Industria cripto a evoluat într-un ecosistem care interconecta mai multe blockchain-uri Layer-1(L1) și soluții de scalare Layer-2(L2), cu capacități și compromisuri unice.
Rețele precum Fantom, Terra sau Avalanche au devenit bogate în activitate DeFi, în timp ce dapp-uri pentru a câștiga joc precum Axie Infinity și DeFi Kingdoms susțin ecosisteme întregi precum Ronin și Harmony. Aceste blockchain-uri au crescut ca alternative serioase la taxele de gaz ale Ethereum și timpii de tranzacție relativ lenți. Necesitatea unei modalități ușoare de a muta activele între protocoale pe blockchainuri disparate a devenit mai critică ca niciodată.
Aici intervin punțile blockchain.
Ca rezultat al scenariului cu mai multe lanțuri, valoarea totală blocată (TVL) pentru toate aplicațiile DeFi a crescut vertiginos. La sfârșitul lunii martie 2022, TVL-ul industriei a fost estimat la 215 miliarde de dolari, cu 156% mai mare decât în martie 2021. Valoarea blocată și conectată în aceste aplicații DeFi a atras atenția hackerilor rău intenționați, iar cea mai recentă tendință sugerează că atacatorii ar putea avea a găsit o verigă slabă în podurile blockchain.
Potrivit bazei de date Rekt, 1.2 miliarde de dolari în cripto active au fost furate în T1 2022, reprezentând 35.8% din fondurile furate din toate timpurile conform aceleiași surse. Interesant este că cel puțin 80% din activele pierdute în 2022 au fost furate de pe poduri.
Unul dintre cele mai grave atacuri a avut loc acum două săptămâni, când Podul Ronin a fost spart pentru 540 de milioane de dolari. Înainte de asta, Solana Wormhole și podul Qubit Finance al lanțului BNB au fost exploatate pentru mai mult de 400 de milioane de dolari în 2022. Cel mai mare hack din istoria cripto-ului a avut loc în august 2021, când Podul PolyNetwork a fost exploatat pentru 610 milioane USD, deși fondurile furate au fost ulterior returnate.
Podurile sunt unul dintre cele mai valoroase instrumente din industrie, dar natura lor interoperabilă prezintă o provocare importantă pentru proiectele care le construiesc.
Înțelegerea punților Blockchain
În mod analog cu podurile din Manhattan, punțile blockchain sunt platforme care conectează două rețele diferite, permițând un transfer încrucișat de active și informații de la un blockchain la altul. În acest fel, criptomonedele și NFT-urile nu sunt izolate în lanțurile lor native, ci pot fi „conectate” între diferite blockchain-uri, multiplicând opțiunile de utilizare a acestor active.
Datorită punților, Bitcoin este folosit în rețelele bazate pe contracte inteligente în scopuri DeFi, sau un NFT All Day NFL poate fi conectat de la Flow la Ethereum pentru a fi fracționat sau utilizat ca garanție.
Există abordări diferite când vine vorba de transferul de active. După cum sugerează și numele lor, punțile Lock-and-Mint funcționează prin blocarea activelor originale într-un contract inteligent pe partea expeditoare, în timp ce rețeaua de primire bate o replică a jetonului original pe cealaltă parte. Dacă Etherul este legat de Ethereum la Solana, Eterul din Solana este doar o reprezentare „înfășurată” a cripto-ului, nu jetonul propriu-zis.
În timp ce abordarea lock-and-mint este cea mai populară metodă de conectare, există și alte modalități de a finaliza transferul de active, cum ar fi „burn-and-mint” sau schimburile atomice executate automat printr-un contract inteligent pentru a schimba activele între două rețele. Conex (fost xPollinate) și cBridge sunt poduri care se bazează pe schimburi atomice.
