ブロックチェーンブリッジがハッカーの主要なターゲットになった経緯

暗号業界は、独自の機能とトレードオフを備えた複数のレイヤー1（L1）ブロックチェーンとレイヤー2（L2）スケーリングソリューションを相互接続するエコシステムに進化しました。 

Fantom、Terra、AvalancheなどのネットワークはDeFiアクティビティが豊富になり、AxieInfinityやDeFiKingdomsなどのPlay-to-EarnDappは、RoninやHarmonyなどのエコシステム全体を維持しています。 これらのブロックチェーンは、イーサリアムのガス料金と比較的遅い取引時間の深刻な代替手段として台頭してきました。 異なるブロックチェーン上のプロトコル間でアセットを移動する簡単な方法の必要性は、これまで以上に重要になりました。 

これがブロックチェーンブリッジの出番です。

マルチチェーンシナリオの結果として、すべてのDeFidappのTotalValue Locked（TVL）が急上昇しました。 2022年215月末の時点で、業界のTVLは156億ドルと推定され、2021年XNUMX月よりもXNUMX％高くなっています。これらのDeFiダップでロックおよびブリッジされた価値の量は、悪意のあるハッカーの注意を引き付けました。最新の傾向は、攻撃者がブロックチェーンブリッジで弱いリンクを見つけました。 

Rektデータベースによると、1.2年第1四半期に2022億ドルの暗号資産が盗まれました。これは、同じ情報源によると、これまでに盗まれた資金の35.8％に相当します。 興味深いことに、80年に失われた資産の少なくとも2022％が橋から盗まれました。 

最も深刻な攻撃のXNUMXつは、XNUMX週間前に 浪人橋がハッキングされた 540億XNUMX万ドル。 その前に、 ソラナワームホール BNBチェーンのQubitFinanceブリッジは、400年に2022億ドル以上で悪用されました。暗号の歴史の中で最大のハッキングは、2021年XNUMX月に発生しました。 PolyNetworkブリッジは610億XNUMX万ドルで悪用されました、盗まれた資金は後で返還されましたが。 

ブリッジは業界で最も価値のあるツールのXNUMXつですが、ブリッジの相互運用性は、ブリッジを構築するプロジェクトにとって重要な課題です。 

ブロックチェーンブリッジを理解する

マンハッタンブリッジと同様に、ブロックチェーンブリッジは、XNUMXつの異なるネットワークを接続するプラットフォームであり、あるブロックチェーンから別のブロックチェーンへの資産と情報のクロスチェーン転送を可能にします。 このように、暗号通貨とNFTはネイティブチェーン内でサイロ化されませんが、異なるブロックチェーン間で「ブリッジ」され、これらの資産を利用するためのオプションを増やすことができます。 

ブリッジのおかげで、ビットコインはDeFiの目的でスマートコントラクトベースのネットワークで使用されます。または、NFL All Day NFTをFlowからEthereumにブリッジして、細分化したり、担保として使用したりできます。 

資産の譲渡に関しては、さまざまなアプローチがあります。 その名前が示すように、ロックアンドミントブリッジは、送信側のスマートコントラクト内で元のアセットをロックすることで機能し、受信側のネットワークは反対側で元のトークンのレプリカを作成します。 イーサリアムがイーサリアムからソラナにブリッジされている場合、ソラナのイーサリアムは、実際のトークン自体ではなく、暗号の「ラップされた」表現にすぎません。  

ロックアンドミントアプローチが最も一般的なブリッジング方法ですが、XNUMXつのネットワーク間でアセットを交換するためのスマートコントラクトによって自己実行される「バーンアンドミント」やアトミックスワップなど、アセット転送を完了する方法は他にもあります。 接続する （以前のxPollinate）および cブリッジ アトミックスワップに依存するブリッジです。 

