Blockchain Bridge가 해커의 주요 표적이 된 방법

암호화폐 산업은 고유한 기능과 절충점을 통해 여러 레이어 1(L1) 블록체인과 레이어 2(L2) 확장 솔루션을 상호 연결하는 생태계로 발전했습니다. 

Fantom, Terra 또는 Avalanche와 같은 네트워크는 DeFi 활동이 풍부해졌으며 Axie Infinity 및 DeFi Kingdoms와 같은 플레이-투-수익 dapp은 Ronin 및 Harmony와 같은 전체 생태계를 유지합니다. 이러한 블록체인은 이더리움의 가스 요금과 상대적으로 느린 거래 시간에 대한 심각한 대안으로 떠올랐습니다. 서로 다른 블록체인의 프로토콜 간에 자산을 쉽게 이동할 수 있는 방법에 대한 필요성이 그 어느 때보다 중요해졌습니다. 

이것이 바로 블록체인 브리지가 등장하는 곳입니다.

멀티체인 시나리오의 결과로 모든 DeFi dapp의 전체 TVL(잠금된 총 가치)이 급등했습니다. 2022년 215월 말 업계의 TVL은 156년 2021월보다 XNUMX% 높은 XNUMX억 달러로 추산되었습니다. 이러한 DeFi dapp에 잠겨 있고 연결되는 가치의 양은 악의적인 해커의 관심을 끌었으며, 최신 추세에 따르면 공격자는 블록체인 브릿지에서 약한 링크를 발견했습니다. 

Rekt 데이터베이스에 따르면 1.2년 1분기에 암호화폐 자산 2022억 달러가 도난당했는데, 이는 동일한 출처에 따르면 역대 도난 자금의 35.8%에 해당합니다. 흥미롭게도 80년에 손실된 자산의 최소 2022%가 교량에서 도난당했습니다. 

가장 심각한 공격 중 하나는 2주 전에 발생했습니다. 로닌 브리지가 해킹당했습니다 540억 XNUMX천만 달러에. 그 전에는 솔라 나 웜홀 BNB Chain의 Qubit Finance 브리지는 400년에 2022억 달러 이상에 악용되었습니다. 암호화폐 역사상 가장 큰 해킹은 2021년 XNUMX월에 발생했습니다. PolyNetwork 브리지는 610억 XNUMX천만 달러에 이용되었습니다.그러나 도난당한 자금은 나중에 반환되었습니다. 

교량은 업계에서 가장 가치 있는 도구 중 하나이지만 교량의 상호 운용성은 이를 구축하는 프로젝트에 중요한 과제를 제시합니다. 

블록체인 브리지 이해

맨해튼 브릿지와 유사하게 블록체인 브릿지는 두 개의 서로 다른 네트워크를 연결하여 한 블록체인에서 다른 블록체인으로 자산과 정보를 크로스체인으로 전송할 수 있는 플랫폼입니다. 이러한 방식으로 암호화폐와 NFT는 기본 체인 내에 고립되지 않고 다양한 블록체인에 걸쳐 "브리지"되어 이러한 자산을 활용할 수 있는 옵션을 늘릴 수 있습니다. 

브리지 덕분에 비트코인은 DeFi 목적으로 스마트 계약 기반 네트워크에서 사용되거나 NFL All Day NFT를 Flow에서 Ethereum으로 브리지하여 분할하거나 담보로 사용할 수 있습니다. 

자산 이전에는 다양한 접근 방식이 있습니다. 이름에서 알 수 있듯이 Lock-and-Mint 브리지는 보내는 쪽의 스마트 계약 내에서 원래 자산을 잠그고 받는 네트워크가 다른 쪽에서 원본 토큰의 복제본을 발행하는 방식으로 작동합니다. Ether가 Ethereum에서 Solana로 연결되는 경우 Solana의 Ether는 실제 토큰 자체가 아니라 암호화폐를 "포장된" 표현일 뿐입니다.  

잠금 및 민트 접근 방식이 가장 널리 사용되는 브리징 방법이지만, 두 네트워크 간에 자산을 교환하기 위해 스마트 계약에 의해 자체 실행되는 '소각 및 민트' 또는 아토믹 스왑과 같은 자산 이전을 완료하는 다른 방법도 있습니다. 연결 (이전의 xPollinate) 및 씨브리지 원자 교환에 의존하는 브리지입니다. 

