Web3 не стане мэйнстрымам, пакуль не будзе бясшвоўнай інтэграцыі ў блокчейн: што гэта значыць з усё большай колькасцю нападаў на мост?

Яшчэ ў сакавіку 2022 года сетка криптовалют Ронин паказала, што стала ахвярай аднаго з найбуйнейшых узломаў усіх часоў, пацярпеўшы парушэнне, якое дазволіла зламыснікам скралі больш за 540 мільёнаў долараў на суму манет Ethereum і USD. У выніку інцыдэнту хакеры выкарысталі ўразлівасць у сэрвісе, вядомым як Ronin Bridge. Гэта адна з шэрагу паспяховых нападаў на «блокчэйн-масты» ў апошні час, якія прыцягнулі ўвагу да ўласцівай ім неэфектыўнасці бяспекі.

Блокчейн-масты, якія часам называюць сеткавымі мастамі, - гэта паслугі, якія дазваляюць уладальнікам крыпта перамяшчаць свае лічбавыя актывы з аднаго блокчейна ў іншы. Яны выконваюць важную ролю, таму што крыптавалюты часта ізаляваныя і не маюць магчымасці ўзаемадзеяння, што азначае, што вы можаце адправіць біткойн, напрыклад, на адрас кашалька Ethereum. З-за такой закрытай прыроды масты сталі ключавым механізмам у крыптаэканоміцы.

Пераходныя паслугі фактычна не перадаюць адзін від лічбавых актываў у іншую сетку. Хутчэй, тое, што яны робяць, гэта «абгортваюць» токены криптовалюты, каб ператварыць іх у новы актыў у іншай ланцужку. Такім чынам, калі карыстальнік хоча перавесці біткойн на Solana, мост, па сутнасці, замарозіць арыгінальны BTC, заблакіраваўшы яго ў адрасе кашалька, перш чым выплюнуць так званыя загорнутыя BTC (WBTC), якія можна выкарыстоўваць у другім ланцужку. Яе можна разглядаць як своеасаблівую падарункавую карту, якая забяспечвае аднолькавую грашовую вартасць, якую можна выкарыстоўваць толькі ў пэўнай краме.

Такім чынам, з-за таго, як яны працуюць, брыджы ўтрымліваюць значныя запасы токенаў криптовалюты, якія заблакіраваны ў смарт-кантрактах, і гэтыя запасы робяць іх асабліва прывабнымі для хакераў.

Як вельмі добра ведаюць прыхільнікі крыптаграфіі, любая каштоўнасць, якая захоўваецца ў ланцужку, падвяргаецца атацы ў любы час сутак. Інтэрнэт ніколі не пераходзіць у аўтаномны рэжым, што азначае, што токены, якія захоўваюцца на любым мосце, заўсёды могуць быць даступныя.

Ronin Hack паказвае небяспеку цэнтралізацыі

 Атака на сетку Ronin стала адным з найбуйнейшых у гісторыі крадзяжоў DeFi з пункту гледжання кошту ў доларах. Ronin - гэта сайдчэйн Ethereum, які забяспечвае больш танныя транзакцыі на значна большай хуткасці, чым у асноўнай сетцы. Гэта быў мост, абраны для папулярнай крыптавалютнай гульні Axie Infinity «гуляй, каб зарабіць», што азначае, што яна пастаянна апрацоўвала мільёны долараў у крыпта і стейблкоинах.

Бакавыя ланцужкі - гэта рашэнне для маштабавання блокчейна, якое патрабуе моста для падлучэння да іншых ланцужкоў. З Ronin карыстальнікі могуць заблакіраваць свой ETH і ETH у манетным выглядзе ў альтэрнатыўных сетках. Транзакцыі апрацоўваюцца і зацвярджаюцца з дапамогай алгарытму кансенсусу Proof of Authority. З дапамогай гэтай мадэлі 5 з 9 валідатараў павінны дамовіцца аб транзакцыі для дасягнення кансенсусу. Аднак чатыры з валідатараў Ronin эксплуатаваліся адной кампаніяй – Sky Mavis, распрацоўшчыкам Ronin.

