Phần lớn tiền điện tử bị mất vì hack trong năm nay đã bị đánh cắp từ cầu nối, công nghệ cho phép người dùng chuyển tài sản kỹ thuật số giữa các blockchains.
Lý do rất rõ ràng: Cầu rất phức tạp, tạo cho những kẻ tấn công nhiều con đường hơn để khai thác.
Hơn nữa, chúng cung cấp một điểm thất bại duy nhất: một hợp đồng thông minh giữ tiền của người dùng trong ký quỹ trong khi các mã thông báo “đã chuyển” - về cơ bản là IOU - được sử dụng trên chuỗi đích.
Di chuyển bất thường
Vì vậy, các nhà nghiên cứu tại L2 Beat đã rất ngạc nhiên khi họ đào sâu vào Multichain, một nền tảng cầu nối với tổng giá trị là 1 tỷ đô la bị khóa và nhận thấy mối đe dọa rõ ràng từ bên trong.
Theo L2 Beat, một dự án nghiên cứu phân tích không gian blockchain lớp 2, trong một động thái bất thường, Multichain đã chuyển hàng triệu tiền của người dùng từ ký quỹ để cung cấp thanh khoản ở những nơi khác trong mạng của mình.
Bartek Kiepuszewski, một nhà nghiên cứu tại L2 Beat, nói với The Defiant: “Đó là tiền của người dùng, vì vậy điều này được thỏa thuận với người dùng trong chuỗi này, hoặc họ đã phá vỡ hợp đồng xã hội với người dùng.
Đó là tiền của người dùng, vì vậy điều này được thỏa thuận với người dùng trong chuỗi này hoặc họ đã phá vỡ hợp đồng xã hội với người dùng.
Bartek Kiepuszewski
Theo Kiepuszewski, mặc dù việc chuyển các mã thông báo từ ký quỹ có thể được nhìn thấy trên chuỗi, nhưng các mã thông báo đó cuối cùng đã đi đến đâu là một bí ẩn, theo Kiepuszewski.
Multichain tuyên bố các mã thông báo được sử dụng để cung cấp thanh khoản ở những nơi khác trên mạng của mình, nhưng quy mô của mạng đó có nghĩa là việc xác nhận các tuyên bố là cực kỳ khó khăn đối với một nhóm nhỏ như L2 Beat.
Michael Lewellen, người đứng đầu bộ phận giải pháp tại công ty bảo mật tiền điện tử Open Zeppelin, cho biết thực tế này thực sự có vấn đề.
“Nếu không có cách nào rõ ràng để xác định rằng các tài sản mà cây cầu đòi lại không hiện diện ở một nơi nào đó có thể xác minh công khai, tôi chắc chắn sẽ nói rằng đó là một mối quan tâm cụ thể đối với cây cầu,” Lewellen nói với The Defiant.
Các cáo buộc của L2 đặt ra câu hỏi về hành vi và thực tiễn bảo mật tại một tổ chức chịu trách nhiệm về hơn 1 tỷ đô la tiền của người dùng. Multichain kết nối với hàng chục chuỗi khối và hỗ trợ hàng nghìn mã thông báo. Việc xác nhận Multichain vẫn có tiền điện tử đó - rằng nó chưa bị đánh cắp hoặc bị đánh bạc trong các giao thức DeFi - sẽ là một nhiệm vụ cực kỳ nghiêm trọng.
Nghi ngờ mới
Hơn nữa, các cáo buộc có thể làm dấy lên nghi ngờ mới về công nghệ cầu nối, vốn đã bị thiệt hại rất lớn dưới bàn tay của các tin tặc trong năm nay.
Ba trong số năm vụ hack lớn nhất trong lịch sử tiền điện tử đã xảy ra trong năm nay và mỗi vụ trong số đó là một vụ hack cầu nối, theo khai thác của Rekt bảng dẫn. Hơn 600 triệu đô la đã được lấy từ Mạng Ronin. Gần 600 triệu đô la đã được lấy từ một cầu nối Binance. Hơn 300 triệu đô la đã được lấy từ cầu Wormhole.
Multichain đã không trả lời nhiều yêu cầu bình luận được gửi qua địa chỉ email liên hệ được liệt kê trên trang web của mình.
Các giả định về bảo mật
Tập phim nêu bật vai trò của L2 trong việc xem xét kỹ lưỡng không gian mở rộng quy mô blockchain. Khi Maker giao thức cho vay đang cân nhắc xem có nên mở rộng sang các blockchains Lớp 2 như Optimism và Arbitrum hay không, nó cần phải hiểu rõ hơn về cách các blockchains đó hoạt động.
Dự án tiếp theo cuối cùng đã tách khỏi Maker và trở thành L2 Beat - một trang web liệt kê vô số blockchains Lớp 2, số tiền họ nắm giữ và các giả định bảo mật mà họ đưa ra.
[Nhúng nội dung]
Trong tháng này, dự án đã mở rộng với việc ra mắt một bảng điều khiển cho các giao thức cầu nối. Bên cạnh Multichain, giao thức cầu nối lớn thứ hai thế giới, nhóm L2 Beat đã gắn thêm một tấm chắn nhỏ màu vàng có dấu chấm than, cảnh báo người dùng về sự không phù hợp bị nghi ngờ.