보안 관점에서 브리지는 신뢰할 수 있는 브리지와 무신뢰할 수 있는 브리지의 두 가지 주요 그룹으로 분류할 수 있습니다. 신뢰할 수 있는 브리지 거래를 검증하기 위해 제3자에 의존하지만 더 중요한 것은 연결된 자산의 관리인 역할을 하는 플랫폼입니다. 신뢰할 수 있는 브리지의 예는 Binance Bridge와 같은 거의 모든 블록체인 전용 브리지에서 찾을 수 있습니다. 폴리곤 POS 브리지, WBTC Bridge, Avalanche Bridge, Harmony Bridge, Terra Shuttle Bridge 및 Multichain(이전의 Anyswap) 또는 Tron의 Just Cryptos와 같은 특정 dapp. 

반대로 자산을 보관하기 위해 스마트 계약과 알고리즘에만 전적으로 의존하는 플랫폼은 다음과 같습니다. 무신뢰 교량. 무신뢰 브리지의 보안 요소는 자산이 브리지되는 기본 네트워크, 즉 자산이 잠겨 있는 네트워크와 연결되어 있습니다. 무신뢰 브리지는 다음에서 찾을 수 있습니다. NEAR의 레인보우 브릿지, Solana의 Wormhole, Polkadot의 Snow Bridge, Cosmos IBC 및 Hop, Connext 및 Celer와 같은 플랫폼. 

언뜻 보면 무신뢰 브리지가 블록체인 간에 자산을 전송하는 데 더 안전한 옵션을 제공하는 것처럼 보일 수 있습니다. 그러나 신뢰할 수 있는 브리지와 무신뢰 브리지 모두 서로 다른 문제에 직면합니다. 

신뢰할 수 있는 브리지와 신뢰할 수 없는 브리지의 한계

Ronin 브리지는 중앙 집중식 신뢰할 수 있는 플랫폼으로 작동합니다. 이 브리지는 브리지된 자산을 보관하기 위해 다중 서명 지갑을 사용합니다. 간단히 말해서 다중서명 지갑은 거래를 승인하기 위해 두 개 이상의 암호화 서명이 필요한 주소입니다. Ronin의 경우 사이드체인에는 입출금을 승인하기 위해 5개의 서로 다른 서명이 필요한 9개의 검증자가 있습니다.  

다른 플랫폼도 동일한 접근 방식을 사용하지만 위험을 더 잘 분산시킵니다. 예를 들어 Polygon은 8개의 검증자에 의존하며 5개의 서명이 필요합니다. 5개의 서명은 서로 다른 당사자에 의해 제어됩니다. 로닌의 경우 스카이 마비스 팀이 단독으로 시그니처 4개를 보유해 단일 실패 지점이 발생했다. 해커가 4개의 Sky Mavis 서명을 한 번에 제어한 후, 자산 철회를 승인하려면 서명이 하나만 더 필요했습니다. 

23월 173,600일, 공격자는 공격을 완료하는 데 필요한 마지막 부분인 Axie DAO의 서명에 대한 제어권을 얻었습니다. 사상 두 번째로 큰 암호화폐 공격으로 두 번의 서로 다른 거래를 통해 25.5 ETH와 XNUMX만 USDC가 Ronin의 관리인 계약에서 빠져나갔습니다. 또한 Sky Mavis 팀이 거의 일주일 후에 해킹에 대해 알아냈고 Ronin의 모니터링 메커니즘이 최소한으로 결함이 있었고 이 신뢰할 수 있는 플랫폼의 또 다른 결함을 드러냈다는 점도 주목할 가치가 있습니다. 

중앙 집중화에는 근본적인 결함이 있지만 무신뢰 브리지는 소프트웨어 및 코딩의 버그와 취약점으로 인해 악용되기 쉽습니다. 

솔라나와 이더리움 간 크로스 브릿지 거래를 가능하게 하는 플랫폼인 솔라나 웜홀(Solana Wormhole)은 2022년 XNUMX월에 익스플로잇을 겪었습니다. 325 만 달러가 도난당했습니다 솔라나의 관리인 계약의 버그로 인해 발생했습니다. 웜홀 계약의 버그로 인해 해커는 크로스체인 검증기를 고안할 수 있었습니다. 공격자는 이더리움에서 0.1 ETH를 솔라나로 보내 프로그램을 속여 120,000 ETH 예금을 승인하도록 속이는 일련의 "전송 메시지"를 실행했습니다.

웜홀 해킹은 그 이후에 일어났습니다. 폴리 네트워크 계약 분류 및 구조의 결함으로 인해 610년 2021월에 XNUMX억 XNUMX천만 달러에 악용되었습니다. 이 dapp의 크로스체인 거래는 "키퍼"라고 불리는 중앙 집중식 노드 그룹에 의해 승인되고 게이트웨이 계약에 의해 수신 네트워크에서 검증됩니다. 이번 공격에서 해커는 키퍼(Keeper)로서의 권한을 획득할 수 있었고, 이에 따라 자신만의 매개변수를 설정해 게이트웨이를 속였다. 공격자는 더 많은 자산을 추출하기 위해 Ethereum, Binance, Neo 및 기타 블록체인에서 프로세스를 반복했습니다.

