Подавляющее большинство криптовалют, потерянных в результате взлома в этом году, было украдено из мостов, технологии, которая позволяет пользователям передавать цифровые активы между блокчейнами.
Причины ясны: мосты сложны, что дает злоумышленникам больше возможностей для использования.
Более того, они обеспечивают единую точку отказа: смарт-контракт, удерживающий деньги пользователя на условном депонировании, в то время как «переданные» токены — по сути долговые расписки — используются в цепочке назначения.
Необычный ход
Поэтому исследователи L2 Beat были удивлены, когда они изучили Multichain, промежуточную платформу с заблокированной общей стоимостью 1 миллиард долларов, и обнаружили очевидную угрозу изнутри.
По данным L2 Beat, исследовательского проекта, который анализирует пространство блокчейна уровня 2, Multichain перевела миллионы пользовательских средств с условного депонирования, чтобы обеспечить ликвидность в другом месте своей сети.
«Это деньги пользователей, так что либо это согласовано с пользователями в этой цепочке, либо они нарушили социальный контракт с пользователями», — сказал The Defiant Бартек Кепушевски, исследователь L2 Beat.
Это деньги пользователей, так что либо это согласовано с пользователями в этой цепочке, либо они нарушили социальный контракт с пользователями.
Бартек Кепушевски
По словам Кипушевского, хотя перевод токенов из условного депонирования можно увидеть в цепочке, куда в конечном итоге эти токены ушли, остается загадкой.
Multichain утверждает, что токены использовались для обеспечения ликвидности в других местах ее сети, но размер этой сети означает, что подтверждение заявлений чрезвычайно сложно для небольшой команды, такой как L2 Beat.
Майкл Левеллен, руководитель отдела решений в компании Open Zeppelin, занимающейся криптографической безопасностью, сказал, что такая практика действительно проблематична.
«Если нет четкого способа определить, что активы, на которые претендует мост, не находятся где-то, что поддается публичной проверке, я бы определенно заявил об этом как о конкретной проблеме для моста», — сказал Левеллен The Defiant.
Утверждения L2 ставят под сомнение поведение и методы безопасности в организации, ответственной за более чем 1 миллиард долларов в виде пользовательских средств. Multichain связывает десятки блокчейнов и поддерживает тысячи токенов. Подтверждение того, что у Multichain все еще есть эта криптовалюта — что она не была украдена или проиграна в протоколах DeFi, — было бы геркулесовой задачей.
Свежее сомнение
Кроме того, обвинения могут вызвать новые сомнения в технологии мостов, которые в этом году сильно пострадали от рук хакеров.
Согласно эксплойту Ректа, в этом году произошло три из пяти крупнейших взломов в истории криптовалют, и каждый из них был взломом моста. лидеров. Из сети Ronin было изъято более 600 миллионов долларов. Почти 600 миллионов долларов было снято с моста Binance. С моста Червоточины было снято более 300 миллионов долларов.
Multichain не ответила на многочисленные запросы о комментариях, отправленные по контактному адресу электронной почты, указанному на ее веб-сайте.
Предположения безопасности
Эпизод подчеркивает роль, которую L2 играет в тщательном изучении пространства масштабирования блокчейна. Когда создатель протокола кредитования рассматривал возможность расширения до блокчейнов уровня 2, таких как Optimism и Arbitrum, ему нужно было лучше понять, как работают эти блокчейны.
Последующий проект в конечном итоге отделился от Maker и стал L2 Beat — веб-сайтом, на котором перечислены бесчисленные блокчейны уровня 2, суммы денег, которые они держат, и предположения о безопасности, которые они делают.
[Встраиваемое содержимое]
В этом месяце проект расширился за счет запуска панели управления протоколами моста. Помимо Multichain, второго по величине бридж-протокола в мире, команда L2 Beat добавила небольшой желтый щит с восклицательным знаком, предупреждая пользователей о предполагаемом нарушении.
