Web3 ne bo postal mainstream, dokler ne bo brezhibne integracije blokovnih verig: Kaj to pomeni z vedno več napadi na mostove?

Še marca 2022 je omrežje kriptovalut Ronin je razkrilo, da je postalo žrtev enega največjih vdorov vseh časov, utrpelo je kršitev, ki je napadalcem omogočila ukradel več kot 540 milijonov dolarjev v vrednosti kovancev Ethereum in USD. V incidentu so hekerji izkoristili ranljivost v storitvi, znani kot Ronin Bridge. To je eden od številnih uspešnih napadov na "mostove veriženja blokov" v zadnjem času, ki so opozorili na njihovo inherentno varnostno neučinkovitost.

Blockchain mostovi, včasih imenovani omrežni mostovi, so storitve, ki imetnikom kriptovalut omogočajo premikanje njihovih digitalnih sredstev iz ene blockchain v drugo. Zagotavljajo pomembno vlogo, ker so kriptovalute pogosto zaprte in nimajo interoperabilnosti, kar pomeni, da lahko na primer pošljete Bitcoin na naslov denarnice Ethereum. Zaradi te zaprte narave so se mostovi pojavili kot ključni mehanizem znotraj kriptoekonomije.

Premostitvene storitve dejansko ne prenesejo ene vrste digitalnega sredstva v drugo verigo. Nasprotno, to, kar počnejo, je "ovijanje" žetonov kriptovalut, da jih pretvorijo v novo sredstvo v drugi verigi. Torej, če želi uporabnik premostiti Bitcoin s Solano, bo most v bistvu zamrznil prvotni BTC tako, da ga bo zaklenil v naslov denarnice, preden bo izpljunil tisto, kar je znano kot zavit BTC (WBTC), ki se lahko uporabi v drugi verigi. Lahko si ga predstavljamo kot nekakšno darilno kartico, ki zagotavlja popolnoma enako denarno vrednost in jo je mogoče uporabiti samo v določeni trgovini.

Bridges imajo torej zaradi načina delovanja znatne rezerve žetonov kriptovalut, ki so zaklenjeni v pametnih pogodbah, zaradi teh rezerv pa so še posebej privlačni za hekerje.

Kot privrženci kriptovalut predobro vedo, je vsaka vrednost, ki je v verigi, predmet napada kadar koli v dnevu. Internet nikoli ne prekine povezave, kar pomeni, da je vedno mogoče dostopati do žetonov, ki jih hrani kateri koli most.

Ronin Hack prikazuje nevarnost centralizacije

 Napad na omrežje Ronin je bil eden največjih ropov DeFi doslej v smislu vrednosti v dolarjih. Ronin je stranska veriga Ethereum, ki omogoča cenejše transakcije pri veliko večjih hitrostih kot glavno omrežje. Bil je izbrani most za priljubljeno igro s kriptovalutami »play-to-earn« Axie Infinity, kar pomeni, da je nenehno obdeloval milijone dolarjev v kripto in stabilnih kovancih.

Stranske verige so rešitev za skaliranje verige blokov, ki potrebujejo most za povezavo z drugimi verigami. Z Roninom lahko uporabniki zaklenejo svoj ETH in zavit ETH v alternativnih omrežjih. Transakcije se obdelujejo in odobrijo s soglasnim algoritmom dokazila o avtoriteti. Pri tem modelu se mora 5 od 9 validatorjev strinjati s transakcijo, da se doseže soglasje. Vendar je štiri Roninove validatorje upravljalo eno podjetje – Sky Mavis, razvijalec Ronina.

To je bila močno centralizirana postavitev, ki je bila posledica odločitve Axie Dao, da novembra 2021 vzpostavi vozlišče RPC brez plina, da bi poskušal odpraviti prezasedenost omrežja. DAO je dodal ključe Sky Mavis na seznam dovoljenih za podpisovanje transakcij v njegovem imenu. Šlo naj bi le za začasno ureditev, a dovoljena lista ni bila nikoli preklicana. to ustvaril odprtino za napadalce – domnevno skupino Lazarus, ki jo sponzorira Severna Koreja – ki je uporabila tehnike socialnega inženiringa, da bi ogrozila štiri ključe Sky Mavis. Hekerji so nato odkrili ranljivost v kodi RPC, ki mu je dala nadzor nad petim validatorjem in mu omogočila nedovoljen dvig.

Glavna težava je bila, da je bil Roninov sistem z več podpisi za podpisovanje transakcij ogrožen zaradi pomanjkanja decentralizacije. Ponazarja šibkost varnostnih mehanizmov, kjer je večina upravljanja skoncentrirana v rokah enega samega subjekta.

Ranljivosti pametnih pogodb ostajajo

 Vdor Ronina ni bil enkraten, ampak le zadnji v nizu odmevnih napadov na mostove blockchain, ki so povzročili izgubo vrednosti v vrednosti milijonov dolarjev. En mesec prej so napadalci po napadu na most Qubit uspešno pobegnili z okoli 80 milijonov dolarjev vrednim Ethereumom.

To je storitev, ki jo upravlja platforma Qubit Finance, ki uporabnikom omogoča posojanje in izposojo digitalnih sredstev v omrežjih Ethereum in Binance Smart Chain. Omogoča na primer deponiranje žetona ERC-20 in v zameno prejem kovanca BEP-20, ki ga je nato mogoče uporabiti v verigi Binance.

V Qubit Bridge je prišlo do vdora zaradi, kot je rečeno, "logične napake" v kodi njegove pametne pogodbe. Ranljivost je hekerju omogočila manipulacijo mostu z uporabo zlonamernih podatkov, tako da je lahko dvignil žetone BSC, ne da bi nakazal na Ethereum. An obdukcija napada ugotovil, da pametna pogodba QBridge ni pravilno preverila, ali je zahtevana količina ETH zaklenjena. Namesto tega je lahko heker pokazal ponarejen dokaz o neobstoječem depozitu.

