Hvordan Blockchain Bridges ble hackers hovedmål

Kryptoindustrien har utviklet seg til et økosystem som forbinder flere Layer-1(L1) blokkjeder og Layer-2(L2) skaleringsløsninger med unike muligheter og avveininger. 

Nettverk som Fantom, Terra eller Avalanche har blitt rike på DeFi-aktivitet, mens spill for å tjene dapps som Axie Infinity og DeFi Kingdoms opprettholder hele økosystemer som Ronin og Harmony. Disse blokkjedene har steget som seriøse alternativer til Ethereums gassavgifter og relativt langsomme transaksjonstider. Behovet for en enkel måte å flytte eiendeler mellom protokoller på forskjellige blokkjeder ble mer kritisk enn noen gang. 

Det er her blockchain-broer kommer inn.

Som et resultat av flerkjede-scenariet, skjøt Total Value Locked (TVL) på tvers av alle DeFi-dapps til himmels. På slutten av mars 2022 ble industriens TVL estimert til 215 milliarder dollar, 156 % høyere enn mars 2021. Mengden verdi som var låst og koblet i disse DeFi-dappene lokket oppmerksomheten til ondsinnede hackere, og den siste trenden tyder på at angripere kan ha fant et svakt ledd i blockchain-broer. 

I følge Rekt-databasen ble 1.2 milliarder dollar i kryptoaktiva stjålet i 1. kvartal 2022, noe som representerer 35.8 % av tidenes stjålne midler ifølge samme kilde. Interessant nok er minst 80 % av de tapte eiendelene i 2022 stjålet fra broer. 

Et av de alvorligste angrepene skjedde for to uker siden da Ronin-broen ble hacket for 540 millioner dollar. Før det har Solana ormehull og BNB Chains Qubit Finance-bro ble utnyttet for mer enn 400 millioner dollar i 2022. Det største hacket i kryptohistorien skjedde i august 2021 da PolyNetwork-broen ble utnyttet for 610 millioner dollar, selv om de stjålne midlene senere ble returnert. 

Broer er et av de mest verdifulle verktøyene i bransjen, men deres interoperable natur utgjør en viktig utfordring for prosjektene som bygger dem. 

Forstå Blockchain Bridges

Analogt med Manhattan-broer er blokkjedebroer plattformer som kobler sammen to forskjellige nettverk som muliggjør en krysskjedeoverføring av eiendeler og informasjon fra en blokkjede til en annen. På denne måten blir ikke kryptovalutaer og NFT-er plassert i deres opprinnelige kjeder, men kan "brokobles" på tvers av forskjellige blokkkjeder, og multiplisere mulighetene for å bruke disse eiendelene. 

Takket være broer brukes Bitcoin i smarte kontraktbaserte nettverk for DeFi-formål, eller en NFL All Day NFT kan bygges bro fra Flow til Ethereum for å bli fraksjonert eller brukt som sikkerhet. 

Det er ulike tilnærminger når det gjelder overføring av eiendeler. Som navnet antyder, fungerer Lock-and-Mint-broer ved å låse de originale eiendelene inne i en smart kontrakt på avsendersiden mens mottakernettverket lager en kopi av det originale tokenet på den andre siden. Hvis Ether er brokoblet fra Ethereum til Solana, er Ether i Solana bare en "innpakket" representasjon av kryptoen, ikke selve tokenet.  

Selv om lås-og-mynt-tilnærmingen er den mest populære brometoden, er det andre måter å fullføre eiendelsoverføringen på, for eksempel «brenn-og-mynt» eller atombytte utført av en smart kontrakt for å utveksle eiendeler mellom to nettverk. Tilkobling (tidligere xPollinate) og cBridge er broer som er avhengige av atombytte. 

