今年ハッキングによって失われた仮想通貨の大部分は、ユーザーがブロックチェーン間でデジタル資産を転送できるようにする技術であるブリッジから盗まれたものです。
その理由は明らかです。ブリッジは複雑であり、攻撃者がより多くの手段を利用できるからです。
さらに、それらは単一障害点を提供します。つまり、「転送された」トークン (基本的には IOU) が宛先チェーンで使用されている間、ユーザーのお金をエスクローに保持するスマート コントラクトです。
異常な動き
そのため、L2 Beat の研究者は、合計 1 億ドルの価値がロックされた橋渡しプラットフォームであるマルチチェーンを掘り下げ、内部から明らかな脅威を発見したときに驚きました。
レイヤー2ブロックチェーン空間を分析する研究プロジェクトであるL2 Beatによると、異例の動きとして、マルチチェーンはエスクローから数百万ドルのユーザー資金を送金し、ネットワークの他の場所に流動性を提供しました。
「これはユーザーのお金なので、このチェーンのユーザーと合意したか、ユーザーとの社会的契約を破ったかのどちらかです」と L2 Beat の研究者である Bartek Kiepuszewski は The Defiant に語った。
それはユーザーのお金なので、これはこのチェーンのユーザーと合意されているか、ユーザーとの社会契約を破っています。
バルテック・キプシェフスキ
Kiepuszewski 氏によると、エスクローからのトークンの転送はチェーン上で見ることができますが、それらのトークンが最終的にどこに行ったのかは謎です。
マルチチェーンは、トークンがネットワーク上の他の場所で流動性を提供するために使用されたと主張していますが、そのネットワークのサイズは、L2 Beat のような小さなチームにとって、その主張を確認することが非常に難しいことを意味します。
暗号セキュリティ企業 Open Zeppelin のソリューション責任者である Michael Lewellen 氏は、この慣行は確かに問題があると述べています。
「ブリッジが主張する資産が公的に検証可能な場所に存在しないことを特定する明確な方法がない場合、私はそれをブリッジの特定の懸念事項として明確に述べます」と Lewellen 氏は The Defiant に語った。
L2 の申し立ては、1 億ドル以上のユーザー資金を管理する組織の行動とセキュリティ慣行に疑問を投げかけています。 マルチチェーンは数十のブロックチェーンに橋渡しし、数千のトークンをサポートします。 マルチチェーンがまだその暗号を持っていることを確認すること、つまりDeFiプロトコルで盗まれたり賭けられたりしていないことを確認することは、非常に困難な作業です.
新鮮な疑い
さらに、この主張は、今年ハッカーの手によって甚大な被害を受けたブリッジ技術に新たな疑念をもたらす可能性があります。
Rekt のエクスプロイトによると、仮想通貨史上最大の XNUMX つのハッキングのうち XNUMX つが今年発生し、いずれもブリッジ ハッキングでした。 リーダー. Ronin Network から 600 億ドル以上が盗まれました。 Binance ブリッジから約 600 億ドルが盗まれました。 ワームホール ブリッジから 300 億ドル以上が奪われました。
マルチチェーンは、ウェブサイトに記載されている連絡先の電子メールアドレスを介して提出されたコメントの複数のリクエストに応答しませんでした.
