Web3 nepůjde do hlavního proudu, dokud nedojde k bezproblémové integraci blockchainu: Co to znamená se stále větším počtem útoků na most?

V březnu 2022 síť kryptoměn Ronin odhalil, že se stal obětí jednoho z největších hacků všech dob, přičemž utrpěl porušení, které útočníkům umožnilo ukrást více než 540 milionů dolarů v hodnotě mincí Ethereum a USD. Při incidentu hackeři zneužili zranitelnost ve službě známé jako Ronin Bridge. Je to jeden z řady úspěšných útoků na „blockchainové mosty“ v poslední době, které upozornily na jejich vlastní bezpečnostní neefektivitu.

Blockchainové mosty, někdy nazývané síťové mosty, jsou služby, které umožňují držitelům kryptoměn přesunout jejich digitální aktiva z jednoho blockchainu do druhého. Poskytují důležitou roli, protože kryptoměny jsou často umlčené a postrádají interoperabilitu, což znamená, že můžete poslat bitcoiny například na adresu peněženky Ethereum. Kvůli této umlčené povaze se mosty objevily jako klíčový mechanismus v krypto ekonomice.

Překlenovací služby ve skutečnosti nepřevádějí jeden druh digitálního aktiva do jiného řetězce. Spíše to, co dělají, je „zabalit“ tokeny kryptoměn, aby je přeměnili na nové aktivum na druhém řetězci. Pokud tedy uživatel chce přemostit bitcoiny na Solana, most v podstatě zmrazí původní BTC tím, že je uzamkne v adrese peněženky, než vyplivne to, co je známé jako zabalené BTC (WBTC), které lze použít na druhém řetězci. Lze si to představit jako druh dárkové karty, která poskytuje přesně stejnou peněžní hodnotu, kterou lze použít pouze v konkrétním obchodě.

Díky tomu, jak fungují, mosty drží značné rezervy tokenů kryptoměn, které jsou uzamčeny v chytrých kontraktech, a díky těmto rezervám jsou pro hackery obzvláště atraktivní.

Jak krypto oddaní vědí až příliš dobře, jakákoli hodnota, která je držena v řetězci, je vystavena útoku kdykoli během dne. Internet nikdy nepřejde do režimu offline, což znamená, že tokeny držené jakýmkoli mostem jsou vždy přístupné.

Ronin Hack ukazuje nebezpečí centralizace

 Útok na Ronin Network byl jedním z největších loupeží DeFi v historii, pokud jde o dolarovou hodnotu. Ronin je postranní řetězec Etherea, který umožňuje levnější transakce mnohem rychlejšími rychlostmi než hlavní síť. Byl to most volby pro populární kryptoměnovou hru „play-to-earn“ Axie Infinity, což znamená, že neustále zpracovávala miliony dolarů v krypto a stablecoinech.

Postranní řetězce jsou řešením pro škálování blockchainu, které vyžaduje most pro připojení k jiným řetězcům. S Roninem mohou uživatelé uzamknout své ETH a razit ETH zabalené v alternativních sítích. Transakce jsou zpracovávány a schvalovány pomocí konsensuálního algoritmu Proof of Authority. S tímto modelem se musí 5 z 9 validátorů dohodnout na transakci, aby bylo dosaženo konsensu. Čtyři validátory Roninu však provozovala jedna společnost – Sky Mavis, vývojář Roninu.

Bylo to silně centralizované nastavení, které vyplynulo z rozhodnutí Axie Dao zřídit v listopadu 2021 uzel RPC bez plynu, aby se pokusil opravit přetížení sítě. DAO uvedlo na seznam povolených klíčů Sky Mavis k podepisování transakcí jeho jménem. Mělo jít pouze o dočasné ujednání, ale seznam povolených nebyl nikdy zrušen. Tento vytvořil otvor pro útočníky – údajně to byla skupina Lazarus sponzorovaná Severní Koreou – která pomocí technik sociálního inženýrství kompromitovala čtyři klíče Sky Mavis. Hackeři poté objevili zranitelnost v kódu RPC, čímž mu dali kontrolu nad pátým validátorem a umožnili mu provést nezákonné stažení.

Hlavním problémem bylo, že Roninův systém více podpisů pro podepisování transakcí byl kompromitován kvůli nedostatku decentralizace. Ilustruje slabinu bezpečnostních mechanismů, kde je většina řízení soustředěna v rukou jediného subjektu.

Přetrvávají zranitelnosti inteligentních smluv

 Hack Ronin nebyl jednorázový, ale spíše jen poslední z řady významných útoků na blockchainové mosty, které vedly ke ztrátě hodnoty milionů dolarů. O měsíc dříve útočníci po útoku na most Qubit úspěšně dosáhli na Ethereum v hodnotě přibližně 80 milionů dolarů.

Je to služba provozovaná platformou Qubit Finance, která uživatelům umožňuje půjčovat a půjčovat si digitální aktiva v sítích Ethereum a Binance Smart Chain. Například umožňuje vložit token ERC-20 a výměnou získat coin BEP-20, který pak lze použít v řetězci Binance.

Qubit Bridge byl hacknut kvůli tomu, co bylo považováno za „logickou chybu“ v kódu jeho inteligentní smlouvy. Tato chyba zabezpečení umožnila hackerovi manipulovat s mostem pomocí škodlivých dat, takže si mohl vybrat tokeny BSC, aniž by provedl jakýkoli vklad na Ethereum. An pitva útoku zjistili, že chytrá smlouva QBridge řádně neověřovala uzamčení požadovaného množství ETH. Místo toho byl hacker schopen prokázat falešný důkaz o neexistujícím vkladu.

