„Web3“ nebus įprastas, kol nebus vientisa „blockchain“ integracija: su vis daugiau tiltų atakų, ką tai reiškia?

Dar 2022 metų kovo mėnesį kriptovaliutų tinklas Ronin atskleidė, kad jis tapo vieno didžiausių visų laikų įsilaužimų auka, patyręs pažeidimą, kuris leido užpuolikams pavogti daugiau nei 540 mln vertės Ethereum ir USD monetų. Įvykio metu įsilaužėliai pasinaudojo paslaugos, žinomos kaip Ronino tiltas, pažeidžiamumu. Tai viena iš daugelio sėkmingų atakų prieš „blockchain tiltus“, kurios pastaruoju metu atkreipė dėmesį į jiems būdingą saugumo neefektyvumą.

Blockchain tiltai, kartais vadinami tinklo tiltais, yra paslaugos, leidžiančios kriptovaliutų turėtojams perkelti savo skaitmeninį turtą iš vienos blokų grandinės į kitą. Jie atlieka svarbų vaidmenį, nes kriptovaliutos dažnai yra nutildytos ir nesuderinamos, o tai reiškia, kad, pavyzdžiui, galite siųsti Bitcoin Ethereum piniginės adresu. Dėl šios tylios prigimties tiltai tapo pagrindiniu kriptovaliutų ekonomikos mechanizmu.

Tilto paslaugos iš tikrųjų neperkelia vienos rūšies skaitmeninio turto į kitą grandinę. Atvirkščiai, tai, ką jie daro, yra „apvynioti“ kriptovaliutų žetonus, kad paverstų juos nauju turtu kitoje grandinėje. Taigi, jei vartotojas nori sujungti „Bitcoin“ su Solana, tiltas iš esmės užšaldys pradinį BTC, užrakindamas jį piniginės adresu, prieš išspjaunant vadinamąjį suvyniotą BTC (WBTC), kurį galima naudoti antroje grandinėje. Tai gali būti laikoma lygiai tokią pat piniginę vertę suteikiančia dovanų kortele, kurią galima panaudoti tik konkrečioje parduotuvėje.

Dėl savo veikimo būdo tiltai turi didelius kriptovaliutų žetonų rezervus, kurie yra užrakinti išmaniosiose sutartyse, ir dėl šių rezervų jie yra ypač patrauklūs įsilaužėliams.

Kaip kriptovaliutų žinovai labai gerai žino, bet kokia grandinėje laikoma vertė gali būti atakuojama bet kuriuo paros metu. Internetas niekada neprisijungs, o tai reiškia, kad prie bet kurio tilto laikomus žetonus visada galima pasiekti.

Roninas Hackas rodo centralizacijos pavojų

 Ataka prieš Ronin tinklą buvo viena didžiausių visų laikų DeFi vagysčių, vertinant pagal dolerio vertę. „Ronin“ yra „Ethereum“ šoninė grandinė, leidžianti atlikti pigesnes operacijas daug didesniu greičiu nei pagrindinis tinklas. Tai buvo populiaraus kriptovaliutų žaidimo „žaisti ir uždirbti“ tiltas „Axie Infinity“, ty jis nuolat apdorodavo milijonus dolerių kriptovaliutų ir stabiliomis monetomis.

Sidechains yra blokų grandinės mastelio keitimo sprendimas, kuriam reikalingas tiltas, norint prisijungti prie kitų grandinių. Naudodami „Ronin“, vartotojai gali užrakinti savo ETH ir supakuotą ETH alternatyviuose tinkluose. Sandoriai apdorojami ir patvirtinami naudojant įgaliojimų patvirtinimo konsensuso algoritmą. Taikant šį modelį, 5 iš 9 tikrintojų turi susitarti dėl sandorio, kad būtų pasiektas sutarimas. Tačiau keturis „Ronin“ patvirtinimo įrenginius valdė viena įmonė – „Ronin“ kūrėjas „Sky Mavis“.

