L2 Beat ridică întrebări despre gestionarea de către Multichain a milioanelor de fonduri ale utilizatorilor

Marea majoritate a criptografiei pierdute din cauza hackurilor în acest an a fost furată de pe poduri, tehnologia care permite utilizatorilor să transfere active digitale între blockchain-uri.

Motivele sunt clare: podurile sunt complicate, oferind atacatorilor mai multe căi de exploatare. 

Mai mult decât atât, ele oferă un singur punct de eșec: un contract inteligent care deține banii utilizatorului în escrow, în timp ce jetoanele „transferate” – în esență IOU – sunt utilizate în lanțul de destinație.

Mișcare neobișnuită

Așa că, cercetătorii de la L2 Beat au fost surprinși când au săpat în Multichain, o platformă de legătură cu o valoare totală blocată de 1 miliard de dolari, și au găsit o amenințare aparentă din interior.

Într-o mișcare neobișnuită, Multichain a transferat milioane de fonduri ale utilizatorilor din escrow pentru a furniza lichiditate în altă parte a rețelei sale, conform L2 Beat, un proiect de cercetare care analizează spațiul blockchain de la Layer 2.

„Aceștia sunt banii utilizatorilor, așa că fie acest lucru este convenit cu utilizatorii din acest lanț, fie au încălcat un contract social cu utilizatorii”, a declarat Bartek Kiepuszewski, cercetător la L2 Beat, pentru The Defiant.

Sunt banii utilizatorilor, așa că fie acest lucru este convenit cu utilizatorii din acest lanț, fie au încălcat un contract social cu utilizatorii.

Bartek Kiepuszewski

În timp ce transferul jetoanelor din escrow poate fi văzut în lanț, unde au ajuns acele jetoane în cele din urmă este un mister, potrivit Kiepuszewski. 

Multichain susține că tokenurile au fost folosite pentru a furniza lichiditate în altă parte a rețelei sale, dar dimensiunea acelei rețele înseamnă că confirmarea afirmațiilor este extrem de dificilă pentru o echipă mică precum L2 Beat.

Michael Lewellen, șeful soluțiilor la firma de securitate cripto Open Zeppelin, a declarat că practica este într-adevăr problematică.

„Dacă nu există o modalitate clară de a identifica că activele pe care podul pretinde că le susține nu sunt prezente într-un loc verificabil public, aș afirma cu siguranță că este o preocupare specifică pentru pod”, a spus Lewellen pentru The Defiant. 

Acuzațiile lui L2 pun sub semnul întrebării comportamentul și practicile de securitate la o organizație responsabilă pentru mai mult de 1 miliard de dolari din fondurile utilizatorilor. Multichain face legătura cu zeci de blockchain-uri și acceptă mii de jetoane. Confirmarea că Multichain are încă acea criptă - că nu a fost furată sau jucată de noroc în protocoalele DeFi - ar fi o sarcină herculeană.

Îndoială proaspătă

Mai mult, acuzațiile ar putea injecta noi îndoieli în tehnologia bridge, care a suferit daune enorme din cauza hackerilor în acest an.

Trei dintre cele mai mari cinci hack-uri din istoria cripto-ului au avut loc anul acesta și fiecare dintre ele a fost un bridge hack, conform exploit-ului lui Rekt. Leaderboard. Peste 600 de milioane de dolari au fost preluați de la Rețeaua Ronin. Aproape 600 de milioane de dolari au fost luați de pe un pod Binance. Peste 300 de milioane de dolari au fost luati de pe podul Wormhole. 

Multichain nu a răspuns la mai multe solicitări de comentarii trimise prin adresa de e-mail de contact afișată pe site-ul său web.

Ipoteze de securitate

Episodul subliniază rolul pe care L2 îl joacă în examinarea spațiului de scalare blockchain. Când protocolul de împrumut, Maker se gândea dacă să se extindă la stratul 2 blockchain-uri, cum ar fi Optimism și Arbitrum, trebuia să înțeleagă mai bine cum funcționează acele blockchain-uri. 

Proiectul care a urmat s-a desprins în cele din urmă de la Maker și a devenit L2 Beat - un site web care listează nenumărate blocuri de nivel 2, suma de bani pe care o dețin și ipotezele de securitate pe care le fac.