«Каждый мост работает более или менее одинаково, — объяснил Кипустевски. «Вы отправляете токены на адрес, и [новые] токены будут чеканиться валидаторами в целевом [блокчейне]. Если вы хотите вернуться, происходит обратное, поэтому вы сжигаете токены в пункте назначения, а валидаторы должны выпустить токены с того адреса условного депонирования, на который вы изначально отправили токены».
Сеть ликвидности
Мостовые протоколы, которые не могут чеканить новые токены в цепочке назначения, вместо этого используют метод «сети ликвидности». Поставщики ликвидности размещают токены в пулах ликвидности в цепочке назначения. Эти токены доступны пользователям, которые подключаются к этой цепочке блоков, и они возвращаются в пул, когда пользователи моста выходят в свою исходную цепочку.
По словам L2 Beat, мультичейн, который имеет мосты к десяткам блокчейнов, является гибридом. В некоторых случаях он выпускает токены. В других он использует пулы ликвидности.
Согласно исследованию Кипушевски, валидаторы Multichain вытащили почти 80 миллионов долларов в стейблкоинах и 300 биткойнов из контракта условного депонирования, оставив в цепочке назначения больше криптовалюты, чем осталось в контракте.
Кипушевски сказал, что связался с Multichain, и представители сказали ему, что криптовалюта использовалась для обеспечения пулов ликвидности в разных цепочках.
Эфир достигает шестинедельного максимума, так как высокие доходы стимулируют ралли фондового рынка
Токены уровня 1 лидируют
«Они утверждают, что, по их мнению, это не проблематично, потому что деньги по-прежнему находятся в экосистеме Multichain, и пользователи, по их мнению, всегда должны иметь возможность вывести необходимую им сумму», — сказал Кепушевски. Но выполнение аудита «теперь становится чрезвычайно сложным, потому что вам нужно проанализировать всю экосистему Multichain, верно?»
Льюэллен из Open Zeppelin согласился. «Даже для сетей ликвидности», — сказал он. «По крайней мере, есть способ взглянуть на разные пулы [поставщиков ликвидности] и разные цепочки и определить, что общие активы, выпущенные мостом, совпадают с некоторым пулом ликвидности в другом месте».
Льюэллен и Кипушевски заявили, что информационная панель, показывающая путь, по которому идут их средства, будет иметь большое значение для снятия опасений по поводу движения криптовалюты пользователей.
Уязвимости программного обеспечения
Это также добавляет новый нюанс при оценке того, является ли Multichain безопасным местом для размещения денег. Как правило, аудит подтверждает наличие каких-либо уязвимостей в программном обеспечении. Теперь пользователи должны также задаться вопросом, можно ли самому Multichain доверять свои деньги, сказал Кипушевски.
Даже если средства находятся на ответственном хранении, своевременный доступ к ним может быть затруднен. И это создает свои проблемы, по словам Льюэллена, который указал на тот факт, что в мосту Multichain Fantom, по-видимому, меньше Dai, чем токенов Dai, отчеканенных Multichain, на Fantom.
Нет ясности
По данным L52 Beat, более 1 миллионов долларов Dai, подключенных к Fantom, блокчейну уровня 2, якобы были сняты с условного депонирования валидаторами Multichain.
Если бы Dai потерял свою привязку к доллару США, а люди с Dai на Fantom захотели бы обменять этот Dai на доллары, они могли бы потерять значительную сумму денег за время, необходимое для обнаружения и перевода Dai, который должен был быть в условное депонирование, по словам Льюэллена.
«Не то чтобы это произошло сегодня, но это может произойти, если эти факторы выстроятся не очень благоприятным образом для Multichain, — сказал он, — и я думаю, что в конечном счете именно из-за этого и возникает беспокойство. Просто нет ясности в отношении того, как Multichain справляется с этим риском».
- Bitcoin
- блокчейн
- соответствие блокчейна
- блочная конференция
- coinbase
- Coingenius
- Консенсус
- криптоконференция
- криптодобыча
- криптовалюта
- децентрализованная
- Defi
- Цифровые активы
- Эфириума
- обучение с помощью машины
- невзаимозаменяемый токен
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платоблокчейн
- ПлатонДанные
- платогейминг
- Polygon
- Доказательство доли
- Вызывающий
- W3
- зефирнет