Din punct de vedere al securității, punțile pot fi clasificate în două grupe principale: de încredere și fără încredere. Poduri de încredere sunt platforme care se bazează pe o terță parte pentru a valida tranzacțiile, dar, mai important, pentru a acționa ca custozi ai activelor conectate. Exemple de poduri de încredere pot fi găsite în aproape toate podurile specifice blockchain, cum ar fi Binance Bridge, Polygon POS Bridge, WBTC Bridge, Avalanche Bridge, Harmony Bridge, Terra Shuttle Bridge și dapp-uri specifice precum Multichain (fostă Anyswap) sau Tron's Just Cryptos.
În schimb, platformele care se bazează exclusiv pe contracte inteligente și pe algoritmi de custodie a activelor sunt poduri fără încredere. Factorul de securitate în punțile fără încredere este legat de rețeaua de bază unde activele sunt conectate, adică unde activele sunt blocate. Poduri fără încredere pot fi găsite în Podul Curcubeu din NEAR, Solana's Wormhole, Polkadot's Snow Bridge, Cosmos IBC și platforme precum Hop, Connext și Celer.
La prima vedere, ar putea părea că punțile fără încredere oferă o opțiune mai sigură pentru transferul de active între blockchain-uri. Cu toate acestea, atât punțile de încredere, cât și cele fără încredere se confruntă cu provocări diferite.
Limitările podurilor de încredere și fără încredere
Podul Ronin funcționează ca o platformă centralizată de încredere. Acest bridge folosește un portofel multisig pentru custodia activelor conectate. Pe scurt, un portofel multisig este o adresă care necesită două sau mai multe semnături criptografice pentru a aproba o tranzacție. În cazul lui Ronin, sidechain-ul are nouă validatoare care au nevoie de cinci semnături diferite pentru a aproba depunerile și retragerile.
Alte platforme folosesc aceeași abordare, dar diversifică mai bine riscul. De exemplu, Polygon se bazează pe opt validatori și necesită cinci semnături. Cele cinci semnături sunt controlate de diferite partide. În cazul lui Ronin, patru semnături au fost deținute doar de echipa Sky Mavis, creând un singur punct de eșec. După ce hackerul a reușit să controleze cele patru semnături Sky Mavis simultan, a mai fost nevoie de o singură semnătură pentru a aproba retragerea activelor.
Pe 23 martie, atacatorul a câștigat controlul asupra semnăturii lui Axie DAO, piesa finală necesară pentru a finaliza atacul. 173,600 ETH și 25.5 milioane USDC au fost scurse din contractul de custode al lui Ronin în două tranzacții diferite, în al doilea cel mai mare atac criptografic din vreodată. De asemenea, este de remarcat faptul că echipa Sky Mavis a aflat despre hack aproape o săptămână mai târziu, arătând că mecanismele de monitorizare ale lui Ronin erau cel puțin deficitare, dezvăluind un alt defect al acestei platforme de încredere.
În timp ce centralizarea prezintă un defect fundamental, punțile fără încredere sunt predispuse la exploatare din cauza erorilor și vulnerabilităților în software-ul și codificarea lor.
Solana Wormhole, o platformă care permite tranzacții încrucișate între Solana și Ethereum, a suferit o exploatare în februarie 2022, unde Au fost furate 325 de milioane de dolari din cauza unei erori în contractele de custode ale Solanei. O eroare în contractele Wormhole i-a permis hackerului să creeze validatoare încrucișate. Atacatorul a trimis 0.1 ETH de la Ethereum în Solana pentru a declanșa un set de „mesaje de transfer” care a păcălit programul să aprobe un presupus depozit de 120,000 ETH.
Hackul Wormhole a avut loc după Rețea poli a fost exploatat pentru 610 milioane de dolari în august 2021 din cauza unor defecte în taxonomia și structura contractelor. Tranzacțiile cross-chain din această dapp sunt aprobate de un grup centralizat de noduri numite „keepers” și validate pe rețeaua de recepție printr-un contract gateway. În acest atac, hackerul a reușit să obțină privilegii ca deținător și astfel a înșelat poarta de acces prin stabilirea propriilor parametri. Atacatorul a repetat procesul în Ethereum, Binance, Neo și alte blockchain-uri pentru a extrage mai multe active.