Tai buvo labai centralizuota sąranka, kurią lėmė „Axie Dao“ sprendimas 2021 m. lapkritį sukurti RPC mazgą be dujų, kad būtų galima ištaisyti tinklo perkrovą. DAO įtraukė Sky Mavis raktus, leidžiančius pasirašyti sandorius jo vardu. Tai turėjo būti tik laikina tvarka, tačiau leidimų sąrašas niekada nebuvo atšauktas. Tai sukūrė angą užpuolikams, kurie, kaip teigiama, yra Šiaurės Korėjos remiama „Lazarus Group“, naudojo socialinės inžinerijos metodus, kad sukompromituotų keturis „Sky Mavis“ raktus. Tada įsilaužėliai aptiko RPC kodo pažeidžiamumą, suteikdami jam galimybę valdyti penktąjį tikrintuvą ir neteisėtai išsiimti.

Pagrindinė problema buvo ta, kad Ronin kelių parašų sistema, skirta pasirašyti sandorius, buvo pažeista dėl decentralizacijos trūkumo. Tai iliustruoja saugumo mechanizmų silpnumą, kai didžioji valdymo dalis yra sutelkta vieno subjekto rankose.

Išmaniųjų sutarčių pažeidžiamumas išlieka

 „Ronin“ įsilaužimas nebuvo vienkartinis, o tik naujausias iš virtinės didelio atgarsio sulaukusių atakų prieš „blockchain“ tiltus, dėl kurių buvo prarasta milijonų dolerių vertės vertė. Mėnesį anksčiau užpuolikai sėkmingai atsikratė maždaug 80 milijonų dolerių vertės Ethereum po atakos prieš Kubito tiltą.

Tai „Qubit Finance“ platformos valdoma paslauga, leidžianti vartotojams skolinti ir skolintis skaitmeninį turtą „Ethereum“ ir „Binance Smart Chain“ tinkluose. Pavyzdžiui, tai leidžia įnešti ERC-20 žetoną ir mainais gauti BEP-20 monetą, kurią vėliau galima naudoti Binance grandinėje.

„Qubit Bridge“ buvo nulaužtas dėl, kaip teigiama, „loginės klaidos“ jo išmaniosios sutarties kode. Dėl pažeidžiamumo įsilaužėlis galėjo manipuliuoti tiltu naudojant kenkėjiškus duomenis, todėl jis arba ji galėjo atsiimti BSC žetonus, neįnešdamas įnašo į Ethereum. An išpuolio skrodimas nustatė, kad QBridge išmaniojoje sutartyje nebuvo tinkamai patikrinta, ar užrakintas reikiamas ETH kiekis. Vietoj to, įsilaužėlis sugebėjo parodyti netikrą neegzistuojančio indėlio įrodymą.

Šis incidentas parodė, kaip išmaniųjų sutarčių pažeidžiamumas išlieka nuolatine „DeFi“ problema, ypač „blockchain“ tiltų atveju. Didžioji dauguma tilto atakų yra nukreiptos į išmaniųjų sutarčių klaidas, kurios yra automatizuotos sutartys, kurios savaime vykdomos, kai įvykdomos tam tikros sąlygos.

Tiltai yra raktas į kriptovaliutų pasiekiamumą

 Nuo tada, kai pradėjo populiarėti besiformuojanti pramonė, kriptovaliutų platformos patiria begalinį atakų srautą. „DeFi“ šalininkai teigia, kad ji gali būti prieinamesnė ir teisingesnė alternatyva tradicinėms finansinėms paslaugoms, tačiau erdvėje vystantis, ji patyrė gaisro išbandymą. Išpuoliai prieš tiltus tapo tokie pat įprasti kaip kriptovaliutų keitimas ir DeFi protokolų vagystės. Problema ta, kad tiltai, kaip mainai ir protokolai, yra didelės vertės platformos, turinčios milžinišką vertę, ir bet kuri iš jų gali būti pažeidžiama pagrindinio kodo klaidų.

Yra plačiai paplitęs įsitikinimas, kad kriptovaliutos ir DeFi niekada nebus plačiai pritaikytos be tinkamo atakų rizikos sprendimo. Didžiąją pasaulio vertės dalį turi instituciniai investuotojai, tokie kaip investiciniai bankai ir dideli rizikos draudimo fondai. Tokios organizacijos teikia pirmenybę reikalavimų laikymuisi ir savo lėšų saugumui viršijant bet kokį galimą pelną. Taigi vargu ar DeFi ir kriptovaliutų taps kur kas daugiau nei nišinė investicijų industrija, kol nebus išspręstos jos saugumo problemos.

