Zdecydowana większość kryptowalut utraconych w tym roku w wyniku włamań została skradziona z mostów, technologii umożliwiającej użytkownikom przesyłanie zasobów cyfrowych między łańcuchami bloków.
Powody są jasne: mosty są skomplikowane, co daje atakującym więcej możliwości wykorzystania.
Co więcej, zapewniają pojedynczy punkt awarii: inteligentną umowę przechowującą pieniądze użytkownika w depozycie, podczas gdy „przeniesione” tokeny – zasadniczo IOU – są używane w łańcuchu docelowym.
Niezwykły ruch
Tak więc badacze z L2 Beat byli zaskoczeni, kiedy dokopali się do Multichain, platformy pomostowej o łącznej wartości 1 miliarda dolarów, i odkryli wyraźne zagrożenie od wewnątrz.
Według L2 Beat, projektu badawczego, który analizuje przestrzeń blockchain warstwy 2, Multichain przekazał miliony funduszy użytkowników z depozytu, aby zapewnić płynność w innym miejscu w swojej sieci.
„To pieniądze użytkowników, więc albo jest to uzgodnione z użytkownikami w tym łańcuchu, albo zerwali umowę społeczną z użytkownikami” – powiedział The Defiant Bartek Kiepuszewski, badacz z L2 Beat.
Podczas gdy transfer tokenów z depozytu można zobaczyć na łańcuchu, dokąd te tokeny ostatecznie trafiły, według Kiepuszewskiego jest tajemnicą.
Multichain twierdzi, że tokeny zostały wykorzystane do zapewnienia płynności w innych miejscach w jego sieci, ale rozmiar tej sieci oznacza, że potwierdzenie twierdzeń jest niezwykle trudne dla małego zespołu, takiego jak L2 Beat.
Michael Lewellen, szef działu rozwiązań w firmie Open Zeppelin zajmującej się bezpieczeństwem kryptowalut, powiedział, że praktyka jest rzeczywiście problematyczna.
„Jeśli nie ma jasnego sposobu na zidentyfikowanie, że aktywa, które ma wspierać most, nie znajdują się w miejscach, które można publicznie zweryfikować, zdecydowanie stwierdziłbym, że jest to szczególny problem związany z mostem” – powiedział Lewellen The Defiant.
Zarzuty L2 podważają zachowanie i praktyki bezpieczeństwa w organizacji odpowiedzialnej za ponad 1 miliard dolarów w funduszach użytkowników. Multichain łączy się z dziesiątkami blockchainów i obsługuje tysiące tokenów. Potwierdzenie, że Multichain nadal ma to krypto — że nie zostało skradzione ani przegrane w protokołach DeFi — byłoby herkulesowym zadaniem.
Świeże wątpliwości
Co więcej, zarzuty mogą wzbudzić nowe wątpliwości w technologii mostów, która w tym roku doznała ogromnych szkód z rąk hakerów.
Według exploita Rekt, trzy z pięciu największych włamań w historii kryptowalut miały miejsce w tym roku, a każdy z nich był włamaniem pomostowym liderów. Ponad 600 milionów dolarów zostało pobrane z Ronin Network. Prawie 600 milionów dolarów zostało pobrane z mostu Binance. Z mostu wormholowego pobrano ponad 300 milionów dolarów.
Multichain nie odpowiedział na wiele próśb o komentarz przesłanych za pośrednictwem kontaktowego adresu e-mail podanego na jego stronie internetowej.
Założenia bezpieczeństwa
Odcinek podkreśla rolę, jaką L2 odgrywa w badaniu przestrzeni skalowania łańcucha bloków. Kiedy producent protokołu pożyczkowego zastanawiał się, czy rozszerzyć go na łańcuchy bloków warstwy 2, takie jak Optimism i Arbitrum, musiał lepiej zrozumieć, jak te łańcuchy bloków działają.
Powstały projekt ostatecznie został wydzielony z Maker i stał się L2 Beat — stroną internetową, która zawiera listę niezliczonych łańcuchów bloków warstwy 2, ilość posiadanych pieniędzy i przyjęte założenia dotyczące bezpieczeństwa.
W tym miesiącu projekt został rozszerzony o uruchomienie pulpitu nawigacyjnego dla protokołów mostkowych. Obok Multichain, drugiego co do wielkości protokołu mostkowego na świecie, zespół L2 Beat dołączył małą żółtą tarczę z wykrzyknikiem, ostrzegając użytkowników o podejrzeniu niestosowności.
„Każdy most działa mniej więcej tak samo” – wyjaśnił Kiepuszewski. „Wysyłasz tokeny na adres, a [nowe] tokeny zostałyby wybite przez walidatory w docelowym [łańcuchu bloków]. Jeśli chcesz wrócić, dzieje się odwrotnie, więc palisz tokeny w miejscu docelowym, a walidatorzy powinni zwolnić tokeny z tego adresu depozytowego, na który pierwotnie wysłałeś tokeny.