セキュリティの観点から、ブリッジはXNUMXつの主要なグループに分類できます。信頼できるグループと信頼できないグループです。 信頼できるブリッジ は、トランザクションの検証をサードパーティに依存しているが、さらに重要なことに、ブリッジされた資産の管理者として機能するプラットフォームです。 信頼できるブリッジの例は、BinanceBridgeのようなほとんどすべてのブロックチェーン固有のブリッジにあります。 ポリゴンPOSブリッジ、WBTCブリッジ、アバランチブリッジ、ハーモニーブリッジ、テラシャトルブリッジ、およびマルチチェーン（以前のAnyswap）やTron'sJustCryptosなどの特定のdapps。 

逆に、資産を保管するためにスマートコントラクトとアルゴリズムに純粋に依存するプラットフォームは 信頼できない橋。 信頼できないブリッジのセキュリティ要素は、アセットがブリッジされている基盤となるネットワーク、つまりアセットがロックされているネットワークに関連付けられています。 信頼できない橋はで見つけることができます ニアのレインボーブリッジ、Solanaのワームホール、Polkadotのスノーブリッジ、Cosmos IBC、およびHop、Connext、Celerなどのプラットフォーム。 

一見すると、信頼できないブリッジは、ブロックチェーン間でアセットを転送するためのより安全なオプションを提供しているように見えるかもしれません。 ただし、信頼できるブリッジと信頼できないブリッジの両方が異なる課題に直面しています。 

信頼できるブリッジと信頼できないブリッジの制限

Roninブリッジは、一元化されたトラステッドプラットフォームとして動作します。 このブリッジは、ブリッジされた資産の保管にマルチシグウォレットを使用します。 つまり、マルチシグウォレットは、トランザクションを承認するためにXNUMXつ以上の暗号化署名を必要とするアドレスです。 Roninの場合、サイドチェーンにはXNUMXつのバリデーターがあり、入出金を承認するためにXNUMXつの異なる署名が必要です。  

他のプラットフォームも同じアプローチを使用しますが、リスクをより分散します。 たとえば、PolygonはXNUMXつのバリデーターに依存しており、XNUMXつの署名が必要です。 XNUMXつの署名は、さまざまな関係者によって管理されています。 Roninの場合、Sky MavisチームだけでXNUMXつの署名が保持され、単一障害点が作成されました。 ハッカーがXNUMXつのSkyMavis署名を一度に制御できた後、資産の引き出しを承認するために必要な署名はあとXNUMXつだけでした。 

23月173,600日、攻撃者はAxie DAOの署名を制御できるようになりました。これは、攻撃を完了するために必要な最後のピースです。 25.5ETHとXNUMX万USDCは、史上XNUMX番目に大きな暗号攻撃でXNUMXつの異なるトランザクションでRoninのカストディアン契約から流出しました。 Sky MavisチームがほぼXNUMX週間後にハッキングについて知り、Roninの監視メカニズムが少なくとも欠陥であり、この信頼できるプラットフォームの別の欠陥を明らかにしたことも注目に値します。 

一元化には根本的な欠陥がありますが、信頼できないブリッジは、ソフトウェアとコーディングのバグと脆弱性のために悪用される傾向があります。 

SolanaとEthereum間のクロスブリッジトランザクションを可能にするプラットフォームであるSolanaWormholeは、2022年XNUMX月にエクスプロイトに見舞われました。 325万ドルが盗まれた ソラナのカストディアン契約のバグが原因です。 ワームホール契約のバグにより、ハッカーはクロスチェーンバリデーターを考案することができました。 攻撃者は、イーサリアムからソラナに0.1 ETHを送信して、プログラムをだまして120,000ETHのデポジットを承認させる一連の「転送メッセージ」をトリガーしました。

ワームホールハックは後に発生しました ポリネットワーク 契約の分類法と構造の欠陥により、610年2021月にXNUMX億XNUMX万ドルで悪用されました。 このdappのクロスチェーントランザクションは、「キーパー」と呼ばれる一元化されたノードグループによって承認され、ゲートウェイコントラクトによって受信ネットワークで検証されます。 この攻撃では、ハッカーはキーパーとしての特権を取得することができたため、独自のパラメーターを設定することでゲートウェイをだましました。 攻撃者は、イーサリアム、バイナンス、ネオ、およびその他のブロックチェーンでこのプロセスを繰り返し、より多くの資産を抽出しました。

