Ako ste pratili događanja u kriptovalutama u posljednjih dva tjedna, možda ste upoznati s poduzimanjem mreže Ronin koji je zaprijetio gubitkom od 620 milijuna dolara u kriptovalutama. Neslužbena obdukcija pokazuje da su hakeri koristili kompromitirane privatne ključeve za krivotvorenje potpisa za povlačenje, što je problem koji je podigao obrve u cijelom kripto polju.
Ovaj se dio usredotočuje na ono što se dogodilo u Ronin mrežnom napadu, kako su hakeri prenijeli sredstva i dostupna rješenja za sprječavanje takvog hakiranja s više potpisa u budućnosti.
Razumijevanje Ronin Network Hacka
29. ožujka, Axie Infinity sidechain, Ronin mreža izdao upozorenje zajednice da je mreža bila napadnuta, sa 173,600 ETH i 25.5 milijuna USDC prebačeno u novčanik hakera, što je rezultiralo gubitkom od blizu 620 milijuna dolara. Prema neslužbenim obdukcijskim rezultatima sigurnosnog tima SlowMist blockchain, hakiranje je provedeno putem kompromisa Ronin mrežnih validatora čvorova.
U upozorenju zajednice koje je poslala Sky Mavis, matična tvrtka Ronin mreže, hakiranje je završeno 23. ožujka, ali je prošlo nezapaženo sve dok neki od korisnika nisu prijavili da nisu u mogućnosti povući dio svojih sredstava s mosta. Prema priopćenju, haker je koristio kompromitirane privatne ključeve za pristup i povlačenje sredstava s mosta u samo dvije transakcije.
Da bismo bolje razumjeli, Ronin mreža se sastoji od devet validatorskih čvorova. Ovi validatorski čvorovi provjeravaju depozite i povlačenja iz Ronin lanca, s pet od devet validatorskih čvorova potrebnih za potpisivanje transakcija. Napadač je uspio dobiti kontrolu nad Sky Mavisovim četiri Ronin Validatora i validatorom treće strane koji vodi Axie DAO.
Cijeli debakl može se pratiti do studenog 2021., kada je Sky Mavis delegirao Axie Infinity DAO da pomogne u distribuciji besplatnih transakcija. Međutim, ogroman broj transakcija natjerao je Axie DAO da stavi Sky Mavis na bijelu listu, dopuštajući tvrtki da potpiše različite transakcije kako bi se smanjio teret.
Iako su transakcije smanjene, pristup popisu dopuštenih nikada nije opozvan, što je omogućilo napadaču da dobije pristup Sky Mavis sustavu i potpiše transakcije kao validator.
Prema Sky Mavisu, haker je pronašao backdoor kroz RPC čvor bez plina i dobio potpis za Axie DAO validator, što mu je omogućilo da povuče preko 620 milijuna dolara u kriptovalutama.
Čini se da su hakirane multisig platforme u porastu, a nedavno je hakirao i most Wormhole. Za razliku od Ronin mreže, korisnici mosta Wormhole nisu bili te sreće jer su hakeri mogli ukrasti stotine milijuna. Hak na Wormhole uključivao je iskorištavanje pametnog ugovora koji je prevario most baziran na višestrukim potpisima kako bi pokazao da je omotani Ethereum (wETH) položen u ugovor o premošćivanju Solane i otkupljen na Ethereumu.
Unatoč nedavnim hakovima, multisig platforme pružaju dodatni sloj decentralizacije kako bi spriječili takve hakove i pružili bolju sigurnost. Iako to trenutno nije slučaj, ideja koja stoji iza multisig novčanika je još uvijek funkcionalna. Srećom, kripto svijet postupno gradi rješenja kako bi spriječio ove nedavne hakove temeljene na višestrukim potpisima, a Flareov LayerCake most postaje najnoviji koji pruža rješenja za ovaj problem.
Rješavanje problema s hakiranjem Multisig
Flare mreža, blockchain platforma koja omogućuje sigurnu interoperabilnost između lanaca, ima za cilj dati rješenja za problem s više potpisivanja putem LayerCake model. Ovaj model predlaže monetarni sustav "pružatelja propusnosti (BP)" koji posjeduje prava potpisivanja za premještanje određene količine vrijednosti preko mosta u jedinici vremena.
Trenutno je predloženo svaki sat. "Bandwidth" je količina vrijednosti koju mogu premjestiti preko mosta u bilo kojoj jedinici vremena, nametnuta pametnim ugovorima, je "Bandwidth".
Kako bi spriječili potpisnike ili nekoga tko ima pristup potpisnicima da ukradu ili kompromitiraju sustav, BP-ovi moraju uplatiti isti iznos vrijednosti sredstava koja se premošćuju na LayerCake pametni ugovor. To osigurava da ako se svi BP ili potpisnici urote kako bi prevarili sustav (propusnost), u pametnom ugovoru je pohranjena ista količina vrijednosti za pokrivanje gubitka.
LayerCake model također uvodi otvoreni sekundarni sustav potaknutih promatrača koji pronalaze i uklanjaju sve zlonamjerne BP od potpisivanja bridge transakcija. Stoga se svaki zlonamjerni pružatelj propusnosti može ukloniti unutar jedne vremenske jedinice, a kolateral koji pružaju BP uvijek pokriva sredstva korisnika za premošćivanje. Ako su svi BP-ovi zlonamjerni, sustav i dalje može raditi preko releja između lanaca, iako sporije.
Konačno, sustav također štiti korisnike od napada reorganizacije tako što osigurava BP-ove izravno na Flareu na određeno vrijeme tako da napadi reorganizacije imaju zanemarivu vjerojatnost. U napadu reorganizacije, kolateral uložen od strane BP-a koristi se za povrat sredstava korisnika na mostu.
Izvor: https://www.cryptonewsz.com/flare-network-prevents-ronin-network-and-multisig-hack-problem/