Decentralizuoti finansai (DeFi) galėjo tapti įdomia blokų grandinės ekosistemos kategorija, tačiau dėl vis dar besiformuojančios padėties daugelis dalyvių susiduria su rizika, kylančia dėl šios labiau demokratizuotos finansinių paslaugų kartojimo.
Naujausias Wormhole, blokų grandinės tilto tarp Solana ir Ethereum, išnaudojimas pabrėžia trūkumus, kurie ir toliau atsiranda ir daro įtaką DeFi vartotojams. Kalbant apie kontekstą, 325 milijonų dolerių įsilaužimas iš tikrųjų buvo klaidingos logikos tilto programavimo rinkinyje, skirto naujinimui, rezultatas.
Paprastai operacijai, kuri eina per Wormhole į Solaną, reikalingas galiojantis operacijos parašas ir globėjas (patvirtintas patvirtinimo mazgas). Jei tenkinamos šios dvi sąlygos, sandorių užklausos patvirtinamos. Neteisingo sandorio parašo ir galiojančio globėjo atveju neįvykdomos būtinos operacijos inicijavimo sąlygos, todėl Solana atmeta šį prašymą. Tačiau užuot pateikęs netinkamas sąlygas, kai buvo neteisingas operacijos parašas ir galiojantis globėjas, įsilaužėlis panaudojo netinkamą parašą ir ne globėją, taip sukurdamas dvi nepatvirtintas sąlygas.
Kadangi reikia dviejų galiojančių sąlygų, kad sudarytų „atitiktį“, kad būtų priimtos operacijos užklausos, o dvi netinkamos sąlygos taip pat gali būti laikomos „atitikimu“ pagal esamą sistemos logiką, tai leido įsilaužėliui „Solana“ nukaldinti supakuotą „Ethereum“ (wETH). . Nereikėjo įnešti 120,000 120,000 ETH į deponavimo sąskaitą, įsilaužėlis nukaldino XNUMX XNUMX WETH, kurie vėliau buvo iškeisti, apgaule apgaudinėjant „Wormhole“ atrakinant įprastą „Ethereum“, užstatantį kitą turtą Solanoje.
Nors „Wormhole“ komanda nuo to laiko trūkumą pašalino, neaišku, kaip jie ketina rekapitalizuoti nuo tilto pavogtas lėšas, nors paskelbė apie pastangas tai pasiekti. Nors įsilaužėliui davė gausių užuominų, neatsakymas buvo kurtinantis. Vis dėlto šis įsilaužimas išryškina didelius pažeidžiamumus svarbiausiose sąveikumo infrastruktūrose, jungiančiose DeFi, ir, dar svarbiau, tas, kurios leidžia blokų grandinėms bendrauti.
Ar kelių šalių skaičiavimas gali reikšti saugesnę sąveiką?
Sąveika arba šiame kontekste galimybė sujungti atjungtas blokų grandines ir ekosistemas yra klijai, sulaikantys decentralizuotą finansavimą per tiltų, orakulų ir kt. Tačiau sąveikumas taip pat gali reikšti pažeidžiamumą, kaip buvo „Wormhole“ atveju, ypač kai sąveika yra atsakinga už saugaus keitimosi vertėmis tarp dviejų sistemų priežiūrą.
Idėja reikalauti kelių šalių ar įrodymų (pvz., parašų), kad patvirtintų tam tikras operacijas, nėra svetima blokų grandinės technologijai, bet gana įprasta tam tikrų el. piniginių savybė. Idėja paskirstyti parašo galią kelioms šalims sumažina vieno nesėkmės taško riziką.
„Mutlisig“ piniginėms tai reiškia, kad reikia nuspręsti, kas bus pasirašiusieji ir kiek pasirašiusiųjų turi pasirašyti sandorį. Šio modelio problema yra bendrai pasirašiusių asmenų ir leidimų keitimas, jau nekalbant apie tai, kad vienu metu reikia pateikti kelis parašus, todėl bendrai pasirašantys asmenys reikalauja kiekvienos operacijos prieinamumo.
Daugiašalis skaičiavimas (MPC) gali padėti išvengti šių komplikacijų, tačiau jo taikymas neapsiriboja piniginėmis ir raktų tikrinimu. MPC naudoja visiškai modifikuojamus galinius taškus, kuriuose yra dalis slaptųjų raktų, bet ne visi. Kartu šie galutiniai taškai naudojami sutarimui sudaryti, o tam, kad būtų pasiektas susitarimas dėl operacijos, nustatomas minimalus galinių taškų skaičius.
Kurtas Nielsenas, „Partisia“ blokų grandinės prezidentas ir vienas iš įkūrėjų, mano, kad MPC yra raktas į tikrąjį sąveikos potencialą saugesnėje ir patikimesnėje sistemoje. Nielsenas pažymi: „Sąveika per žetonų tiltus rodo didžiulį potencialą tapti pagrindine „blockchain“ ekosistemos vertės kūrėja. Tačiau, kaip matėme „Wormhole“ išnaudojime, žetonų perkėlimas už nusistovėjusio saugumo modelio ribų kelia didelių iššūkių ir pažeidžiamumų. Mūsų atsakymas yra sudėtingesni, patikrinti audito principai ir didelio masto MPC saugumo priemonės.
Jis toliau paaiškina: „Pirma, reguliariai besibaigiantis Oracle veiksmingai ir skaidriai atspindi vertybes įvairiose blokų grandinėse, pavyzdžiui, dvigubo įrašo buhalterija, kuri pasitvirtino nuo Medici banko XIV amžiuje. Antra, didelio masto MPC saugumo priemonės leidžia išvengti finansinės rizikos kaupimosi įvairiose Oracle ar epochose. Trečia, mazgai, valdantys Oracle tam tikroje epochoje, suteikia užstatą perduotoms vertėms paremti, ir galiausiai objektyvūs disbalansai kompensuojami decentralizuotu ginčų procesu.
„Partisia“ kuria komercinio lygio MPC sprendimus nuo 2008 m., o dabar savo sumanumą taiko „blockchain“ programoms. „Partisia Blockchain“ veiksmingai veikia kaip sąveikos sluoksnis, naudodamas nulinių žinių įrodymo skaičiavimus. Kai mazgai yra vertinami ir reitinguojami pagal jų pasitikėjimo balą, DeFi vartotojai gali labiau pasitikėti tuo, kaip ir kas perkelia jų vertę tarp ekosistemų.
Nors iki šiol didžiausias toks incidentas 2022 m., Wormhole greičiausiai bus toli gražu ne vienintelis DeFi protokolas, tiltas ar blokų grandinė, į kurią įsilaužėliai taikosi metams bėgant. Nepaisant to, kaip rodo Partisia, MPC išsiskiria kaip viena strategija, skatinanti komunikaciją tarp tinklų, kurie prižiūri duomenų ar vertės perdavimą, tiksliai nežinodami, ką kas ir kur perduoda.
Šaltinis: https://zycrypto.com/wormhole-exploit-underlines-case-for-greater-mpc-use-across-blockchain-oracles-bridges/