すべての橋はイーサリアムにつながる

イーサリアムは依然として業界で最も支配的なDeFiエコシステムであり、業界のTVLのほぼ60％を占めています。 同時に、イーサリアムのDeFi dappsの代替としてのさまざまなネットワークの台頭により、ブロックチェーンブリッジのクロスチェーンアクティビティが引き起こされました。 

業界最大のブリッジはWBTCブリッジであり、RenVMの背後にあるチームであるBitGo、Kyber、およびRepublicProtocolによって管理されています。 ビットコイントークンはスマートコントラクトベースのブロックチェーンと技術的に互換性がないため、WBTCブリッジはネイティブビットコインを「ラップ」し、ブリッジ管理契約にロックして、イーサリアムでERC-20バージョンを作成します。 このブリッジはDeFiSummerで非常に人気があり、現在約12.5億ドル相当のビットコインを保有しています。 WBTCを使用すると、BTCをAave、Compound、Makerなどのdappの担保として使用したり、ファームを譲ったり、複数のDeFiプロトコルに関心を持ったりすることができます。 

以前はAnyswapと呼ばれていたマルチチェーンは、組み込みのブリッジを使用して40を超えるブロックチェーンにクロスチェーントランザクションを提供するdappです。 マルチチェーンは、接続されているすべてのネットワークで6.5億ドルを保有しています。 ただし、イーサリアムへのFantomブリッジは、3.5億ドルがロックされた最大のプールです。 2021年の後半に、プルーフオブステークネットワークは、FTM、さまざまなステーブルコイン、またはSpookySwapに見られるようなwETHを含む魅力的な利回りファームを備えた人気のあるDeFi宛先としての地位を確立しました。 

Fantomとは異なり、ほとんどのL1ブロックチェーンは、ネットワークを接続するために独立した直接ブリッジを使用します。 雪崩橋は主に雪崩財団によって管理されており、最大のL1<>L1橋です。 Avalancheは、Trader Joe、Aave、Curve、PlatypusFinanceなどのdappを備えた最も堅牢なDeFiランドスケープのXNUMXつを誇っています。 

バイナンスブリッジも4.5億ドルの資産がロックされて際立っており、ソラナワームホールが3.8億ドルと続いています。 Terraのシャトルブリッジは、TVLで1.4番目に大きいブロックチェーンであるにもかかわらず、わずかXNUMX億ドルしか確保できません。

同様に、Polygon、Arbitrum、Optimismなどのスケーリングソリューションも、ロックされたアセットの観点から最も重要なブリッジの6つです。 イーサリアムとそのサイドチェーンの間の主要な入り口であるポリゴンPOSブリッジは、約2億ドルが保管されているXNUMX番目に大きなブリッジです。 一方、ArbitrumやOptimismなどの人気のあるLXNUMXプラットフォームのブリッジの流動性も上昇しています。 

言及する価値のあるもうXNUMXつの橋は、有名な橋を解決することを目的としたニアレインボー橋です。 相互運用性のトリレンマ。 ニアとオーロラをイーサリアムに接続するこのプラットフォームは、信頼できないブリッジでセキュリティを実現するための貴重な機会を提供する可能性があります。 

クロスチェーンセキュリティの改善

信頼できるブリッジと信頼できないブリッジの両方、つまりブリッジ資産を管理するためのXNUMXつのアプローチは、根本的および技術的な弱点になりがちです。 それでも、ブロックチェーンブリッジを標的とする悪意のある攻撃者によって引き起こされる影響を防止および軽減する方法があります。 

