올해 해킹으로 손실된 대다수의 암호화폐는 사용자가 블록체인 간에 디지털 자산을 전송할 수 있게 해주는 기술인 브리지에서 도난당했습니다.
이유는 분명합니다. 브리지가 복잡하여 공격자가 더 많은 공격 경로를 이용할 수 있습니다.
또한, 단일 실패 지점을 제공합니다. 에스크로에 사용자 돈을 보관하는 스마트 계약과 함께 "전송된" 토큰(본질적으로 IOU)이 대상 체인에서 사용됩니다.
비정상적인 움직임
그래서 L2 Beat의 연구원들은 총 가치가 1억 달러에 달하는 브리징 플랫폼인 Multichain을 파헤치고 내부에서 명백한 위협을 발견했을 때 놀랐습니다.
Layer 2 블록체인 공간을 분석하는 연구 프로젝트인 L2 Beat에 따르면 이례적인 움직임으로 Multichain은 네트워크의 다른 곳에서 유동성을 제공하기 위해 에스크로에서 수백만 달러의 사용자 자금을 이체했습니다.
L2 Beat의 연구원인 Bartek Kiepuszewski는 Defiant에 "그것은 사용자의 돈이므로 이 체인의 사용자와 합의했거나 사용자와 사회적 계약을 파기했습니다."라고 말했습니다.
그것은 사용자의 돈이므로 이 체인의 사용자와 합의하거나 사용자와의 사회적 계약을 파기했습니다.
바르텍 키푸체프스키
Kiepuszewski에 따르면 에스크로에서 토큰을 전송하는 것은 온체인에서 볼 수 있지만 해당 토큰이 궁극적으로 어디로 갔는지는 미스터리입니다.
Multichain은 토큰이 네트워크의 다른 곳에서 유동성을 제공하는 데 사용되었다고 주장하지만 해당 네트워크의 크기는 L2 Beat와 같은 소규모 팀에서 주장을 확인하는 것이 매우 어렵다는 것을 의미합니다.
암호화 보안 회사인 Open Zeppelin의 솔루션 책임자인 Michael Lewellen은 이러한 관행이 실제로 문제가 있다고 말했습니다.
Lewellen은 Defiant에 "Bridge가 뒷받침한다고 주장하는 자산이 공개적으로 확인할 수 있는 어딘가에 존재하지 않는다는 것을 식별할 수 있는 명확한 방법이 없는 경우, Bridge에 대한 구체적인 우려로 분명히 밝혔습니다."라고 말했습니다.
L2의 주장은 사용자 자금에서 1억 달러 이상을 책임지는 조직의 행동 및 보안 관행에 의문을 제기합니다. 멀티체인은 수십 개의 블록체인을 연결하고 수천 개의 토큰을 지원합니다. Multichain이 DeFi 프로토콜에서 도난당하거나 도박을 하지 않았다는 암호를 여전히 가지고 있는지 확인하는 것은 엄청난 작업이 될 것입니다.
신선한 의심
또한 이러한 주장은 올해 해커의 손에 막대한 피해를 입은 브리지 기술에 새로운 의심을 불러일으킬 수 있습니다.
Rekt의 익스플로잇에 따르면 암호화 역사상 가장 큰 XNUMX가지 해킹 중 XNUMX가지가 올해 발생했으며 각각은 브리지 해킹이었습니다. 리더. Ronin Network에서 600억 달러 이상이 인출되었습니다. 바이낸스 브리지에서 거의 600억 달러가 인출되었습니다. 웜홀 다리에서 300억 달러 이상을 가져갔습니다.
Multichain은 웹사이트에 나열된 연락처 이메일 주소를 통해 제출된 여러 의견 요청에 응답하지 않았습니다.
보안 가정
이 에피소드는 블록체인 확장 공간을 조사하는 데 있어 L2의 역할을 강조합니다. 대출 프로토콜 Maker가 Optimism 및 Arbitrum과 같은 레이어 2 블록체인으로 확장할지 여부를 고려할 때 이러한 블록체인이 어떻게 작동하는지 더 잘 이해할 필요가 있었습니다.
뒤이은 프로젝트는 결국 Maker에서 분사되어 L2 Beat가 되었습니다. 이 웹사이트에는 수많은 Layer 2 블록체인, 보유 금액 및 보안 가정이 나열되어 있습니다.
[포함 된 콘텐츠]
이번 달에는 브리지 프로토콜용 대시보드 출시와 함께 프로젝트가 확장되었습니다. 세계에서 두 번째로 큰 브리지 프로토콜인 Multichain 옆에 L2 Beat 팀은 의심되는 부적절함을 사용자에게 경고하는 느낌표가 있는 작은 노란색 방패를 추가했습니다.