Incident posloužil ke zdůraznění toho, jak zranitelnosti inteligentních smluv zůstávají přetrvávajícím problémem v DeFi, a zejména pro blockchainové mosty. Naprostá většina útoků na most se zaměřuje na chyby v inteligentních smlouvách, což jsou automatizované smlouvy, které se samy vykonají, když jsou splněny určité podmínky.

Mosty jsou klíčem k rozšíření dosahu kryptoměn

 Od té doby, co se rodící se průmysl začal stávat populárním, jsou krypto platformy vystaveny nekonečnému proudu útoků. Přívrženci DeFi říkají, že může poskytnout dostupnější a spravedlivější alternativu k tradičním finančním službám, ale jak se prostor vyvíjel, byl podroben tomu, co je v podstatě zkouškou ohněm. Útoky na mosty se staly stejně samozřejmostí jako kryptoměny a loupeže protokolu DeFi. Problém je v tom, že mosty, jako jsou burzy a protokoly, jsou platformy s vysokými sázkami, které mají obrovské množství hodnoty a kterákoli z nich by mohla být zranitelná vůči chybám v jejich základním kódu.

Existuje rozšířené přesvědčení, že kryptoměny a DeFi nikdy nedosáhnou širokého přijetí bez řádného řešení rizika útoků. Drtivou většinu světové hodnoty drží institucionální investoři, jako jsou investiční banky a velké hedgeové fondy. Takové organizace upřednostňují dodržování předpisů a bezpečnost svých finančních prostředků před jakýmkoli potenciálním ziskem. Je tedy nepravděpodobné, že se DeFi a kryptoměny stanou mnohem více než jen specializovaným investičním odvětvím, dokud nebudou vyřešeny jeho bezpečnostní problémy.

Zabezpečení mostu má zvláštní význam. Siled charakter blockchainů je vážný handicap, který omezuje potenciální dosah jakékoli decentralizované aplikace. dApp postavený na Ethereu nemůže mluvit s ostatními na základě různých blockchainů. Nemůže obchodovat s bitcoiny, nejhodnotnější a nejrozšířenější kryptoměnou na světě, což znamená, že držitelé BTC nemají žádný způsob interakce s ekosystémem DeFi. Pokud se někdy kryptoměny stanou všudypřítomné, uživatelé musí mít bezpečný způsob komunikace s různými řetězci.

Budování lepších mostů

 Dobrou zprávou je, že v tomto odvětví existují lidé, kteří uznávají důležitost bezpečného blockchain připojení. Jedna vzrušující vyhlídka je AllianceBlock vysoce nadějné AllianceBridge, která podporuje hlavní sítě včetně Etherea, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism a Energy Web s jedinečnou infrastrukturou, která je více decentralizovaná a poskytuje rychlejší a bezpečnější výkon.

Na rozdíl od centralizovaných mostů, které se spoléhají na jeden nebo jen několik subjektů, aby ověřily, že transakce jsou legitimní, jsou decentralizované mosty založeny na stejných principech jako samotný blockchain. Existuje několik operátorů, kteří využívají dobře strukturované mechanismy konsenzu ke stanovení platnosti transakcí. AllianceBridge je decentralizovaný most, který vyvinul jedinečnou metodu k zajištění dosažení konsenzu.

Stejně jako u ostatních, AllianceBridge uzamkne tokeny, které obdrží, do inteligentní smlouvy a poté vydá zabalené tokeny na cílový blockchain. Tyto zabalené tokeny budou existovat ve druhém řetězci, dokud se uživatel nerozhodne je uplatnit v původní síti. V tomto okamžiku jsou zabalené tokeny spáleny, což znamená, že přestanou existovat, zatímco původní tokeny na nativním řetězci jsou odemčeny.

AlianceBridge se liší tím, že využívá síť operátorů mostů kompatibilní s EVM. Kromě toho využívá robustní, třetí strany Hedera Hashgraph Consensus Service který je poháněn inovativním „drby-o-drby“konsensuální algoritmus.

Pomocí služby HCS mohou blockchainové aplikace a sítě odesílat zprávy do veřejné knihy Hedera, kde jsou s plnou transparentností označeny časovým razítkem a objednány. To umožňuje společnosti AllianceBridge dosáhnout konsensu bez zachování synchronizace mezi operátory mostů. To znamená rychlejší výkon s vysokým stupněm decentralizace, zatímco HCS poskytuje další vrstvu důvěry, díky které je most bezpečnější.

Chytré smlouvy AllianceBridge, které se používají k uzamčení původních aktiv a ražení a vypalování zabalených tokenů, poskytují ještě větší jistotu. Celá kódová základna inteligentních kontraktů byla napsána tak, aby rezonovala se standardem EIP-2535 a byla plně auditováno společností Omniscia. Během auditu společnost Omniscia poukázala na řadu potenciálních problémů, které AllianceBlock okamžitě napravila před uvedením kódu do provozu.

Bezpečnost a spolehlivost AllianceBridge hrála klíčovou roli při rozšiřování užitečnosti sady nabídek AllianceBlock DeFi, včetně Terminál DeFi, která poskytuje projektům snadný způsob, jak spustit těžbu likvidity a sázkové kampaně napříč mnoha podporovanými sítěmi a dApps. Se svým bezpečným protokolem pro interoperabilitu blockchainu vytváří AllianceBlock robustní základ, který potřebuje bohatý, propojený ekosystém Web3, aby mohl růst a vyvíjet se.

- Reklama -