[Conținutul încorporat]

Luna aceasta, proiectul s-a extins odată cu lansarea unui tablou de bord pentru protocoalele bridge. Pe lângă Multichain, al doilea cel mai mare protocol de punte din lume, echipa L2 Beat a atașat un scut mic galben, purtând un semn de exclamare, avertizând utilizatorii cu privire la presupusa neadecvare.

„Fiecare pod funcționează mai mult sau mai puțin la fel”, a explicat Kiepuszewski. „Trimiteți jetoane la o adresă și [noile] jetoane vor fi bătute de validatori pe [blockchain] de destinație. Dacă doriți să vă întoarceți, se întâmplă invers, așa că ardeți jetoane la destinație, iar validatorii ar trebui să elibereze jetoane de la acea adresă de escrow la care ați trimis inițial jetoanele.”

Rețeaua de lichidități

Protocoalele bridge care nu pot crea jetoane noi pe un lanț de destinație folosesc în schimb metoda „rețelei de lichiditate”. Furnizorii de lichiditate depun jetoane în pool-uri de lichiditate pe lanțul de destinație. Aceste jetoane sunt disponibile pentru utilizatorii care fac legătura cu acel blockchain și sunt returnate la pool atunci când utilizatorii de punte se retrag în lanțul lor de origine.

Multichain, care are punți către zeci de blockchain, este un hibrid, potrivit L2 Beat. În unele cazuri, bate jetoane. În altele, utilizează fonduri de lichiditate.

Conform cercetării lui Kiepuszewski, validatorii Multichain au scos aproape 80 de milioane de dolari în monede stabile și 300 de Bitcoin dintr-un contract de escrow, lăsând mai multă criptomonedă în lanțul de destinație decât a rămas în contract.

Kiepuszewski a spus că a contactat Multichain și reprezentanții i-au spus că cripto a fost folosit pentru a furniza fonduri de lichiditate în diferite lanțuri.

„Ei susțin că acest lucru nu este problematic în opinia lor, deoarece banii încă se află în ecosistemul Multichain, iar utilizatorii, în opinia lor, ar trebui să poată întotdeauna să retragă suma de care au nevoie”, a spus Kiepuszewski. Dar efectuarea unui audit „acum devine extrem de complicată, pentru că trebuie să analizezi întregul ecosistem Multichain, nu?”

Lewellen de la Open Zeppelin a fost de acord. „Chiar și pentru rețelele de lichiditate”, a spus el. „Există cel puțin o modalitate de a analiza diferitele pool-uri [furnizori de lichidități] și diferitele lanțuri și de a identifica că activele totale emise de o punte se potrivesc cu unele fonduri de lichiditate din altă parte.”

Lewellen și Kiepuszewski au spus amândoi că un tablou de bord care arată ruta pe care o parcurg fondurile lor ar contribui în mare măsură la atenuarea preocupărilor cu privire la mișcarea criptomonedei utilizatorilor.

Vulnerabilități software

De asemenea, adaugă o nouă zbârcire atunci când se evaluează dacă Multichain este un loc sigur pentru a-și parca banii. De obicei, un audit ar confirma dacă există vulnerabilități software. Acum, utilizatorii trebuie să se întrebe și dacă Multichain în sine poate fi de încredere cu banii lor, a spus Kiepuszewski.

Chiar dacă fondurile sunt în siguranță, accesarea lor în timp util ar putea fi dificilă. Și asta prezintă propriile sale probleme, potrivit lui Lewellen, care a subliniat faptul că pare să existe mai puține Dai în podul Fantom al lui Multichain decât sunt jetoane Dai create de Multichain pe Fantom. 

Fara claritate

Peste 52 de milioane de dolari Dai conectat la Fantom, un blockchain de nivel 1, ar fi fost scos din escrow de validatorii Multichain, potrivit L2 Beat. 

Dacă Dai și-ar pierde legătura cu dolarul american, iar oamenii cu Dai pe Fantom ar fi vrut să răscumpere acel Dai pentru USD, ar putea pierde o sumă semnificativă de bani în timpul necesar pentru a localiza și transfera Dai-ul care ar fi trebuit să fie în escrow, conform lui Lewellen. 

„Nu este că acest lucru se va întâmpla astăzi, dar s-ar putea întâmpla dacă acești factori se aliniază într-un mod care nu este foarte favorabil pentru Multichain”, a spus el, „și cred că de aici vine în cele din urmă îngrijorarea. Pur și simplu nu avem claritate cu privire la modul în care Multichain gestionează acest risc.”