Ypatingą reikšmę turi tilto saugumas. Užblokuotas blokų grandinių pobūdis yra rimta kliūtis, kuri riboja bet kokios decentralizuotos programos pasiekiamumą. Ethereum sukurta dApp negali kalbėtis su kitais, remdamasi skirtingomis blokų grandinėmis. Jis negali sudaryti sandorių su Bitcoin, vertingiausia ir plačiausiai naudojama kriptovaliuta pasaulyje, o tai reiškia, kad BTC turėtojai neturi būdo bendrauti su DeFi ekosistema. Jei kriptovaliuta kada nors taps visur paplitusi, vartotojai turi turėti saugų būdą bendrauti su skirtingomis grandinėmis.

Statyti geresnius tiltus

 Geros naujienos yra tai, kad pramonėje yra žmonių, kurie pripažįsta saugaus „blockchain“ ryšio svarbą. Viena įdomi perspektyva yra „AllianceBlock“ daug žadantis Aljanso tiltas, kuris palaiko pagrindinius tinklus, įskaitant „Ethereum“, „Binance Smart Chain“, „Avalanche“, „Polygon“, „Arbirtrum“, „Optimism“ ir „Energy Web“ su unikalia infrastruktūra, kuri yra labiau decentralizuota ir užtikrina greitesnį bei saugesnį veikimą.

Skirtingai nuo centralizuotų tiltų, kurie remiasi vienu ar tik keliais subjektais, kad patikrintų, ar sandoriai yra teisėti, decentralizuoti tiltai yra pagrįsti tais pačiais principais kaip ir pati blokų grandinė. Yra daug operatorių, kurie naudoja gerai struktūrizuotus konsensuso mechanizmus, kad nustatytų operacijų pagrįstumą. „AllianceBridge“ yra decentralizuotas tiltas, sukūręs unikalų metodą, užtikrinantį sutarimą.

Kaip ir kiti, „AllianceBridge“ užrakina gautus žetonus į išmaniąją sutartį ir tada išduoda supakuotus žetonus tikslinėje blokų grandinėje. Tie supakuoti žetonai egzistuos antroje grandinėje tol, kol vartotojas nuspręs juos išpirkti pradiniame tinkle. Tuo metu suvynioti žetonai sudeginami, o tai reiškia, kad jie nustoja egzistuoti, o originalūs žetonai gimtojoje grandinėje atrakinami.

„AllianceBridge“ skiriasi tuo, kad jame naudojamas su EVM suderinamas tiltų operatorių tinklas. Be to, jis naudoja tvirtą trečiosios šalies galimybes Hedera Hashgraph konsensuso tarnyba kuri yra pagrįsta naujoviškuapkalbos-apkalbos“ konsensuso algoritmas.

Naudodamiesi HCS paslauga, blokų grandinės programos ir tinklai gali siųsti pranešimus į Hedera viešąją knygą, kur jie yra visiškai skaidriai pažymėti laiko žyma ir užsakyti. Tai leidžia „AllianceBridge“ pasiekti sutarimą nepalaikant sinchronizavimo tarp tilto operatorių. Tai reiškia greitesnį veikimą ir aukštą decentralizacijos laipsnį, o HCS suteikia papildomą pasitikėjimo sluoksnį, dėl kurio tiltas tampa saugesnis.

„AllianceBridge“ išmaniosios sutartys, kurios naudojamos užrakinti originalų turtą ir kaldinti bei sudeginti suvyniotus žetonus, suteikia dar daugiau užtikrintumo. Visa išmaniųjų sutarčių kodų bazė buvo parašyta taip, kad atitiktų EIP-2535 standartą ir taip buvo visiškai audituotas Omniscia. Audito metu „Omniscia“ atkreipė dėmesį į daugybę galimų problemų, kurias „AllianceBlock“ operatyviai pašalino prieš pradedant naudoti kodą.

„AllianceBridge“ saugumas ir patikimumas suvaidino pagrindinį vaidmenį plečiant „AllianceBlock“ „DeFi“ pasiūlymų rinkinio naudingumą, įskaitant „DeFi“ terminalas, kuris suteikia projektams paprastą būdą pradėti likvidumo gavybos ir investavimo kampanijas keliuose palaikomuose tinkluose ir dApps. Naudodama saugų „blockchain“ sąveikos protokolą „AllianceBlock“ kuria tvirtą pagrindą, kurio reikia turtingai, tarpusavyje sujungtai Web3 ekosistemai, kad ji galėtų augti ir vystytis.

- Skelbimas -