משתמשים.

ברטק קיפושבסקי

בעוד שניתן לראות את העברת האסימונים מהפקדון על השרשרת, לאן הלכו האסימונים האלה בסופו של דבר היא תעלומה, לפי קיפוסבסקי. 

Multichain טוענת שהאסימונים שימשו כדי לספק נזילות במקומות אחרים ברשת שלה, אבל גודלה של רשת זו אומר שאישור הטענות קשה מאוד לצוות קטן כמו L2 Beat.

מייקל לוולן, ראש פתרונות בחברת אבטחת הקריפטו Open Zeppelin, אמר שהנוהג אכן בעייתי.

"אם אין דרך ברורה לזהות שהנכסים שהגשר טוען לגבות אינם נמצאים במקום שניתן לאימות פומבית, אני בהחלט אציין זאת כדאגה ספציפית לגשר", אמר לוולן ל-The Defiant. 

ההאשמות של L2 מעמידות בספק את ההתנהגות ואת נוהלי האבטחה בארגון שאחראי על יותר ממיליארד דולר בכספי משתמשים. Multichain מגשר לעשרות בלוקצ'יין ותומך באלפי אסימונים. אישור של Multichain עדיין יש את הקריפטו הזה - שהוא לא נגנב או הימור בפרוטוקולי DeFi - תהיה משימה לא פשוטה.

ספק טרי

יתר על כן, ההאשמות עשויות להכניס ספק חדש בטכנולוגיית הגשרים, שספגו נזק עצום מידי האקרים השנה.

שלוש מחמש הפריצות הגדולות ביותר בתולדות הקריפטו התרחשו השנה, וכל אחת מהן הייתה פריצת גשר, על פי הניצול של Rekt leaderboard. יותר מ-600 מיליון דולר נלקחו מרשת רונין. כמעט 600 מיליון דולר נלקחו מגשר Binance. יותר מ-300 מיליון דולר נלקחו מגשר חור התולעת. 

Multichain לא הגיבה לבקשות מרובות להערה שהוגשו באמצעות כתובת האימייל ליצירת קשר הרשומה באתר האינטרנט שלה.

הנחות אבטחה

הפרק מדגיש את התפקיד ש-L2 ממלא בבדיקת מרחב קנה המידה של הבלוקצ'יין. כשפרוטוקול ההלוואות Maker שקלה אם להתרחב לשכבות 2 בלוקצ'יין כגון אופטימיזם ו-Arbitrum, היא הייתה צריכה להבין טוב יותר איך הבלוקצ'יין הללו עובדים. 

הפרויקט שלאחר מכן יצא בסופו של דבר מ-Maker והפך ל-L2 Beat - אתר אינטרנט המפרט אינספור שרשראות בלוקצ'יין של שכבה 2, כמות הכסף שהם מחזיקים והנחות האבטחה שהם עושים.

[תוכן מוטבע]

החודש התרחב הפרויקט עם השקת לוח מחוונים לפרוטוקולי גשר. לצד Multichain, פרוטוקול הגשר השני בגודלו בעולם, צוות L2 Beat צירף מגן צהוב קטן הנושא סימן קריאה, המזהיר את המשתמשים מהחשד לחוסר תקינות.

"כל גשר עובד פחות או יותר באותו אופן", הסביר קיפושבסקי. "אתה שולח אסימונים לכתובת ואסימונים [חדשים] יוטבעו על ידי מאמתים ביעד [בלוקצ'יין]. אם אתה רוצה לחזור אחורה, ההפך קורה, אז אתה שורף אסימונים ביעד ומאמתים צריכים לשחרר אסימונים מכתובת הנאמנות שאליה שלחת אסימונים במקור."

רשת נזילות

פרוטוקולי גשר שאינם יכולים להטביע אסימונים חדשים בשרשרת יעד משתמשים במקום זאת בשיטת "רשת הנזילות". ספקי נזילות מפקידים אסימונים במאגרי נזילות בשרשרת היעד. האסימונים הללו זמינים למשתמשים המגשרים אל אותו בלוקצ'יין, והם מוחזרים לבריכה כאשר משתמשי הגשר נסוגים לשרשרת המקור שלהם.

Multichain, שיש לו גשרים לעשרות בלוקצ'יין, הוא הכלאה, לפי L2 Beat. במקרים מסוימים הוא מטביע אסימונים. באחרים היא משתמשת במאגרי נזילות.

על פי המחקר של Kiepuszewski, מאמתי Multichain משכו כמעט 80 מיליון דולר במטבעות יציבים ו-300 ביטקוין מחוזה נאמנות, והותירו יותר קריפטו בשרשרת היעד ממה שנותר בחוזה.

Kiepuszewski אמר שהוא פנה אל Multichain ונציגים אמרו לו שהקריפטו שימש לאספקת מאגרי נזילות ברשתות שונות.

"הם טוענים שלדעתם זה לא בעייתי, כי הכסף עדיין שוכן באקוסיסטם של Multichain, ומשתמשים, לדעתם, צריכים תמיד להיות מסוגלים למשוך את הסכום שהם צריכים", אמר Kiepuszewski. אבל ביצוע ביקורת "נעשה כעת מסובך ביותר, כי אתה צריך לנתח את כל מערכת האקולוגית של Multichain, נכון?"

Lewellen של Open Zeppelin הסכים. "אפילו לרשתות נזילות", אמר. "יש לפחות דרך להסתכל על המאגרים השונים [נותני נזילות] ורשתות שונות ולזהות שהנכסים הכוללים שהונפקו על ידי גשר תואמים למאגר נזילות כלשהו במקומות אחרים".

Lewellen ו-Kiepuzewski אמרו שניהם שלוח מחוונים המראה את המסלול שהכספים שלהם עוברים יעזור רבות להרגיע את החששות לגבי תנועת הקריפטו של המשתמשים.

פגיעויות בתוכנה

זה גם מוסיף קמט חדש כאשר מעריכים אם Multichain הוא מקום בטוח להחנות את הכסף שלו. בדרך כלל, ביקורת תאשר אם קיימות פרצות תוכנה. כעת, המשתמשים חייבים גם לתהות האם ניתן לסמוך על Multichain עצמו בכספם, אמר Kiepuszewski.

גם אם הכספים נמצאים בשמירה, הגישה אליהם בזמן עשויה להיות קשה. וזה מציג בעיות משלו, לדברי לוולן, שהצביע על העובדה שנראה שיש פחות דאי בגשר הפנטום של Multichain מאשר אסימוני דאי שנטבעו ב-Multichain ב-Fantom. 

אין בהירות

יותר מ-52 מיליון דולר Dai שגושר ל-Fantom, בלוקצ'יין שכבה 1, הוסר לכאורה מהנאמנות על ידי מאמתי Multichain, לפי L2 Beat. 

אם Dai היה מאבד את ההצמדה שלו לדולר האמריקאי, ואנשים עם Dai ב-Fantom רצו לפדות את ה-Dai בדולר ארה"ב, הם עלולים להפסיד סכום כסף משמעותי בזמן שנדרש לאיתור והעברת ה-Dai שאמור היה להיות בו. נאמנות, לפי Lewellen. 

"זה לא שזה יקרה היום, אבל זה יכול לקרות אם הגורמים האלה יסתדרו בצורה לא מאוד נוחה עבור Multichain", הוא אמר, "ואני חושב שמכאן בסופו של דבר החשש מגיע. פשוט אין בהירות כיצד Multichain מנהלת את הסיכון הזה."