모든 교량은 이더리움으로 연결됩니다

이더리움은 업계 TVL의 거의 60%를 차지하며 업계에서 가장 지배적인 DeFi 생태계로 남아 있습니다. 동시에, 이더리움의 DeFi dapp에 대한 대안으로 다양한 네트워크가 등장하면서 블록체인 브리지의 크로스체인 활동이 촉발되었습니다. 

업계에서 가장 큰 브릿지는 WBTC 브릿지이며, BitGo, Kyber 및 RenVM 팀인 Republic Protocol이 관리합니다. 비트코인 토큰은 스마트 계약 기반 블록체인과 기술적으로 호환되지 않기 때문에 WBTC 브릿지는 기본 비트코인을 "래핑"하여 브릿지 관리인 계약에 잠그고 이더리움에서 ERC-20 버전을 발행합니다. 이 브리지는 DeFi Summer에서 엄청난 인기를 얻었으며 현재 약 12.5억 달러 상당의 비트코인을 보유하고 있습니다. WBTC를 사용하면 BTC를 Aave,Compound,Maker와 같은 dapp에서 담보로 사용하거나 여러 DeFi 프로토콜에서 수익을 창출하거나 이자를 얻을 수 있습니다. 

이전에 Anyswap으로 알려진 멀티체인은 내장된 브리지를 통해 40개 이상의 블록체인에 크로스체인 트랜잭션을 제공하는 dapp입니다. 멀티체인은 연결된 모든 네트워크에서 6.5억 달러를 보유하고 있습니다. 그러나 Ethereum에 대한 Fantom 브리지는 3.5억 달러가 잠겨 있는 가장 큰 풀입니다. 2021년 하반기에 지분 증명 네트워크는 FTM, 다양한 스테이블 코인 또는 SpookySwap에서 볼 수 있는 wETH와 관련된 매력적인 수확량 농장을 갖춘 인기 있는 DeFi 목적지로 자리매김했습니다. 

Fantom과 달리 대부분의 L1 블록체인은 독립적인 직접 브리지를 사용하여 네트워크를 연결합니다. Avalanche 다리는 대부분 Avalanche 재단이 관리하며 가장 큰 L1<>L1 다리입니다. Avalanche는 Trader Joe, Aave, Curve 및 Platypus Finance와 같은 dapp을 통해 가장 강력한 DeFi 환경 중 하나를 자랑합니다. 

바이낸스 브릿지는 또한 4.5억 달러의 자산을 보유하고 있으며 솔라나 웜홀(Solana Wormhole)은 3.8억 달러로 그 뒤를 바짝 쫓고 있습니다. Terra의 Shuttle Bridge는 TVL 측면에서 두 번째로 큰 블록체인임에도 불구하고 1.4억 달러만 확보합니다.

마찬가지로 Polygon, Arbitrum 및 Optimism과 같은 확장 솔루션도 잠긴 자산 측면에서 가장 중요한 브리지 중 하나입니다. 이더리움과 사이드체인 사이의 주요 진입점인 Polygon POS 브리지는 거의 6억 달러를 관리하는 세 번째로 큰 브리지입니다. 한편, Arbitrum, Optimism 등 인기 L2 플랫폼 브릿지의 유동성도 증가하고 있습니다. 

언급할 가치가 있는 또 다른 다리는 유명한 문제를 해결하는 것을 목표로 하는 Near Rainbow 다리입니다. 상호 운용성 트릴레마. Near와 Aurora를 Ethereum과 연결하는 이 플랫폼은 무신뢰 브리지에서 보안을 달성할 수 있는 귀중한 기회를 제공할 수 있습니다. 

크로스체인 보안 개선

브리지 자산을 보관하는 두 가지 접근 방식인 신뢰할 수 있는 브리지와 무신뢰 브리지 모두 근본적이고 기술적 약점이 있는 경향이 있습니다. 그럼에도 불구하고 블록체인 브리지를 표적으로 삼는 악의적인 공격자가 초래하는 영향을 예방하고 줄일 수 있는 방법이 있습니다. 