Fra et sikkerhetssynspunkt kan broer klassifiseres i to hovedgrupper: pålitelige og tillitsløse. Pålitelige broer er plattformer som er avhengige av en tredjepart for å validere transaksjoner, men, enda viktigere, for å fungere som forvaltere av de brokoblede eiendelene. Eksempler på pålitelige broer finnes i nesten alle blokkjedespesifikke broer som Binance Bridge, Polygon POS-bro, WBTC Bridge, Avalanche Bridge, Harmony Bridge, Terra Shuttle Bridge og spesifikke dapps som Multichain (tidligere Anyswap) eller Tron's Just Cryptos. 

Omvendt er plattformer som utelukkende er avhengige av smarte kontrakter og algoritmer for å deponere eiendeler. tillitsløse broer. Sikkerhetsfaktoren i tillitsløse broer er knyttet til det underliggende nettverket der eiendelene blir brokoblet, dvs. hvor eiendelene er låst. Troløse broer kan bli funnet i NEARs Rainbow Bridge, Solana's Wormhole, Polkadot's Snow Bridge, Cosmos IBC og plattformer som Hop, Connext og Celer. 

Ved første øyekast kan det se ut som tillitsløse broer tilbyr et sikrere alternativ for overføring av eiendeler mellom blokkjeder. Imidlertid møter både pålitelige og tillitsløse broer forskjellige utfordringer. 

Begrensninger for pålitelige og tillitsløse broer

Ronin-broen fungerer som en sentralisert pålitelig plattform. Denne broen bruker en multisig-lommebok for oppbevaring av de brokoblede eiendelene. Kort fortalt er en multisig-lommebok en adresse som krever to eller flere kryptografiske signaturer for å godkjenne en transaksjon. I Ronins tilfelle har sidekjeden ni validatorer som trenger fem forskjellige signaturer for å godkjenne innskudd og uttak.  

Andre plattformer bruker samme tilnærming, men diversifiserer risikoen bedre. For eksempel er Polygon avhengig av åtte validatorer og krever fem signaturer. De fem signaturene er kontrollert av ulike parter. Når det gjelder Ronin, ble fire signaturer holdt av Sky Mavis-teamet alene, noe som skapte et enkelt feilpoeng. Etter at hackeren klarte å kontrollere de fire Sky Mavis-signaturene på en gang, var det bare en signatur til som var nødvendig for å godkjenne tilbaketrekking av eiendeler. 

Den 23. mars fikk angriperen kontroll over Axie DAOs signatur, den siste brikken som kreves for å fullføre angrepet. 173,600 25.5 ETH og XNUMX millioner USDC ble tappet fra Ronins depotkontrakt i to forskjellige transaksjoner i det nest største kryptoangrepet noensinne. Det er også verdt å merke seg at Sky Mavis-teamet fant ut om hacket nesten en uke senere, og viste at Ronins overvåkingsmekanismer i det minste var mangelfulle, og avslørte en annen feil i denne pålitelige plattformen. 

Mens sentralisering utgjør en grunnleggende feil, er tillitsløse broer utsatt for utnyttelse på grunn av feil og sårbarheter i programvaren og kodingen. 

Solana Wormhole, en plattform som muliggjør transaksjoner på tvers av bro mellom Solana og Ethereum, ble utsatt for en utnyttelse i februar 2022, der 325 millioner dollar ble stjålet på grunn av en feil i Solanas depotkontrakter. En feil i Wormhole-kontraktene gjorde det mulig for hackeren å utvikle krysskjedevalidatorer. Angriperen sendte 0.1 ETH fra Ethereum til Solana for å utløse et sett med "overføringsmeldinger" som lurte programmet til å godkjenne et antatt innskudd på 120,000 XNUMX ETH.

Ormehull-hakket skjedde etter Polynettverk ble utnyttet for 610 millioner dollar i august 2021 på grunn av feil i kontraktenes taksonomi og struktur. Transaksjoner på tvers av kjeder i denne dappen er godkjent av en sentralisert gruppe noder kalt "keepere" og validert på mottaksnettverket av en gateway-kontrakt. I dette angrepet var hackeren i stand til å få privilegier som keeper og lurte dermed gatewayen ved å sette sine egne parametere. Angriperen gjentok prosessen i Ethereum, Binance, Neo og andre blokkjeder for å trekke ut flere eiendeler.