セキュリティの前提
このエピソードは、L2 がブロックチェーンのスケーリング スペースを精査する際に果たしている役割を強調しています。 レンディング プロトコル Maker が Optimism や Arbitrum などのレイヤー 2 ブロックチェーンに拡張するかどうかを検討していたとき、それらのブロックチェーンがどのように機能するかをよりよく理解する必要がありました。
その後のプロジェクトは、最終的に Maker からスピンオフし、L2 Beat になりました。これは、無数のレイヤー 2 ブロックチェーン、それらが保持する金額、およびそれらが行うセキュリティの仮定を一覧表示する Web サイトです。
[埋め込まれたコンテンツ]
今月、ブリッジ プロトコルのダッシュボードを立ち上げ、プロジェクトを拡大しました。 世界で 2 番目に大きいブリッジ プロトコルである Multichain のほかに、LXNUMX Beat チームは感嘆符が付いた小さな黄色の盾を追加し、不正の疑いがあることをユーザーに警告しました。
「すべての橋は多かれ少なかれ同じように機能します」と Kiepuszewski 氏は説明します。 「トークンをアドレスに送信すると、[新しい] トークンが宛先 [ブロックチェーン] のバリデーターによって作成されます。 元に戻したい場合は、逆のことが起こるため、宛先でトークンを焼き、バリデーターは最初にトークンを送信したエスクロー アドレスからトークンを解放する必要があります。」
流動性ネットワーク
宛先チェーンで新しいトークンを作成できないブリッジ プロトコルは、代わりに「流動性ネットワーク」方式を使用します。 流動性プロバイダーは、宛先チェーンの流動性プールにトークンを入金します。 これらのトークンは、そのブロックチェーンにブリッジするユーザーが利用でき、ブリッジ ユーザーがオリジン チェーンに撤退すると、プールに返されます。
L2 Beatによると、数十のブロックチェーンへのブリッジを持つマルチチェーンはハイブリッドです。 場合によってはトークンを発行します。 その他では、流動性プールを使用しています。
Kiepuszewski の調査によると、マルチチェーン バリデーターはエスクロー コントラクトから約 80 万ドルのステーブルコインと 300 ビットコインを引き出し、コントラクトに残っていたよりも多くの暗号をデスティネーション チェーンに残しました。
Kiepuszewski 氏は、Multichain に連絡を取ったところ、代表者は、仮想通貨がさまざまなチェーンに流動性プールを供給するために使用されていると語ったと述べた。
「彼らの意見では、これは問題ではないと主張しています。お金はまだマルチチェーンエコシステムに存在し、ユーザーは必要な金額をいつでも引き出すことができるはずだからです」と Kiepuszewski 氏は述べています。 しかし、監査の実行は「マルチチェーン エコシステム全体を分析する必要があるため、非常に複雑になっていますよね?」
Open Zeppelin の Lewellen 氏も同意見です。 「流動性ネットワークの場合でも」と彼は言った。 「少なくとも、さまざまな [流動性プロバイダー] プールとさまざまなチェーンを調べて、ブリッジによって発行された全体的な資産が他の場所の流動性プールと一致することを特定する方法があります。」
Lewellen と Kiepuszewski はどちらも、彼らの資金がたどった経路を示すダッシュボードは、ユーザーの仮想通貨の動きに関する懸念を和らげるのに大いに役立つだろうと述べた。
ソフトウェアの脆弱性
また、マルチチェーンがお金を預けるのに安全な場所であるかどうかを評価する際に、新たな問題が追加されます。 通常、監査では、ソフトウェアの脆弱性があるかどうかを確認します。 現在、ユーザーは、マルチチェーン自体が自分のお金で信頼できるかどうかも疑問に思っている.
資金が保管されていても、タイムリーにアクセスするのは難しい場合があります。 ルウェレン氏によると、マルチチェーンのファントムブリッジにあるDaiは、ファントムにあるマルチチェーンで鋳造されたDaiトークンよりも少ないように見えるという事実を指摘した.
はっきりしない
L52 Beatによると、レイヤー1ブロックチェーンであるFantomにブリッジされた2万ドル以上のDaiが、マルチチェーンバリデーターによってエスクローから削除されたと言われています。
Dai が米ドルとのペッグを失い、Fantom で Dai を保有している人々がその Dai を米ドルに交換したいと考えた場合、Dai にあるはずの Dai を見つけて送金するのにかかる時間の中で、かなりの金額を失う可能性があります。 Lewellenによると、エスクロー。
「これが今日起こるというわけではありませんが、これらの要因がマルチチェーンにとってあまり好ましくない方向に並んだ場合に起こる可能性があります」と彼は言いました。 マルチチェーンがこのリスクをどのように管理しているかについて明確になっていないだけです。」