Sieć płynności
Protokoły pomostowe, które nie mogą wybić nowych tokenów w łańcuchu docelowym, zamiast tego używają metody „sieci płynności”. Dostawcy płynności deponują tokeny w pulach płynności w łańcuchu docelowym. Te tokeny są dostępne dla użytkowników, którzy łączą się z tym łańcuchem bloków i są zwracane do puli, gdy użytkownicy mostka wycofują się do swojego łańcucha pochodzenia.
Według L2 Beat, Multichain, który łączy mosty z dziesiątkami blockchainów, jest hybrydą. W niektórych przypadkach bije żetony. W innych wykorzystuje pule płynności.
Według badań Kiepuszewskiego, walidatory Multichain wyciągnęły prawie 80 milionów dolarów w stablecoinach i 300 bitcoinów z umowy escrow, pozostawiając więcej kryptowalut w łańcuchu docelowym niż pozostało w umowie.
Kiepuszewski powiedział, że skontaktował się z Multichain, a przedstawiciele powiedzieli mu, że krypto zostało wykorzystane do dostarczania pul płynności w różnych sieciach.
Ether osiąga najwyższe od sześciu tygodni tak wysokie zyski, jak silne wzrosty na giełdzie
Żetony warstwy 1 prowadzą szarżę
„Twierdzą, że nie jest to ich zdaniem problematyczne, ponieważ pieniądze wciąż znajdują się w ekosystemie Multichain, a użytkownicy, ich zdaniem, zawsze powinni mieć możliwość wypłacenia potrzebnej kwoty” – powiedział Kiepuszewski. Ale przeprowadzenie audytu „teraz staje się niezwykle skomplikowane, bo trzeba przeanalizować cały ekosystem Multichain, prawda?”
Lewellen z Open Zeppelin zgodził się. „Nawet w przypadku sieci płynności” – powiedział. „Istnieje przynajmniej sposób na przyjrzenie się różnym pulom [dostawcy płynności] i różnym łańcuchom i zidentyfikowanie, że ogólne aktywa wyemitowane przez pomost pasują do pewnej puli płynności w innym miejscu”.
Zarówno Lewellen, jak i Kiepuszewski powiedzieli, że pulpit nawigacyjny pokazujący drogę, jaką obierają ich fundusze, znacznie poprawiłby obawy dotyczące ruchu kryptowalut użytkowników.
Luki w oprogramowaniu
Dodaje również nową zmarszczkę przy ocenie, czy Multichain jest bezpiecznym miejscem do zaparkowania pieniędzy. Zazwyczaj audyt potwierdziłby, czy istnieją jakieś luki w oprogramowaniu. Teraz użytkownicy muszą się też zastanawiać, czy można zaufać samemu Multichainowi w kwestii ich pieniędzy – powiedział Kiepuszewski.
Nawet jeśli fundusze są przechowane, dostęp do nich w odpowiednim czasie może być trudny. I to przedstawia własne problemy, według Lewellena, który zwrócił uwagę na fakt, że wydaje się, że w mostku Fantom w Multichain jest mniej Dai niż w tokenach Dai wybitych w Multichain na Fantom.
Brak jasności
Według L52 Beat, ponad 1 mln dolarów Dai połączony z Fantom, blockchain warstwy 2, został rzekomo usunięty z depozytu przez walidatorów Multichain.
Gdyby Dai stracił powiązanie z dolarem amerykańskim, a ludzie z Dai na Fantom chcieliby wymienić tego Dai na USD, mogliby stracić znaczną ilość pieniędzy w czasie potrzebnym na zlokalizowanie i przeniesienie Dai, który powinien być depozyt, według Lewellena.
„Nie chodzi o to, że wydarzy się to dzisiaj, ale może się to zdarzyć, jeśli te czynniki ułożą się w sposób, który nie jest zbyt korzystny dla Multichain” – powiedział – „i myślę, że ostatecznie stąd bierze się obawa. Po prostu nie ma jasności co do tego, w jaki sposób Multichain zarządza tym ryzykiem”.
- Bitcoin
- blockchain
- zgodność z technologią blockchain
- konferencja blockchain
- coinbase
- pomysłowość
- Zgoda
- konferencja kryptograficzna
- wydobycie kryptograficzne
- kryptowaluta
- Zdecentralizowane
- DeFi
- Zasoby cyfrowe
- ethereum
- uczenie maszynowe
- niezamienny żeton
- plato
- Platon Ai
- Analiza danych Platona
- Platoblockchain
- PlatoDane
- platogaming
- Wielokąt
- dowód stawki
- Wyzywający
- W3
- zefirnet