Jei pastarąsias dvi savaites sekėte įvykius kriptovaliutų srityje, galbūt esate susipažinę su Ronin tinklo išnaudojimu, kuris kėlė grėsmę 620 mln. USD kriptovaliutų nuostoliams. Neoficialus post mortem rodo, kad įsilaužėliai naudojo pažeistus privačius raktus, kad suklastotų atsiėmimo parašus, o tai kėlė antakius kriptovaliutų srityje.
Šiame straipsnyje dėmesys sutelkiamas į tai, kas nutiko per Ronin tinklo ataką, kaip įsilaužėliai pervedė lėšas ir galimi sprendimai, siekiant užkirsti kelią tokiam multisig įsilaužimui ateityje.
„Ronin“ tinklo įsilaužimo supratimas
Kovo 29 d., Axie Infinity sidechain, Ronin tinklas paskelbė bendruomenės įspėjimą kad tinklas buvo atakuojamas, 173,600 25.5 ETH ir 620 mln. USDC buvo pervesta į įsilaužėlio piniginę, todėl buvo prarasta beveik XNUMX mln. Remiantis neoficialiais SlowMist blokų grandinės saugos komandos pomirtiniais rezultatais, įsilaužimas buvo atliktas per Ronin tinklo tikrinimo mazgų kompromisą.
Bendruomenės įspėjime, kurį išsiuntė „Sky Mavis“, pagrindinė „Ronin“ tinklo įmonė, įsilaužimas buvo baigtas kovo 23 d., tačiau buvo nepastebėtas, kol kai kurie vartotojai pranešė, kad jiems nepavyko atsiimti dalies savo lėšų iš tilto. Remiantis pranešimu, įsilaužėlis naudojo pažeistus privačius raktus, kad pasiektų ir išimtų lėšas iš tilto tik dviem sandoriais.
Norint geriau suprasti, Ronin tinklą sudaro devyni patvirtinimo mazgai. Šie tikrinimo mazgai tikrina indėlius ir išėmimus iš Ronin grandinės, o sandoriams pasirašyti reikalingi penki iš devynių tikrinimo mazgų. Užpuolikui pavyko valdyti keturis „Sky Mavis“ „Ronin Validators“ ir trečiosios šalies tikrintuvą, valdomą Axie DAO.
Visą nesėkmę galima atsekti iki 2021 m. lapkričio mėn., kai „Sky Mavis“ delegavo „Axie Infinity DAO“, kad padėtų platinti nemokamas operacijas. Tačiau didžiulis sandorių skaičius privertė Axie DAO įtraukti „Sky Mavis“ į baltąjį sąrašą, o tai leido bendrovei pasirašyti įvairius sandorius, kad sumažintų naštą.
Nors operacijų skaičius buvo sumažintas, prieiga prie baltojo sąrašo niekada nebuvo atšaukta, o tai leido užpuolikui gauti prieigą prie „Sky Mavis“ sistemos ir pasirašyti sandorius kaip patvirtinimo priemonę.
„Sky Mavis“ teigimu, įsilaužėlis rado užpakalines duris per RPC mazgą be dujų ir gavo „Axie DAO“ tikrintuvo parašą, kuris leido jam atsiimti daugiau nei 620 mln. USD kriptovaliutų.
Panašu, kad įsilaužimo į Multisig platformas vis daugėja, o pastaruoju metu buvo nulaužtas ir Wormhole tiltas. Skirtingai nei Ronin tinklui, Wormhole tilto naudotojams nepasisekė, nes įsilaužėliai galėjo pavogti šimtus milijonų. „Wormhole“ įsilaužimas buvo susijęs su išmaniuoju sutarties išnaudojimu, kuris apgaule apgavo daugiafunkcinį tiltą ir parodė, kad supakuotas Ethereum (wETH) buvo įtrauktas į Solanos tilto sutartį ir išpirktas Ethereum.
Nepaisant naujausių įsilaužimų, multisig platformos suteikia papildomą decentralizacijos sluoksnį, kad būtų išvengta tokių įsilaužimų ir būtų užtikrintas didesnis saugumas. Nors šiuo metu taip nėra, multisig piniginių idėja vis dar veikia. Laimei, kriptovaliutų pasaulis pamažu kuria sprendimus, kad užkirstų kelią šiems naujausiems multisig pagrįstiems įsilaužimams. Flare's LayerCake tiltas tampa naujausiu šios problemos sprendimu.
Multisig įsilaužimo problemos sprendimas
„Flare Network“, „blockchain“ platforma, leidžianti saugiai sąveikauti tarp grandinių, siekia išspręsti „multisig“ problemą per savo LayerCake modelis. Šis modelis siūlo piniginę „pralaidumo teikėjų (BP)“ sistemą, kuriai priklauso pasirašymo teisės perkelti konkrečią vertės sumą tiltu per laiko vienetą.
Šiuo metu siūloma kas valandą. „Pralaidumas“ yra vertės, kurią jie gali perkelti tiltu per bet kurį laiko vienetą, pagal išmaniąsias sutartis, suma, yra „pralaidumas“.
Kad signatarai arba kas nors, turintis prieigą prie pasirašiusiųjų, nepavogtų ar nesugadintų sistemos, BP turi įnešti tokią pat sumą lėšų, kurios būtų perkeliamos į LayerCake išmaniąją sutartį. Taip užtikrinama, kad jei visi BP ar pasirašiusiieji susitaria apgauti sistemą (pralaidumą), išmaniojoje sutartyje bus saugoma tokia pati vertė nuostoliams padengti.
LayerCake modelis taip pat pristato atvirą antrinę skatinamų stebėtojų sistemą, kuri suranda ir pašalina bet kokius kenkėjiškus BP pasirašant tilto sandorius. Taigi bet koks kenkėjiškas pralaidumo teikėjas gali būti pašalintas per vieną laiko vienetą, o BP pateiktas užstatas visada padengia tilto naudotojo lėšas. Jei visi BP yra kenkėjiški, sistema vis tiek gali veikti per relę tarp grandinių, nors ir lėčiau.
Galiausiai, sistema taip pat apsaugo vartotojus nuo pertvarkymo atakų, užtikrindama BP tiesiogiai „Flare“ tam tikrą laikotarpį, kad reorganizavimo atakų tikimybė būtų nereikšminga. Reorganizavimo atakos metu BP suteiktas užstatas naudojamas tilto naudotojų lėšoms kompensuoti.
Šaltinis: https://www.cryptonewsz.com/flare-network-prevents-ronin-network-and-multisig-hack-problem/