“Mọi cây cầu đều hoạt động theo cùng một cách,” Kiepuszewski giải thích. “Bạn gửi mã thông báo đến một địa chỉ và mã thông báo [mới] sẽ được người xác thực trên [blockchain] đích. Nếu bạn muốn quay trở lại, điều ngược lại sẽ xảy ra, vì vậy bạn ghi mã thông báo tại điểm đến và người xác thực sẽ giải phóng mã thông báo từ địa chỉ ký quỹ mà bạn đã gửi mã thông báo ban đầu. ”
Mạng thanh khoản
Các giao thức cầu nối không thể tạo ra các mã thông báo mới trên chuỗi đích thay vào đó sử dụng phương pháp "mạng thanh khoản". Các nhà cung cấp thanh khoản ký gửi mã thông báo trong các nhóm thanh khoản trên chuỗi đích. Những mã thông báo đó có sẵn cho những người dùng làm cầu nối với chuỗi khối đó và chúng được trả lại cho nhóm khi người dùng cầu nối rút về chuỗi gốc của họ.
Multichain, có cầu nối với hàng chục blockchains, là một dạng lai, theo L2 Beat. Trong một số trường hợp, nó tạo ra các mã thông báo. Ở những nơi khác, nó sử dụng các bể thanh khoản.
Theo nghiên cứu của Kiepuszewski, những người xác thực Multichain đã thu được gần 80 triệu đô la tiền ổn định và 300 Bitcoin từ một hợp đồng ký quỹ, để lại nhiều tiền điện tử hơn trên chuỗi đích so với số tiền còn lại trong hợp đồng.
Kiepuszewski cho biết anh đã liên hệ với Multichain và các đại diện nói với anh rằng tiền điện tử đã được sử dụng để cung cấp các nhóm thanh khoản trên các chuỗi khác nhau.
Ether đạt mức cao nhất trong sáu tuần do thu nhập mạnh mẽ Cuộc đua thị trường chứng khoán nhiên liệu
Mã thông báo lớp 1 dẫn đầu khoản phí
“Theo quan điểm của họ, điều này không có vấn đề, vì tiền vẫn nằm trong hệ sinh thái Multichain và người dùng, theo quan điểm của họ, luôn có thể rút số tiền họ cần,” Kiepuszewski nói. Nhưng thực hiện kiểm toán “bây giờ trở nên cực kỳ phức tạp, vì bạn phải phân tích toàn bộ hệ sinh thái Multichain, phải không?”
Mở Zeppelin's Lewellen đã đồng ý. “Ngay cả đối với các mạng thanh khoản,” ông nói. “Ít nhất có một cách để xem xét các nhóm [nhà cung cấp thanh khoản] khác nhau và các chuỗi khác nhau và xác định rằng tổng thể tài sản do một cầu nối phát hành khớp với một số nhóm thanh khoản ở nơi khác.”
Lewellen và Kiepuszewski đều cho biết một bảng điều khiển hiển thị lộ trình các khoản tiền của họ đang thực hiện sẽ đi một chặng đường dài hướng tới việc giảm bớt lo ngại về sự chuyển động của tiền điện tử của người dùng.
Lỗ hổng phần mềm
Nó cũng thêm một nếp nhăn mới khi đánh giá liệu Multichain có phải là nơi an toàn để gửi tiền của một người hay không. Thông thường, một cuộc kiểm tra sẽ xác nhận xem có bất kỳ lỗ hổng phần mềm nào hay không. Giờ đây, người dùng chắc hẳn cũng tự hỏi liệu bản thân Multichain có thể được tin tưởng bằng tiền của họ hay không, Kiepuszewski nói.
Ngay cả khi các khoản tiền được giữ an toàn, việc truy cập chúng kịp thời có thể khó khăn. Và điều đó đưa ra các vấn đề riêng của nó, theo Lewellen, người đã chỉ ra thực tế rằng dường như có ít Dai trong cầu Fantom của Multichain hơn là có ít token Dai do Multichain đúc trên Fantom.
Không rõ ràng
Hơn 52 triệu đô la Dai đã kết nối với Fantom, một chuỗi khối lớp 1, đã bị các nhà xác nhận Multichain loại bỏ khỏi ký quỹ, theo L2 Beat.
Nếu Dai bị mất chốt với Đô la Mỹ và những người có Dai trên Fantom muốn đổi Dai đó lấy USD, họ có thể mất một số tiền đáng kể trong thời gian cần thiết để xác định vị trí và chuyển Dai mà lẽ ra phải có theo Lewellen.
“Không phải điều này sẽ xảy ra ngày hôm nay, nhưng nó có thể xảy ra nếu những yếu tố này sắp xếp theo hướng không thuận lợi cho Multichain,” ông nói, “và tôi nghĩ cuối cùng thì mối quan tâm này xuất phát từ đâu. Nó chỉ là không có sự rõ ràng về cách Multichain đang quản lý rủi ro này. "
- Bitcoin
- blockchain
- tuân thủ blockchain
- hội nghị blockchain
- coinbase
- thiên tài
- Sự đồng thuận
- hội nghị tiền điện tử
- khai thác crypto
- cryptocurrency
- Phân quyền
- Defi
- Tài sản kỹ thuật số
- ethereum
- học máy
- mã thông báo không thể thay thế
- plato
- Plato ai
- Thông tin dữ liệu Plato
- khối chuỗi trung tâm
- PlatoDữ liệu
- Platogaming
- Polygon
- bằng chứng cổ phần
- Kẻ thách thức
- W3
- zephyrnet