Alle broer fører til Ethereum

Ethereum er fortsatt det mest dominerende DeFi-økosystemet i bransjen, og står for nesten 60% av bransjens TVL. Samtidig utløste fremveksten av forskjellige nettverk som alternativer for Ethereums DeFi-dapps kjedeaktiviteten til blokkjedebroer. 

Den største broen i bransjen er WBTC-broen, som dekkes av BitGo, Kyber og Republic Protocol, teamet bak RenVM. Siden Bitcoin-tokens ikke er teknisk kompatible med smarte kontraktbaserte blokkjeder, "pakker" WBTC-broen inn den opprinnelige Bitcoin, låser den inn i brodepot-kontrakten og lager sin ERC-20-versjon på Ethereum. Denne broen ble enormt populær i DeFi Summer og har nå rundt 12.5 milliarder dollar verdt av Bitcoin. WBTC lar BTC brukes som sikkerhet i dapps som Aave, Compound og Maker, eller for å gi gård eller tjene interesse i flere DeFi-protokoller. 

Multichain, tidligere kjent som Anyswap, er en dapp som tilbyr transaksjoner på tvers av kjeder til mer enn 40 blokkjeder med en innebygd bro. Multichain har 6.5 milliarder dollar på tvers av alle tilkoblede nettverk. Fantom-broen til Ethereum er imidlertid det desidert største bassenget med 3.5 milliarder dollar låst. I løpet av andre halvdel av 2021 etablerte Proof-of-Stake-nettverket seg som en populær DeFi-destinasjon med attraktive avkastningsfarmer som involverer FTM, ulike stablecoins eller WETH som de som finnes på SpookySwap. 

I motsetning til Fantom, bruker de fleste L1-blokkjeder en uavhengig direkte bro for å koble til nettverk. Avalanche-broen er for det meste dekket av Avalanche Foundation og er den største L1<>L1-broen. Avalanche har et av de mest robuste DeFi-landskapene med dapps som Trader Joe, Aave, Curve og Platypus Finance. 

Binance-broen skiller seg også ut med 4.5 milliarder dollar i eiendeler låst, tett fulgt av Solana Wormhole med 3.8 milliarder dollar. Terra's Shuttle Bridge sikrer bare 1.4 milliarder dollar til tross for at den er den nest største blokkjeden når det gjelder TVL.

Tilsvarende er skaleringsløsninger som Polygon, Arbitrum og Optimism også blant de viktigste broene når det gjelder aktiva låst. Polygon POS Bridge, hovedinngangspunktet mellom Ethereum og sidekjeden, er den tredje største broen med nesten 6 milliarder dollar i varetekt. I mellomtiden er likviditeten i broene til populære L2-plattformer som Arbitrum og Optimism også på vei oppover. 

En annen bro som er verdt å nevne er Near Rainbow-broen, som har som mål å løse den berømte interoperabilitetstrilemma. Denne plattformen som forbinder Near og Aurora med Ethereum kan presentere en verdifull mulighet til å oppnå sikkerhet i tillitsløse broer. 

Forbedring av sikkerhet på tvers av kjeder

Både pålitelige og tillitsløse broer, de to tilnærmingene til forvaring brokoblede eiendeler, er utsatt for grunnleggende og tekniske svakheter. Likevel er det måter å forhindre og redusere virkningen forårsaket av ondsinnede angripere som retter seg mot blokkjedebroer. 