Гэта была моцна цэнтралізаваная ўстаноўка, якая стала вынікам рашэння Axie Dao стварыць вузел RPC без газу ў лістападзе 2021 года, каб паспрабаваць выправіць перагрузку сеткі. DAO унесла ў дазволены спіс ключы Sky Mavis для падпісання транзакцый ад свайго імя. Меркавалася, што гэта будзе толькі часовая дамоўленасць, але дазволены спіс так і не быў адменены. гэта створаны праём для тых, хто зламыснічаў – нібыта спансаванай Паўночнай Карэяй Lazarus Group – якая выкарыстала метады сацыяльнай інжынерыі для ўзлому чатырох ключоў Sky Mavis. Затым хакеры выявілі ўразлівасць у кодзе RPC, што дало яму кантроль над пятым валідатарам і дазволіла здзейсніць незаконнае зняцце сродкаў.

Асноўная праблема заключалася ў тым, што сістэма некалькіх подпісаў Ronin для падпісання транзакцый была скампраметаваная з-за адсутнасці дэцэнтралізацыі. Гэта ілюструе слабасць механізмаў бяспекі, дзе большасць кіравання сканцэнтравана ў руках аднаго суб'екта.

Уразлівасці смарт-кантракту захоўваюцца

 Узлом Ronin быў не аднаразовым, а толькі апошнім у шэрагу гучных нападаў на блокчейн-масты, якія прывялі да страты каштоўнасцей на мільёны долараў. Месяцам раней зламыснікі паспяхова ўцяклі з Ethereum на суму каля 80 мільёнаў долараў пасля нападу на мост Qubit.

Гэта паслуга, кіраваная платформай Qubit Finance, якая дазваляе карыстальнікам пазычаць і пазычаць лічбавыя актывы ў сетках Ethereum і Binance Smart Chain. Напрыклад, гэта дазваляе ўнесці токен ERC-20 і атрымаць узамен манету BEP-20, якую потым можна выкарыстоўваць у ланцужку Binance.

Qubit Bridge быў узламаны з-за, як кажуць, «лагічнай памылкі» ў кодзе смарт-кантракта. Уразлівасць дазволіла хакеру маніпуляваць мостам, выкарыстоўваючы шкоднасныя даныя, каб ён ці яна маглі зняць токены BSC без унясення дэпазіту на Ethereum. Ан выкрыццё прыступу выявілі, што смарт-кантракт QBridge не правяраў належным чынам, што неабходная колькасць ETH была заблакіравана. Замест гэтага хакер змог паказаць падробленыя доказы неіснуючага дэпазіту.

Гэты інцыдэнт паказаў, што ўразлівасці смарт-кантрактаў застаюцца пастаяннай праблемай у DeFi, і асабліва для блокчейн-мастоў. Пераважная большасць нападаў на мост накіраваны на памылкі ў смарт-кантрактах, якія з'яўляюцца аўтаматызаванымі кантрактамі, якія выконваюцца самастойна пры выкананні пэўных умоў.

Масты з'яўляюцца ключом да пашырэння ахопу Crypto

 Крыптаплатформы падвяргаліся бясконцай плыні нападаў з таго часу, як зараджалася індустрыя пачала станавіцца папулярнай. Прыхільнікі DeFi кажуць, што ён можа стаць больш даступнай і справядлівай альтэрнатывай традыцыйным фінансавым паслугам, але па меры развіцця прасторы ён падвяргаўся таму, што па сутнасці з'яўляецца выпрабаваннем агнём. Атакі на масты сталі такой жа звычайнай з'явай, як крадзяжы абменнікаў криптовалют і пратаколаў DeFi. Праблема ў тым, што масты, як і біржы і пратаколы, з'яўляюцца платформамі з высокімі стаўкамі, якія ўтрымліваюць велізарную каштоўнасць, і любая з іх можа быць уразлівай да памылак у сваім базавым кодзе.

Шырока распаўсюджана меркаванне, што крыпта і DeFi ніколі не атрымаюць шырокага распаўсюджвання без належнага рашэння рызыкі нападаў. Пераважная большасць сусветнай кошту належыць інстытуцыйным інвестарам, такім як інвестыцыйныя банкі і буйныя хедж-фонды. Такія арганізацыі аддаюць перавагу захаванню патрабаванняў і бяспецы сваіх сродкаў, а не магчымым прыбыткам. Такім чынам, DeFi і крыпта наўрад ці стануць чымсьці большым, чым нішавая інвестыцыйная галіна, пакуль не будуць вырашаны праблемы бяспекі.