Toate podurile duc la Ethereum
Ethereum rămâne cel mai dominant ecosistem DeFi din industrie, reprezentând aproape 60% din TVL-ul industriei. În același timp, creșterea diferitelor rețele ca alternative pentru dapp-urile DeFi ale Ethereum a declanșat activitatea încrucișată a podurilor blockchain.
Cel mai mare pod din industrie este podul WBTC, care este deținut de BitGo, Kyber și Republic Protocol, echipa din spatele RenVM. Deoarece tokenurile Bitcoin nu sunt compatibile din punct de vedere tehnic cu blockchain-urile bazate pe contracte inteligente, puntea WBTC „înfășoară” Bitcoin nativ, îl blochează în contractul de custode al podului și își lansează versiunea ERC-20 pe Ethereum. Acest pod a devenit extrem de popular în vara DeFi și acum deține Bitcoin în valoare de aproximativ 12.5 miliarde de dolari. WBTC permite ca BTC să fie utilizat ca garanție în dapp-uri precum Aave, Compound și Maker sau pentru a genera fermă sau pentru a câștiga interes în mai multe protocoale DeFi.
Multichain, cunoscut anterior ca Anyswap, este o aplicație care oferă tranzacții încrucișate la peste 40 de blockchain-uri cu o punte încorporată. Multichain deține 6.5 miliarde USD în toate rețelele conectate. Cu toate acestea, podul Fantom către Ethereum este de departe cel mai mare pool cu 3.5 miliarde de dolari blocați. În a doua jumătate a anului 2021, rețeaua Proof-of-Stake s-a impus ca o destinație populară DeFi, cu ferme atractive de randament care implică FTM, diverse stablecoins sau wETH precum cele găsite pe SpookySwap.
Spre deosebire de Fantom, majoritatea blockchain-urilor L1 folosesc o punte directă independentă pentru a conecta rețelele. Podul Avalanche este în cea mai mare parte custodiat de Fundația Avalanche și este cel mai mare pod L1<>L1. Avalanche se mândrește cu unul dintre cele mai robuste peisaje DeFi cu aplicații precum Trader Joe, Aave, Curve și Platypus Finance.
Podul Binance se remarcă și cu active blocate de 4.5 miliarde de dolari, urmată îndeaproape de Solana Wormhole cu 3.8 miliarde de dolari. Terra's Shuttle Bridge asigură doar 1.4 miliarde de dolari, în ciuda faptului că este al doilea blockchain ca mărime în ceea ce privește TVL.
În mod similar, soluțiile de scalare precum Polygon, Arbitrum și Optimism sunt, de asemenea, printre cele mai semnificative punți în ceea ce privește activele blocate. Polygon POS Bridge, principalul punct de intrare între Ethereum și sidechain-ul său, este al treilea pod ca mărime, cu aproape 6 miliarde de dolari în custodie. Între timp, lichiditatea în podurile platformelor populare L2, cum ar fi Arbitrum și Optimism, este, de asemenea, în creștere.
Un alt pod demn de menționat este podul Near Rainbow, care își propune să rezolve faimosul trilema de interoperabilitate. Această platformă care conectează Near și Aurora cu Ethereum poate reprezenta o oportunitate valoroasă de a obține securitatea în punți fără încredere.
Îmbunătățirea securității cross-chain
Atât punțile de încredere, cât și cele fără încredere, cele două abordări ale activelor acoperite de custodie, sunt predispuse la deficiențe fundamentale și tehnice. Totuși, există modalități de a preveni și de a diminua impactul cauzat de atacatorii rău intenționați care vizează punțile blockchain.
În cazul podurilor de încredere, este clar că este necesară creșterea raportului de semnatari necesar, păstrând totodată multisig-urile distribuite în diferite portofele. Și chiar dacă punțile fără încredere îndepărtează riscurile legate de centralizare, erorile și alte constrângeri tehnice prezintă situații riscante, așa cum arată exploit-urile Solana Wormhole sau Qubit Finance. Astfel, este necesar să se implementeze acțiuni în afara lanțului pentru a proteja cât mai mult posibil platformele cross-chain.