신뢰할 수 있는 브리지의 경우, 필요한 서명자의 비율을 높이는 동시에 다중 서명을 다른 지갑에 배포하는 것이 필요하다는 것이 분명합니다. 그리고 신뢰할 수 없는 브리지가 중앙화와 관련된 위험을 제거하더라도 Solana Wormhole 또는 Qubit Finance 익스플로잇에서 볼 수 있듯이 버그 및 기타 기술적 제약으로 인해 위험한 상황이 발생합니다. 따라서 크로스체인 플랫폼을 최대한 보호하기 위해 오프체인 조치를 구현하는 것이 필요합니다.

프로토콜 간의 협력이 필요합니다. Web3 공간은 결속된 커뮤니티가 특징이므로 업계에서 가장 뛰어난 인재들이 함께 협력하여 공간을 더욱 안전한 곳으로 만드는 것이 완벽한 시나리오가 될 것입니다. Animoca Brands, Binance 및 기타 Web3 브랜드는 Sky Mavis가 Ronin의 브리지 해킹으로 인한 재정적 영향을 줄이는 데 도움이 되도록 150억 XNUMX천만 달러를 모금했습니다. 멀티체인 미래를 위해 함께 협력하면 상호 운용성을 한 단계 더 높일 수 있습니다. 

마찬가지로 체인 분석 플랫폼 및 중앙 집중식 거래소(CEX)와의 조정은 도난당한 토큰을 추적하고 표시하는 데 도움이 됩니다. 법정화폐로 암호화폐를 현금화하는 관문은 확립된 CEX의 KYC 절차에 의해 통제되어야 하기 때문에 이러한 조건은 중기적으로 범죄자들의 의욕을 떨어뜨릴 수 있습니다. 지난 달, 20대 커플 NFT 공간에서 사람들을 속인 후 법적 제재를 받았습니다. 확인된 해커에 대해 동일한 대우를 요청하는 것이 공정합니다.

감사 및 버그 현상금은 브리지를 포함한 모든 Web3 플랫폼의 상태를 개선하는 또 다른 방법입니다. Certik, Chainsafe, Blocksec 등과 같은 인증된 조직은 Web3 상호 작용을 더욱 안전하게 만드는 데 도움을 줍니다. 모든 활성 브리지는 적어도 하나의 인증된 조직에서 감사를 받아야 합니다. 

한편, 버그 포상금 프로그램은 프로젝트와 커뮤니티 사이에 시너지 효과를 창출합니다. 화이트 해커는 악의적인 공격자보다 먼저 취약점을 식별하는 데 중요한 역할을 합니다. 예를 들어 스카이 마비스(Sky Mavis)는 최근 1만 달러 규모의 버그 현상금 프로그램을 시작했습니다. 생태계를 강화하기 위해서다. 

결론

Ethereum dapp에 도전하는 전체적인 블록체인 생태계로서 L1 및 L2 솔루션이 급증하면서 네트워크 간에 자산을 이동하기 위한 크로스체인 플랫폼이 필요해졌습니다. 이것이 Web3의 핵심 중 하나인 상호 운용성의 본질입니다. 

그럼에도 불구하고 현재의 상호 운용 가능한 시나리오는 멀티체인 접근 방식보다는 크로스체인 프로토콜에 의존합니다. 비탈릭은 주의사항을 완화했다 연초에. 공간에서의 상호 운용성에 대한 필요성은 매우 분명합니다. 그럼에도 불구하고 이러한 유형의 플랫폼에는 보다 강력한 보안 조치가 필요합니다. 

불행하게도 그 도전은 쉽게 극복되지 않을 것입니다. 신뢰할 수 있는 플랫폼과 무신뢰 플랫폼 모두 설계에 결함이 있습니다. 이러한 고유한 크로스체인 결함이 눈에 띄게 되었습니다. 80년 해킹으로 인한 손실 1.2억 달러 중 2022% 이상이 악용된 브리지를 통해 발생했습니다. 

또한, 업계의 가치가 계속 높아지면서 해커들의 지능도 더욱 정교해지고 있습니다. 사회 공학 및 피싱 공격과 같은 전통적인 사이버 공격은 Web3 내러티브에 적응했습니다. 

모든 토큰 버전이 각 블록체인에 고유하게 적용되는 멀티체인 접근 방식은 아직 멀었습니다. 따라서 크로스체인 플랫폼은 이전 사건으로부터 학습하고 프로세스를 강화하여 성공적인 공격 횟수를 최대한 줄여야 합니다.

에서 원본 게시물 읽기 도전적

• 코인스마트. 유럽 ​​최고의 비트코인 ​​및 암호화폐 거래소.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 무료 액세스.
• 크립토호크. 알트코인 레이더. 무료 시험판.
• 출처: https://thedefiant.io/hackers-target-blockchain-bridges/