Web3 neće postati mainstream dok ne dođe do besprijekorne integracije blokova: Što to znači sa sve više napada na mostove?

Još u ožujku 2022. mreža kriptovaluta Ronin otkrio je da je postao žrtva jednog od najvećih hakiranja svih vremena, pretrpjevši proboj koji je napadačima omogućio ukrao više od 540 milijuna dolara u vrijednosti Ethereuma i USD kovanica. U incidentu su hakeri iskoristili ranjivost u servisu poznatom kao Ronin Bridge. To je jedan od brojnih uspješnih napada na "blockchain mostove" u posljednje vrijeme koji su skrenuli pozornost na njihovu inherentnu sigurnosnu neučinkovitost.

Blockchain bridges, koji se ponekad nazivaju i mrežni mostovi, usluge su koje vlasnicima kriptovaluta omogućuju premještanje svoje digitalne imovine s jednog blockchaina na drugi. Oni imaju važnu ulogu jer su kriptovalute često zatvorene i nemaju interoperabilnost, što znači da možete poslati Bitcoin na adresu Ethereum novčanika, na primjer. Zbog ove izolirane prirode, mostovi su se pojavili kao ključni mehanizam unutar kripto ekonomije.

Usluge premošćivanja zapravo ne prenose jednu vrstu digitalne imovine u drugi lanac. Umjesto toga, ono što rade je "omotavanje" tokena kriptovalute kako bi ih pretvorili u novu imovinu na drugom lancu. Dakle, ako korisnik želi premostiti Bitcoin sa Solanom, most će u biti zamrznuti originalni BTC tako što će ga zaključati u adresi novčanika, prije nego što ispljune ono što je poznato kao omotani BTC (WBTC) koji se može koristiti u drugom lancu. Može se smatrati nekom vrstom darovne kartice koja daje potpuno istu novčanu vrijednost, a koja se može koristiti samo u određenoj trgovini.

Zbog načina na koji funkcioniraju, mostovi stoga drže značajne rezerve tokena kriptovalute koji su zaključani u pametnim ugovorima, a te ih rezerve čine posebno privlačnima hakerima.

Kao što kriptovalute jako dobro znaju, svaka vrijednost koja se drži u lancu podložna je napadu u bilo koje doba dana. Internet nikada nije isključen, što znači da se tokenima koje drži bilo koji most uvijek može pristupiti.

Ronin Hack pokazuje opasnost od centralizacije

 Napad na mrežu Ronin bila je jedna od najvećih DeFi pljački ikada u smislu vrijednosti u dolarima. Ronin je bočni lanac Ethereuma koji omogućuje jeftinije transakcije puno većim brzinama od glavne mreže. Bio je to most izbora za popularnu igru ​​kriptovalute "play-to-earn" Axie Infinity, što znači da je neprestano obrađivao milijune dolara u kripto i stabilnim novcima.

Sidechains su rješenje za skaliranje blockchaina koje zahtijevaju most za povezivanje s drugim lancima. S Roninom, korisnici mogu zaključati svoj ETH i ETH u kovanici na alternativnim mrežama. Transakcije se obrađuju i odobravaju putem konsenzusnog algoritma Proof of Authority. S ovim modelom, 5 od 9 validatora mora se složiti oko transakcije da bi se postigao konsenzus. Međutim, četiri Roninova validatora upravljala je jedna tvrtka – Sky Mavis, razvijač Ronina.

Bila je to jako centralizirana postavka koja je proizašla iz odluke Axie Daoa da postavi RPC čvor bez plina u studenom 2021. kako bi pokušao riješiti zagušenje mreže. DAO je stavio na popis dopuštenih Sky Mavis ključeva za potpisivanje transakcija u njegovo ime. Trebao je to biti samo privremeni aranžman, ali lista dopuštenih nikad nije ukinuta. Ovaj stvorio otvor za napadače – za koje se kaže da su Lazarus Group koju sponzorira Sjeverna Koreja – koji su koristili tehnike društvenog inženjeringa kako bi kompromitirali četiri ključa Sky Mavisa. Hakeri su tada otkrili ranjivost u kodu RPC-a, dajući mu kontrolu nad petim validatorom i dopuštajući mu nezakonito povlačenje.

Glavni problem bio je taj što je Roninov sustav s više potpisa za potpisivanje transakcija bio ugrožen zbog nedostatka decentralizacije. To ilustrira slabost sigurnosnih mehanizama gdje je većina upravljanja koncentrirana u rukama jednog subjekta.

Ranjivosti pametnog ugovora i dalje postoje

 Hakiranje Ronina nije bilo jednokratno, već samo posljednji u nizu visokoprofilnih napada na blockchain mostove koji su rezultirali gubitkom vrijednosti u milijunima dolara. Mjesec dana ranije, napadači su uspješno pobjegli s oko 80 milijuna dolara vrijednim Ethereumom nakon napada na Qubit Bridge.

To je usluga kojom upravlja platforma Qubit Finance, koja korisnicima omogućuje posuđivanje i posuđivanje digitalne imovine preko mreža Ethereum i Binance Smart Chain. Na primjer, omogućuje polaganje ERC-20 tokena i primanje BEP-20 kovanice u zamjenu, koja se zatim može koristiti u Binance lancu.

Qubit Bridge je hakiran zbog, kako je rečeno, "logičke pogreške" unutar koda pametnog ugovora. Ranjivost je omogućila hakeru da manipulira mostom koristeći zlonamjerne podatke, tako da on ili ona mogu povući BSC tokene bez polaganja na Ethereum. An obdukcija napada utvrdio da QBridge pametni ugovor nije ispravno potvrdio da je potrebna količina ETH zaključana. Umjesto toga, haker je uspio pokazati lažni dokaz o nepostojećem depozitu.