Este necesară cooperarea între protocoale. Spațiul Web3 este caracterizat de comunitatea sa legată, așa că scenariul perfect ar fi ca cele mai strălucite minți din industrie să lucreze împreună pentru a face spațiul un loc mai sigur. Animoca Brands, Binance și alte mărci Web3 au strâns 150 de milioane de dolari pentru a ajuta Sky Mavis să diminueze impactul financiar al hack-ului lui Ronin. Lucrul împreună pentru un viitor multilanț poate împinge interoperabilitatea la următorul nivel.
De asemenea, coordonarea cu platformele de analiză în lanț și schimburile centralizate (CEX) ar trebui să ajute la urmărirea și semnalarea jetoanelor furate. Această condiție ar putea descuraja infractorii pe termen mediu, deoarece poarta de acces pentru a încasa cripto pentru fiat ar trebui să fie controlată de procedurile KYC în CEX-urile stabilite. Luna trecuta, un cuplu de 20 de ani au fost sancționați legal după ce au înșelat oameni în spațiul NFT. Este corect să ceri același tratament pentru hackerii identificați.
Auditurile și recompensele pentru erori sunt o altă modalitate de a îmbunătăți sănătatea oricărei platforme Web3, inclusiv a podurilor. Organizațiile certificate precum Certik, Chainsafe, Blocksec și multe altele ajută la creșterea siguranței interacțiunilor Web3. Toate podurile active ar trebui să fie auditate de cel puțin o organizație certificată.
Între timp, programele de recompense pentru erori creează o sinergie între proiect și comunitatea acestuia. Hackerii albi joacă un rol vital în identificarea vulnerabilităților înainte ca atacatorii rău intenționați să o facă. De exemplu, Sky Mavis are a lansat recent un program de recompensă pentru erori de 1 milion de dolari pentru a-și consolida ecosistemul.
Concluzie
Creșterea soluțiilor L1 și L2 ca ecosisteme blockchain holistice care provoacă dapps-ul Ethereum a creat nevoia de platforme cross-chain pentru a muta activele între rețele. Aceasta este esența interoperabilității, unul dintre pilonii Web3.
Cu toate acestea, scenariul interoperabil actual se bazează pe protocoale încrucișate mai degrabă decât pe o abordare cu mai multe lanțuri, scenariu despre care Vitalik a ușurat cuvintele de precauție la începutul anului. Necesitatea interoperabilității în spațiu este mai mult decât evidentă. Cu toate acestea, sunt necesare măsuri de securitate mai robuste în acest tip de platformă.
Din păcate, provocarea nu va fi depășită ușor. Atât platformele de încredere, cât și cele fără încredere prezintă defecte în designul lor. Aceste defecte inerente ale lanțului încrucișat au devenit vizibile. Peste 80% din cele 1.2 miliarde de dolari pierdute în hack-uri în 2022 au venit prin poduri exploatate.
În plus, pe măsură ce valoarea în industrie continuă să crească, hackerii devin și mai sofisticați. Atacurile cibernetice tradiționale, cum ar fi atacurile de inginerie socială și phishing, s-au adaptat narațiunii Web3.
Abordarea multichain în care toate versiunile de token sunt native pentru fiecare blockchain este încă departe. Prin urmare, platformele cross-chain trebuie să învețe din evenimentele anterioare și să-și consolideze procesele pentru a reduce cât mai mult posibil numărul de atacuri de succes.