Når det gjelder pålitelige broer, er det klart at det er behov for å øke andelen underskrivere som kreves, samtidig som multisigs er fordelt på forskjellige lommebøker. Og selv om tillitsløse broer fjerner risikoen knyttet til sentralisering, gir feil og andre tekniske begrensninger risikable situasjoner, som vist av Solana Wormhole eller Qubit Finance-utnyttelsene. Derfor er det nødvendig å implementere off-chain-handlinger for å beskytte tverrkjedeplattformer så mye som mulig.

Samarbeid mellom protokoller er nødvendig. Web3-området er preget av sitt bundne fellesskap, så å ha de flinkeste hodene i bransjen som jobber sammen for å gjøre plassen til et sikrere sted ville være det perfekte scenariet. Animoca Brands, Binance og andre Web3-merker samlet inn 150 millioner dollar for å hjelpe Sky Mavis med å redusere den økonomiske konsekvensen av Ronins brohack. Å jobbe sammen for en flerkjedefremtid kan løfte interoperabilitet til neste nivå. 

På samme måte bør koordinering med kjedeanalyseplattformer og sentraliserte utvekslinger (CEX-er) bidra til å spore og flagge stjålne tokens. Denne tilstanden kan desincentivere kriminelle på mellomlang sikt, ettersom inngangsporten til å utbetale krypto for fiat bør kontrolleres av KYC-prosedyrer i etablerte CEX-er. Forrige måned, et par 20 åringer ble lovlig sanksjonert etter å ha svindlet folk i NFT-rommet. Det er rettferdig å be om samme behandling for identifiserte hackere.

Revisjon og feilpremier er en annen måte å forbedre helsen til enhver Web3-plattform, inkludert broer. Sertifiserte organisasjoner som Certik, Chainsafe, Blocksec og flere andre bidrar til å gjøre Web3-interaksjoner tryggere. Alle aktive broer bør revideres av minst én sertifisert organisasjon. 

I mellomtiden skaper bug-bounty-programmer en synergi mellom prosjektet og dets fellesskap. Hvite hackere spiller en viktig rolle i å identifisere sårbarheter før ondsinnede angripere gjør det. For eksempel har Sky Mavis lanserte nylig et bug-bounty-program på 1 million dollar for å styrke sitt økosystem. 

konklusjonen

Økningen av L1- og L2-løsninger som helhetlige blokkjedeøkosystemer som utfordrer Ethereum-dapps, har skapt behovet for krysskjedeplattformer for å flytte eiendeler mellom nettverk. Dette er essensen av interoperabilitet, en av grunnpilarene i Web3. 

Ikke desto mindre er det nåværende interoperable scenariet avhengig av krysskjedeprotokoller i stedet for en flerkjedetilnærming, et scenario som Vitalik lettet på advarende ord ved starten av året. Behovet for interoperabilitet i rommet er mer enn tydelig. Ikke desto mindre er det nødvendig med mer robuste sikkerhetstiltak i denne typen plattformer. 

Dessverre vil utfordringen ikke løses lett. Både pålitelige og tillitsløse plattformer presenterer feil i designet. Disse iboende tverrkjedefeilene har blitt merkbare. Mer enn 80 % av de 1.2 milliarder dollarene som gikk tapt i hacks i 2022 har kommet gjennom utnyttede broer. 

I tillegg, ettersom verdien i bransjen fortsetter å øke, blir hackere også mer sofistikerte. Tradisjonelle nettangrep som sosial engineering og phishing-angrep har tilpasset seg Web3-fortellingen. 

Multichain-tilnærmingen der alle token-versjoner er hjemmehørende i hver blokkjede er fortsatt langt unna. Derfor må tverrkjedeplattformer lære av tidligere hendelser og styrke sine prosesser for å redusere antall vellykkede angrep så mye som mulig.

Les originalinnlegget på Den trassende

• Myntsmart. Europas beste Bitcoin og Crypto Exchange.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. FRI TILGANG.
• CryptoHawk. Altcoin Radar. Gratis prøveperiode.
• Kilde: https://thedefiant.io/hackers-target-blockchain-bridges/