L2 Beat roept vragen op over het beheer van miljoenen aan gebruikersfondsen door Multichain

De overgrote meerderheid van de crypto die dit jaar door hacks verloren is gegaan, is gestolen van bridges, de technologie waarmee gebruikers digitale activa tussen blockchains kunnen overdragen.

De redenen zijn duidelijk: bruggen zijn ingewikkeld, waardoor aanvallers meer mogelijkheden hebben om misbruik te maken. 

Bovendien bieden ze een single point of failure: een slim contract dat gebruikersgeld in escrow houdt, terwijl de "overgedragen" tokens - in wezen IOU's - worden gebruikt in de bestemmingsketen.

Ongewone beweging

Dus de onderzoekers van L2 Beat waren verrast toen ze in Multichain groeven, een overbruggingsplatform met een totale waarde van $ 1 miljard, en een schijnbare bedreiging van binnenuit ontdekten.

Volgens L2 Beat, een onderzoeksproject dat de Layer 2-blockchain-ruimte analyseert, heeft Multichain in een ongebruikelijke zet miljoenen aan gebruikersfondsen van escrow overgemaakt om elders in zijn netwerk liquiditeit te bieden.

"Dat is gebruikersgeld, dus ofwel is dit afgesproken met gebruikers in deze keten, of ze hebben een sociaal contract met gebruikers verbroken", vertelde Bartek Kiepuszewski, een onderzoeker bij L2 Beat, aan The Defiant.

Dat is gebruikersgeld, dus ofwel is dit afgesproken met gebruikers in deze keten, ofwel hebben ze een sociaal contract met gebruikers verbroken.

Bartek Kiepuszewski

Hoewel de overdracht van de tokens van de escrow on-chain te zien is, is het volgens Kiepuszewski een raadsel waar die tokens uiteindelijk zijn gebleven. 

Multichain beweert dat de tokens werden gebruikt om elders op zijn netwerk liquiditeit te bieden, maar de omvang van dat netwerk betekent dat het bevestigen van de claims buitengewoon moeilijk is voor een klein team als L2 Beat.

Michael Lewellen, hoofd oplossingen bij crypto-beveiligingsbedrijf Open Zeppelin, zei dat de praktijk inderdaad problematisch is.

"Als er geen duidelijke manier is om vast te stellen dat de activa die de brug claimt te steunen niet ergens aanwezig zijn die publiekelijk verifieerbaar is, zou ik dat zeker als een specifiek punt van zorg voor de brug noemen", vertelde Lewellen aan The Defiant. 

De beschuldigingen van L2 stellen vraagtekens bij het gedrag en de beveiligingspraktijken bij een organisatie die verantwoordelijk is voor meer dan $ 1 miljard aan gebruikersfondsen. Multichain overbrugt tientallen blockchains en ondersteunt duizenden tokens. Bevestigen dat Multichain nog steeds die crypto heeft - dat het niet is gestolen of vergokt in DeFi-protocollen - zou een gigantische taak zijn.

nieuwe twijfel

Bovendien kunnen de aantijgingen nieuwe twijfel zaaien in de bridge-technologie, die dit jaar enorme schade heeft opgelopen door toedoen van hackers.

Drie van de vijf grootste hacks in de cryptogeschiedenis vonden dit jaar plaats, en elk van hen was een bridge-hack, volgens de exploit van Rekt leaderboard. Er werd meer dan $ 600 miljoen uit het Ronin-netwerk gehaald. Bijna $ 600 miljoen werd uit een Binance-brug gehaald. Meer dan $ 300 miljoen werd van de Wormhole-brug genomen. 

Multichain heeft niet gereageerd op meerdere verzoeken om commentaar die zijn ingediend via het e-mailadres voor contact dat op haar website staat vermeld.

Beveiligingsaannames

De aflevering belicht de rol die L2 speelt bij het onderzoeken van de blockchain-schaalruimte. Toen het uitleenprotocol Maker overwoog om uit te breiden naar Layer 2-blockchains zoals Optimism en Arbitrum, moest het beter begrijpen hoe die blockchains werkten. 

Het daaropvolgende project is uiteindelijk voortgekomen uit Maker en werd L2 Beat - een website met talloze Layer 2-blockchains, de hoeveelheid geld die ze aanhouden en de beveiligingsaannames die ze maken.