Citiți postarea originală pe Sfidătorul
- "
- $3
- $ 400 milioane
- 000
- 2021
- 2022
- Despre Noi
- Conform
- Contabilitate
- peste
- act
- acțiuni
- activ
- activitate
- plus
- adresa
- algoritmi
- TOATE
- printre
- sumă
- Google Analytics
- O alta
- abordare
- aproba
- în jurul
- activ
- Bunuri
- Swap-uri swap
- August
- Avalanşă
- fundal
- deveni
- fiind
- Miliard
- binance
- Bitcoin
- BitGo
- blockchain
- blockchains
- BNB
- se mândreşte cu
- frontieră
- marci
- POD
- BTC
- Bug
- gandaci
- Clădire
- construit-in
- capacități
- Bani gheata
- cauzată
- centralizat
- Certificate
- lanţ
- contesta
- provocări
- provocare
- Codificare
- cum
- comunitate
- Compus
- condiție
- legat
- contract
- contracte
- Control
- Cosmos
- Cuplu
- a creat
- Crearea
- criminali
- critic
- Cross-Chain
- cripto
- Industria criptelor
- cryptocurrencies
- criptografic
- Curent
- curba
- Custodie
- atacuri cibernetice
- Dapp
- DApps
- Baza de date
- zi
- DEFI
- Amenajări
- În ciuda
- valută
- diferit
- direcționa
- distribuite
- cu ușurință
- ecosistem
- ecosistemele
- permițând
- Inginerie
- CEC-20
- esenţă
- stabilit
- estimativ
- ETH
- Eter
- ethereum
- evenimente
- Platforme de tranzacţionare
- Exploata
- Față
- Eșec
- echitabil
- fermă
- ferme
- Taxe
- Decret
- finanţa
- financiar
- First
- defect
- defecte
- debit
- găsit
- Fundație
- Fondurile
- viitor
- GAS
- comisioane pentru gaz
- obtinerea
- ochire
- grup
- hack
- hacker
- hackeri
- hacks
- Armonie
- având în
- Sănătate
- ajutor
- superior
- istorie
- deține
- Cum
- HTTPS
- identificarea
- Impactul
- punerea în aplicare a
- important
- Inclusiv
- crescând
- industrie
- industria
- informații
- interconectarea
- interes
- Interoperabilitate
- IT
- în sine
- păstrare
- cunoscut
- KYC
- Procedurile KYC
- cea mai mare
- Ultimele
- a lansat
- conduce
- AFLAȚI
- Nivel
- LINK
- Lichiditate
- blocat
- Broaste
- producător
- MakerDao
- gestionate
- Martie
- măsuri
- milion
- Monitorizarea
- Lună
- mai mult
- cele mai multe
- Cel mai popular
- muta
- multiplu
- multisemn
- Natură
- În apropiere
- necesar
- NEO
- reţea
- rețele
- NFL
- NFT
- NFT-uri
- noduri
- număr
- oferi
- promoții
- Oportunitate
- Opțiune
- Opţiuni
- organizație
- organizații
- Altele
- propriu
- oameni
- Perfect
- Phishing
- atacuri de phishing
- bucată
- platformă
- Platforme
- Joaca
- Punct
- Poligon
- piscină
- Popular
- PoS
- posibil
- prezenta
- proces
- procese
- Program
- Programe
- proiect
- Proiecte
- Dovada-de-stake
- proteja
- protocol
- protocoale
- scopuri
- Q1
- reduce
- Republică
- necesar
- Risc
- Riscurile
- Riscant
- RONIN
- scalare
- sigur
- securitate
- serios
- set
- instalare
- Pantaloni scurți
- catenă laterală
- semnificativ
- inteligent
- contract inteligent
- Contracte inteligente
- zăpadă
- So
- Social
- Inginerie sociala
- Software
- suntrap
- soluţii
- REZOLVAREA
- sofisticat
- Spaţiu
- Stablecoins
- Standuri
- Începe
- furate
- de succes
- de vară
- apare
- echipă
- Tehnic
- Pământ
- Prin
- legat
- timp
- împreună
- semn
- indicativele
- Unelte
- comerciant
- tradiţional
- tranzacție
- Tranzacții
- transfer
- transferare
- tratament
- unic
- USDC
- utilizare
- folosi
- valoare
- diverse
- Vulnerabilitățile
- Portofel
- Portofele
- WBTC
- Web3
- săptămână
- în timp ce
- retragere
- în
- cuvinte
- Apartamente
- de lucru
- valoare
- ar
- an
- Randament