Асаблівае значэнне мае бяспека моста. Ізаляваная прырода блокчейнов з'яўляецца сур'ёзным недахопам, які абмяжоўвае патэнцыяльны ахоп любога дэцэнтралізаванага прыкладання. Прыкладанне dApp, пабудаванае на Ethereum, не можа размаўляць з іншымі на аснове розных блокчейнов. Ён не можа здзяйсняць транзакцыі з біткойнамі, самай каштоўнай і шырока выкарыстоўванай крыптавалютай у свеце, што азначае, што ўладальнікі BTC не маюць магчымасці ўзаемадзейнічаць з экасістэмай DeFi. Калі крыпта калі-небудзь стане паўсюдным, карыстальнікі павінны мець бяспечны спосаб зносін з рознымі сеткамі.

Будуем лепшыя масты

 Добрай навіной з'яўляецца тое, што ў індустрыі ёсць тыя, хто прызнае важнасць бяспечнага злучэння блокчейн. Адна захапляльная перспектыва AllianceBlock's вельмі перспектыўны AllianceBridge, які падтрымлівае асноўныя сеткі, уключаючы Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism і Energy Web з унікальнай інфраструктурай, якая больш дэцэнтралізаваная і забяспечвае больш хуткую і бяспечную працу.

У адрозненне ад цэнтралізаваных мастоў, якія абапіраюцца на адзін або некалькі аб'ектаў для праверкі законнасці транзакцый, дэцэнтралізаваныя масты заснаваныя на тых жа прынцыпах, што і сам блокчейн. Ёсць некалькі аператараў, якія выкарыстоўваюць добра структураваныя механізмы кансенсусу для ўстанаўлення сапраўднасці транзакцый. AllianceBridge - гэта дэцэнтралізаваны мост, які распрацаваў унікальны метад для забеспячэння дасягнення кансенсусу.

Як і ў іншых выпадках, AllianceBridge замыкае атрыманыя токены ў смарт-кантракт, а затым выпускае загорнутыя токены ў мэтавым блокчейне. Гэтыя загорнутыя токены будуць існаваць у другім ланцужку да таго часу, пакуль карыстальнік не вырашыць выкупіць іх у зыходнай сетцы. У гэты момант загорнутыя токены спальваюцца, што азначае, што яны перастаюць існаваць, у той час як арыгінальныя токены ў роднай ланцужку разблакуюцца.

AllianceBridge адрозніваецца тым, што ён выкарыстоўвае EVM-сумяшчальную сетку аператараў моста. Акрамя таго, ён выкарыстоўвае надзейны, трэці бок Служба кансенсусу Hedera Hashgraph які працуе на аснове інавацыйнага "плёткі-пра-плёткі»алгарытм кансенсусу.

З дапамогай сэрвісу HCS блокчейн-праграмы і сеткі могуць адпраўляць паведамленні ў публічную кнігу Hedera, дзе яны пазначаюцца пазнакай часу і ўпарадкоўваюцца з поўнай празрыстасцю. Гэта дазваляе AllianceBridge дасягнуць кансенсусу без захавання сінхранізацыі паміж аператарамі моста. Гэта азначае больш высокую прадукцыйнасць з высокай ступенню дэцэнтралізацыі, а HCS забяспечвае дадатковы ўзровень даверу, які робіць мост больш бяспечным.

Смарт-кантракты AllianceBridge, якія выкарыстоўваюцца для блакіроўкі арыгінальных актываў і чаканкі і спальвання загорнутых токенаў, забяспечваюць яшчэ большую ўпэўненасць. Уся кодавая база смарт-кантрактаў была напісана ў адпаведнасці са стандартам EIP-2535 і была такой цалкам правяраецца Omniscia. Падчас аўдыту Omniscia звярнула ўвагу на шэраг патэнцыйных праблем, якія былі неадкладна выпраўлены AllianceBlock да таго, як код пачаў працаваць.

Бяспека і надзейнасць AllianceBridge адыгралі ключавую ролю ў пашырэнні карыснасці набору прапаноў DeFi AllianceBlock, у тым ліку Тэрмінал DeFi, які забяспечвае просты спосаб для праектаў запускаць кампаніі па здабычы ліквіднасці і стаўкі ў некалькіх падтрымоўваных сетках і dApps. Дзякуючы бяспечнаму пратаколу ўзаемадзеяння блокчейн AllianceBlock стварае трывалую аснову, якая патрэбна багатай, узаемазвязанай экасістэме Web3 для росту і развіцця.

- Рэклама -