信頼できるブリッジの場合、マルチシグを異なるウォレットに分散させたまま、必要な署名者の比率を増やす必要があることは明らかです。 また、信頼できないブリッジは集中化に関連するリスクを取り除きますが、SolanaWormholeやQubitFinanceのエクスプロイトが示すように、バグやその他の技術的な制約は危険な状況をもたらします。 したがって、クロスチェーンプラットフォームを可能な限り保護するために、オフチェーンアクションを実装する必要があります。

プロトコル間の連携が必要です。 Web3スペースは、その結合されたコミュニティによって特徴付けられるため、スペースをより安全な場所にするために業界で最も優秀な頭脳が協力することは、完璧なシナリオです。 Animoca Brands、Binance、およびその他のWeb3ブランドは、Sky MavisがRoninのブリッジハッキングの経済的影響を軽減するのを支援するために、150億XNUMX万ドルを調達しました。 マルチチェーンの未来のために協力することで、相互運用性を次のレベルに押し上げることができます。 

同様に、チェーン分析プラットフォームおよび集中型交換（CEX）との調整は、盗まれたトークンの追跡とフラグ付けに役立つはずです。 法定通貨のために暗号通貨をキャッシュアウトするためのゲートウェイは、確立されたCEXのKYC手順によって制御される必要があるため、この条件は中期的に犯罪者の意欲をそぐ可能性があります。 先月、 20歳のカップル NFTスペースで人々を詐欺した後、法的に認可されました。 特定されたハッカーにも同じ扱いを求めるのは公正です。

監査とバグバウンティは、ブリッジを含むWeb3プラットフォームの状態を改善するもう3つの方法です。 Certik、Chainsafe、Blocksec、およびその他のいくつかの認定組織は、WebXNUMXの相互作用をより安全にするのに役立ちます。 すべてのアクティブなブリッジは、少なくともXNUMXつの認定された組織によって監査される必要があります。 

一方、バグバウンティプログラムは、プロジェクトとそのコミュニティの間に相乗効果を生み出します。 ホワイトハッカーは、悪意のある攻撃者よりも先に脆弱性を特定する上で重要な役割を果たします。 たとえば、スカイメイビスは 最近、1万ドルのバグ報奨金プログラムを開始しました その生態系を強化する。 

まとめ

イーサリアムdappsに挑戦する全体的なブロックチェーンエコシステムとしてのL1およびL2ソリューションの急増により、ネットワーク間で資産を移動するためのクロスチェーンプラットフォームの必要性が生まれました。 これが、Web3の柱のXNUMXつである相互運用性の本質です。 

それにもかかわらず、現在の相互運用可能なシナリオは、マルチチェーンアプローチではなく、クロスチェーンプロトコルに依存しています。 ヴィタリックは注意の言葉を和らげた 年の初めに。 スペースでの相互運用性の必要性は明白です。 それでも、このタイプのプラットフォームでは、より堅牢なセキュリティ対策が必要です。 

残念ながら、この課題は簡単には克服できません。 信頼できるプラットフォームと信頼できないプラットフォームの両方で、設計に欠陥があります。 これらの固有のクロスチェーンの欠陥が目立つようになりました。 80年にハッキングで失われた1.2億ドルの2022％以上は、悪用された橋を経由したものです。 

さらに、業界での価値が高まり続けるにつれて、ハッカーもより洗練されてきています。 ソーシャルエンジニアリングやフィッシング攻撃などの従来のサイバー攻撃は、Web3の説明に適応しています。 

すべてのトークンバージョンが各ブロックチェーンにネイティブであるマルチチェーンアプローチはまだ遠いです。 したがって、クロスチェーンプラットフォームは、以前のイベントから学習し、プロセスを強化して、成功する攻撃の数を可能な限り減らす必要があります。

元の投稿を読む 反抗的

• コインスマート。 ヨーロッパで最高のビットコインと暗号通貨取引所。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 出入り自由。
• CryptoHawk。 アルトコインレーダー。 無料トライアル。
• ソース：https：//thedefiant.io/hackers-target-blockchain-bridges/