"모든 단일 다리는 거의 같은 방식으로 작동합니다."라고 Kiepuszewski는 설명했습니다. “토큰을 주소로 보내면 [새] 토큰은 대상 [블록체인]의 유효성 검사기에 의해 발행됩니다. 돌아가고 싶다면 반대의 일이 일어나므로 목적지에서 토큰을 소각하고 검증인은 원래 토큰을 보낸 에스크로 주소에서 토큰을 해제해야 합니다.”
유동성 네트워크
대상 체인에서 새 토큰을 발행할 수 없는 브리지 프로토콜은 대신 "유동성 네트워크" 방법을 사용합니다. 유동성 공급자는 대상 체인의 유동성 풀에 토큰을 예치합니다. 해당 토큰은 해당 블록체인에 브리지하는 사용자가 사용할 수 있으며 브리지 사용자가 오리진 체인으로 철수할 때 풀로 반환됩니다.
L2 Beat에 따르면 수십 개의 블록체인을 연결하는 다리가 있는 멀티체인은 하이브리드입니다. 어떤 경우에는 토큰을 발행합니다. 다른 곳에서는 유동성 풀을 사용합니다.
Kiepuszewski의 연구에 따르면 멀티체인 검증인은 에스크로 계약에서 거의 80천만 달러의 스테이블 코인과 300비트코인을 인출하여 계약에 남아 있는 것보다 목적지 체인에 더 많은 암호화폐를 남겼습니다.
Kiepuszewski는 멀티체인에 연락을 취했으며 대표자들은 암호화폐가 여러 체인에 걸쳐 유동성 풀을 공급하는 데 사용되었다고 말했습니다.
Kiepuszewski는 "그들은 돈이 여전히 멀티체인 생태계에 있고 사용자가 항상 필요한 금액을 인출할 수 있어야 하기 때문에 이것이 문제가 되지 않는다고 주장합니다."라고 말했습니다. 그러나 감사를 수행하는 것은 "전체 멀티체인 생태계를 분석해야 하기 때문에 이제 매우 복잡해집니다. 그렇죠?"
Open Zeppelin의 Lewellen도 이에 동의했습니다. 그는 "유동성 네트워크의 경우에도"라고 말했다. "적어도 다른 [유동성 공급자] 풀과 다른 체인을 살펴보고 브리지에서 발행한 전체 자산이 다른 곳의 일부 유동성 풀과 일치하는지 식별할 수 있는 방법이 있습니다."
Lewellen과 Kiepuszewski는 모두 자금이 이동하는 경로를 보여주는 대시보드가 사용자의 암호 이동에 대한 우려를 완화하는 데 큰 도움이 될 것이라고 말했습니다.
소프트웨어 취약점
그것은 또한 멀티체인이 자신의 돈을 주차하기에 안전한 장소인지 평가할 때 새로운 주름을 추가합니다. 일반적으로 감사에서는 소프트웨어 취약점이 있는지 확인합니다. 이제 사용자는 멀티체인 자체가 자신의 돈으로 신뢰할 수 있는지 여부도 궁금해해야 한다고 Kiepuszewski는 말했습니다.
자금이 안전하게 보관되어 있더라도 적시에 접근하기 어려울 수 있습니다. 그리고 그것은 자체 문제를 나타냅니다. Lewellen에 따르면, Multichain의 Fantom 브리지에는 Fantom에 있는 Multichain-minted Dai 토큰보다 Dai가 더 적은 것으로 보인다는 사실을 지적했습니다.
명확성 없음
L52 Beat에 따르면 Layer 1 블록체인인 Fantom에 연결된 2만 달러 이상의 다이가 멀티체인 검증인에 의해 에스크로에서 제거된 것으로 알려졌습니다.
Dai가 미국 달러에 대한 고정을 잃고 Fantom에 있는 Dai가 있는 사람들이 해당 Dai를 USD로 교환하기를 원했다면, 있어야 할 Dai를 찾고 이전하는 데 걸리는 시간에 상당한 금액의 돈을 잃을 수 있습니다. Lewellen에 따르면 에스크로.
그는 "오늘 이런 일이 발생하는 것은 아니지만 이러한 요소가 Multichain에 매우 유리하지 않은 방식으로 정렬되면 발생할 수 있습니다."라고 말했습니다. 멀티체인이 이 위험을 관리하는 방법에 대해 명확하지 않은 것뿐입니다.”