Incident je poslužio za naglašavanje kako su ranjivosti pametnih ugovora i dalje uporan problem u DeFi-ju, a posebno za blockchain mostove. Velika većina bridge napada cilja na greške u pametnim ugovorima, koji su automatizirani ugovori koji se sami izvršavaju kada su ispunjeni određeni uvjeti.

Mostovi su ključni za širenje kripto dosega

 Kripto platforme bile su izložene beskrajnom nizu napada otkako je industrija u nastajanju počela postajati popularna. Pristaše DeFi-ja kažu da može pružiti pristupačniju i pravedniju alternativu tradicionalnim financijskim uslugama, ali kako se prostor razvijao, bio je podvrgnut nečemu što je u biti kušnja vatrom. Napadi na mostove postali su uobičajeni poput pljački mjenjačnica kriptovaluta i DeFi protokola. Problem je u tome što su mostovi, kao i razmjene i protokoli, platforme s velikim ulozima koje sadrže ogromne količine vrijednosti i bilo koja od njih može biti osjetljiva na greške u svom osnovnom kodu.

Postoji široko rasprostranjeno uvjerenje da kripto i DeFi nikada neće postići široku primjenu bez odgovarajućeg rješenja za rizik od napada. Veliku većinu svjetske vrijednosti drže institucionalni ulagači, poput investicijskih banaka i velikih hedge fondova. Takve organizacije daju prednost usklađenosti i sigurnosti svojih sredstava iznad potencijalne dobiti. Dakle, malo je vjerojatno da će DeFi i kripto postati nešto više od nišne investicijske industrije dok se ne riješe sigurnosni problemi.

Sigurnost mosta je od posebne važnosti. Odvojena priroda lanaca blokova ozbiljan je nedostatak koji ograničava potencijalni doseg bilo koje decentralizirane aplikacije. dApp izgrađen na Ethereumu ne može razgovarati s drugima na temelju različitih blockchaina. Ne može obavljati transakcije s Bitcoinom, najvrednijom i najkorištenijom kriptovalutom na svijetu, što znači da vlasnici BTC-a nemaju načina za interakciju s DeFi ekosustavom. Ako će kriptovalute ikada postati sveprisutne, korisnici moraju imati siguran način komunikacije s različitim lancima.

Izgradnja boljih mostova

 Dobra vijest je da postoje oni u industriji koji prepoznaju važnost sigurne povezanosti blockchaina. Jedna uzbudljiva perspektiva je AllianceBlock-a vrlo obećavajuće AllianceBridge, koji podržava glavne mreže uključujući Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism i Energy Web s jedinstvenom infrastrukturom koja je više decentralizirana i pruža brže i sigurnije performanse.

Za razliku od centraliziranih mostova, koji se oslanjaju na jedan ili samo nekoliko entiteta za provjeru jesu li transakcije legitimne, decentralizirani mostovi temelje se na istim načelima kao i sam blockchain. Postoji više operatera koji koriste dobro strukturirane mehanizme konsenzusa za utvrđivanje valjanosti transakcija. AllianceBridge je decentralizirani most koji je razvio jedinstvenu metodu za postizanje konsenzusa.

Kao i kod drugih, AllianceBridge zaključava tokene koje prima u pametni ugovor, a zatim izdaje zamotane tokene na ciljnom lancu blokova. Ti zamotani tokeni postojat će u drugom lancu sve dok ih korisnik ne odluči iskoristiti na izvornoj mreži. U tom trenutku zamotani tokeni se spaljuju, što znači da prestaju postojati, dok se originalni tokeni u izvornom lancu otključavaju.

AllianceBridge se razlikuje po tome što koristi mrežu operatera mosta kompatibilnu s EVM-om. Osim toga, koristi robusne, treće strane Hedera Hashgraph Consensus Service koji se pokreće inovativnim “trač-o-trač” algoritam konsenzusa.

Koristeći HCS uslugu, blockchain aplikacije i mreže mogu slati poruke u javnu knjigu Hedera, gdje su označene vremenom i poredane uz potpunu transparentnost. To omogućuje AllianceBridgeu postizanje konsenzusa bez održavanja sinkronizacije između njegovih operatera mosta. To znači brže performanse s visokim stupnjem decentralizacije, dok HCS pruža dodatni sloj povjerenja koji most čini sigurnijim.

Pametni ugovori AllianceBridgea, koji se koriste za zaključavanje izvorne imovine i kovanje i spaljivanje zamotanih tokena, pružaju još više sigurnosti. Cijela baza kodova pametnih ugovora napisana je tako da odgovara standardu EIP-2535 i tako je i bila u potpunosti revidirana od strane Omniscia. Tijekom revizije, Omniscia je ukazala na brojne potencijalne probleme koje je AllianceBlock odmah riješio prije nego što je kod pušten u rad.

Sigurnost i pouzdanost AllianceBridgea odigrali su ključnu ulogu u proširenju korisnosti AllianceBlock paketa DeFi ponuda, uključujući DeFi terminal, koji projektima pruža jednostavan način za pokretanje kampanja rudarenja likvidnosti i udjela na više podržanih mreža i dApp-ova. Svojim sigurnim protokolom interoperabilnosti lanca blokova, AllianceBlock gradi čvrst temelj koji je potreban bogatom, međusobno povezanom Web3 ekosustavu kako bi rastao i razvijao se.

- Oglas -