[Ingesloten inhoud]

Deze maand is het project uitgebreid met de lancering van een dashboard voor bridge-protocollen. Naast Multichain, 's werelds op een na grootste bridge-protocol, voegde het L2 Beat-team een ​​klein geel schild toe met een uitroepteken om gebruikers te waarschuwen voor de vermoedelijke ongepastheid.

"Elke brug werkt min of meer op dezelfde manier", legt Kiepuszewski uit. “Je stuurt tokens naar een adres en [nieuwe] tokens zouden worden geslagen door validators op de bestemming [blockchain]. Als je terug wilt gaan, gebeurt het omgekeerde, dus je brandt tokens op de bestemming en validators moeten tokens vrijgeven van dat escrow-adres waarnaar je oorspronkelijk tokens hebt verzonden.

Liquiditeitsnetwerk

Overbruggingsprotocollen die geen nieuwe tokens op een bestemmingsketen kunnen slaan, gebruiken in plaats daarvan de "liquiditeitsnetwerk" -methode. Liquiditeitsverschaffers storten tokens in liquiditeitspools op de bestemmingsketen. Die tokens zijn beschikbaar voor gebruikers die overbruggen naar die blockchain, en ze worden teruggestuurd naar de pool wanneer bridgegebruikers zich terugtrekken naar hun oorsprongsketen.

Multichain, dat bruggen heeft naar tientallen blockchains, is volgens L2 Beat een hybride. In sommige gevallen munt het tokens. In andere gebruikt het liquiditeitspools.

Volgens het onderzoek van Kiepuszewski haalden Multichain-validators bijna $ 80 miljoen aan stablecoins en 300 Bitcoin uit een escrow-contract, waardoor er meer crypto op de bestemmingsketen achterbleef dan er in het contract bleef.

Kiepuszewski zei dat hij contact had opgenomen met Multichain en vertegenwoordigers vertelden hem dat de crypto is gebruikt om liquiditeitspools aan verschillende ketens te leveren.

"Ze beweren dat dit naar hun mening niet problematisch is, omdat het geld nog steeds in het Multichain-ecosysteem zit en gebruikers naar hun mening altijd het benodigde bedrag moeten kunnen opnemen", zei Kiepuszewski. Maar het uitvoeren van een audit "wordt nu extreem ingewikkeld, omdat je het hele Multichain-ecosysteem moet analyseren, toch?"

Open Zeppelin's Lewellen was het daarmee eens. "Zelfs voor liquiditeitsnetwerken", zei hij. "Er is op zijn minst een manier om naar de verschillende [liquiditeitsverschaffer]-pools en verschillende ketens te kijken en vast te stellen dat de totale activa die door een overbrugging worden uitgegeven, overeenkomen met een liquiditeitspool elders."

Lewellen en Kiepuszewski zeiden allebei dat een dashboard dat de route laat zien die hun geld aflegt, een grote bijdrage zou leveren aan het wegnemen van de zorgen over de beweging van de crypto van gebruikers.

Softwarekwetsbaarheden

Het voegt ook een nieuwe rimpel toe bij het beoordelen of Multichain een veilige plek is om je geld te parkeren. Doorgaans zou een audit bevestigen of er softwarekwetsbaarheden zijn. Nu moeten gebruikers zich ook afvragen of Multichain zelf met hun geld kan worden vertrouwd, zei Kiepuszewski.

Zelfs als de fondsen in bewaring zijn, kan het moeilijk zijn om er tijdig toegang toe te krijgen. En dat levert zijn eigen problemen op, volgens Lewellen, die erop wees dat er minder Dai in de Fantom-brug van Multichain lijkt te zijn dan dat er Dai-tokens met Multichain-munten op Fantom zijn. 

Geen duidelijkheid

Meer dan $ 52 miljoen Dai overbrugd naar Fantom, een Layer 1-blockchain, zou volgens L2 Beat van escrow zijn verwijderd door Multichain-validators. 

Als Dai zijn koppeling aan de Amerikaanse dollar zou verliezen, en mensen met Dai op Fantom die Dai voor USD wilden inwisselen, zouden ze een aanzienlijk bedrag kunnen verliezen in de tijd die nodig is om de Dai te vinden en over te dragen die in borg, aldus Lewellen. 

"Het is niet zo dat dit vandaag gaat gebeuren, maar het zou kunnen gebeuren als deze factoren zich op een manier opstellen die niet erg gunstig is voor Multichain," zei hij, "en ik denk dat daar uiteindelijk de zorg vandaan komt. Het heeft gewoon geen duidelijkheid over hoe Multichain dit risico beheert. ”