Incident je pokazal, kako ranljivosti pametnih pogodb ostajajo stalna težava v DeFi, zlasti za mostove verige blokov. Velika večina premostitvenih napadov cilja na hrošče v pametnih pogodbah, ki so avtomatizirane pogodbe, ki se same izvršijo, ko so izpolnjeni določeni pogoji.

Mostovi so ključni za razširitev dosega kriptovalut

 Kripto platforme so bile predmet neskončnega toka napadov, odkar je nastajajoča industrija postala priljubljena. Privrženci DeFi pravijo, da lahko zagotovi dostopnejšo in pravičnejšo alternativo tradicionalnim finančnim storitvam, a ko se je prostor razvijal, je bil v bistvu podvržen preizkušnji z ognjem. Napadi na mostove so postali tako običajni kot ropi menjalnic kriptovalut in protokola DeFi. Težava je v tem, da so mostovi, tako kot izmenjave in protokoli, platforme z visokimi vložki, ki imajo ogromne količine vrednosti in katera koli od njih je lahko ranljiva za napake v osnovni kodi.

Splošno razširjeno je prepričanje, da kripto in DeFi nikoli ne bosta dosegla široke uporabe brez ustrezne rešitve za tveganje napadov. Veliko večino svetovne vrednosti imajo institucionalni vlagatelji, kot so investicijske banke in veliki hedge skladi. Take organizacije dajejo prednost skladnosti in varnosti svojih sredstev pred morebitnimi dobički, ki bi jih lahko imeli. Zato je malo verjetno, da bosta DeFi in kriptovaluta postala kaj več kot nišna naložbena industrija, dokler ne bo mogoče rešiti njunih varnostnih težav.

Varovanje mostov je posebnega pomena. Zaprta narava verig blokov je resna pomanjkljivost, ki omejuje potencialni doseg katere koli decentralizirane aplikacije. dApp, zgrajen na Ethereumu, se ne more pogovarjati z drugimi na podlagi različnih verig blokov. Ne more opravljati transakcij z Bitcoinom, najdragocenejšo in najbolj razširjeno kriptovaluto na svetu, kar pomeni, da imetniki BTC nimajo možnosti za interakcijo z ekosistemom DeFi. Če bo kripto kdaj postalo vseprisotno, morajo imeti uporabniki varen način za komunikacijo z različnimi verigami.

Gradnja boljših mostov

 Dobra novica je, da obstajajo tisti v industriji, ki priznavajo pomen varne povezljivosti blockchain. Ena vznemirljiva možnost je AllianceBlock's zelo obetavno AllianceBridge, ki podpira glavna omrežja, vključno z Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism in Energy Web z edinstveno infrastrukturo, ki je bolj decentralizirana in zagotavlja hitrejše in varnejše delovanje.

Za razliko od centraliziranih mostov, ki se za preverjanje zakonitosti transakcij zanašajo na eno ali samo nekaj entitet, decentralizirani mostovi temeljijo na enakih načelih kot sama veriga blokov. Obstaja več operaterjev, ki za ugotavljanje veljavnosti transakcij uporabljajo dobro strukturirane mehanizme soglasja. AllianceBridge je decentraliziran most, ki je razvil edinstveno metodo za zagotavljanje doseganja soglasja.

Kot pri drugih, AllianceBridge zaklene žetone, ki jih prejme, v pametno pogodbo in nato izda zavite žetone v ciljni verigi blokov. Ti zaviti žetoni bodo obstajali v drugi verigi, dokler se uporabnik ne odloči, da jih bo unovčil v izvirnem omrežju. Na tej točki se zaviti žetoni zažgejo, kar pomeni, da prenehajo obstajati, medtem ko se originalni žetoni v izvorni verigi odklenejo.

AllianceBridge se razlikuje po tem, da uporablja omrežje operaterjev mostov, ki je združljivo z EVM. Poleg tega izkorišča robustne rešitve tretjih oseb Hedera Hashgraph Consensus Service ki ga poganja inovativen “trač-o-traču” algoritem soglasja.

Z uporabo storitve HCS lahko aplikacije in omrežja blockchain pošiljajo sporočila v javno knjigo Hedera, kjer so časovno žigosana in urejena s popolno preglednostjo. To omogoča AllianceBridgeu, da doseže soglasje brez vzdrževanja sinhronizacije med operaterji mostov. To pomeni hitrejše delovanje z visoko stopnjo decentralizacije, medtem ko HCS zagotavlja dodatno plast zaupanja, zaradi katere je most varnejši.

Pametne pogodbe AllianceBridge, ki se uporabljajo za zaklepanje izvirnih sredstev ter kovanje in sežiganje zavitih žetonov, zagotavljajo še večjo pomiritev. Celotna kodna baza pametnih pogodb je bila napisana v skladu s standardom EIP-2535 in je bila v celoti revidiran s strani Omniscie. Med revizijo je Omniscia opozorila na številne možne težave, ki jih je AllianceBlock nemudoma odpravil, preden je koda začela delovati.

Varnost in zanesljivost AllianceBridge sta odigrali ključno vlogo pri razširitvi uporabnosti AllianceBlockovega nabora ponudb DeFi, vključno z DeFi terminal, ki projektom omogoča enostaven način za zagon kampanj za rudarjenje likvidnosti in staking v več podprtih omrežjih in dApps. AllianceBlock s svojim varnim protokolom interoperabilnosti blockchain gradi trdne temelje, ki jih bogat, med seboj povezan ekosistem Web3 potrebuje za rast in razvoj.

- Oglas -