V březnu 2022 síť kryptoměn Ronin odhalil, že se stal obětí jednoho z největších hacků všech dob, přičemž utrpěl porušení, které útočníkům umožnilo ukrást více než 540 milionů dolarů v hodnotě mincí Ethereum a USD. Při incidentu hackeři zneužili zranitelnost ve službě známé jako Ronin Bridge. Je to jeden z řady úspěšných útoků na „blockchainové mosty“ v poslední době, které upozornily na jejich vlastní bezpečnostní neefektivitu.
Blockchainové mosty, někdy nazývané síťové mosty, jsou služby, které umožňují držitelům kryptoměn přesunout jejich digitální aktiva z jednoho blockchainu do druhého. Poskytují důležitou roli, protože kryptoměny jsou často umlčené a postrádají interoperabilitu, což znamená, že můžete poslat bitcoiny například na adresu peněženky Ethereum. Kvůli této umlčené povaze se mosty objevily jako klíčový mechanismus v krypto ekonomice.
Překlenovací služby ve skutečnosti nepřevádějí jeden druh digitálního aktiva do jiného řetězce. Spíše to, co dělají, je „zabalit“ tokeny kryptoměn, aby je přeměnili na nové aktivum na druhém řetězci. Pokud tedy uživatel chce přemostit bitcoiny na Solana, most v podstatě zmrazí původní BTC tím, že je uzamkne v adrese peněženky, než vyplivne to, co je známé jako zabalené BTC (WBTC), které lze použít na druhém řetězci. Lze si to představit jako druh dárkové karty, která poskytuje přesně stejnou peněžní hodnotu, kterou lze použít pouze v konkrétním obchodě.
Díky tomu, jak fungují, mosty drží značné rezervy tokenů kryptoměn, které jsou uzamčeny v chytrých kontraktech, a díky těmto rezervám jsou pro hackery obzvláště atraktivní.
Jak krypto oddaní vědí až příliš dobře, jakákoli hodnota, která je držena v řetězci, je vystavena útoku kdykoli během dne. Internet nikdy nepřejde do režimu offline, což znamená, že tokeny držené jakýmkoli mostem jsou vždy přístupné.
Ronin Hack ukazuje nebezpečí centralizace
Bylo to silně centralizované nastavení, které vyplynulo z rozhodnutí Axie Dao zřídit v listopadu 2021 uzel RPC bez plynu, aby se pokusil opravit přetížení sítě. DAO uvedlo na seznam povolených klíčů Sky Mavis k podepisování transakcí jeho jménem. Mělo jít pouze o dočasné ujednání, ale seznam povolených nebyl nikdy zrušen. Tento vytvořil otvor pro útočníky – údajně to byla skupina Lazarus sponzorovaná Severní Koreou – která pomocí technik sociálního inženýrství kompromitovala čtyři klíče Sky Mavis. Hackeři poté objevili zranitelnost v kódu RPC, čímž mu dali kontrolu nad pátým validátorem a umožnili mu provést nezákonné stažení.
Hlavním problémem bylo, že Roninův systém více podpisů pro podepisování transakcí byl kompromitován kvůli nedostatku decentralizace. Ilustruje slabinu bezpečnostních mechanismů, kde je většina řízení soustředěna v rukou jediného subjektu.
Přetrvávají zranitelnosti inteligentních smluv
Qubit Bridge byl hacknut kvůli tomu, co bylo považováno za „logickou chybu“ v kódu jeho inteligentní smlouvy. Tato chyba zabezpečení umožnila hackerovi manipulovat s mostem pomocí škodlivých dat, takže si mohl vybrat tokeny BSC, aniž by provedl jakýkoli vklad na Ethereum. An pitva útoku zjistili, že chytrá smlouva QBridge řádně neověřovala uzamčení požadovaného množství ETH. Místo toho byl hacker schopen prokázat falešný důkaz o neexistujícím vkladu.
Incident posloužil ke zdůraznění toho, jak zranitelnosti inteligentních smluv zůstávají přetrvávajícím problémem v DeFi, a zejména pro blockchainové mosty. Naprostá většina útoků na most se zaměřuje na chyby v inteligentních smlouvách, což jsou automatizované smlouvy, které se samy vykonají, když jsou splněny určité podmínky.
Mosty jsou klíčem k rozšíření dosahu kryptoměn
Budování lepších mostů
Dobrou zprávou je, že v tomto odvětví existují lidé, kteří uznávají důležitost bezpečného blockchain připojení. Jedna vzrušující vyhlídka je AllianceBlock vysoce nadějné AllianceBridge, která podporuje hlavní sítě včetně Etherea, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism a Energy Web s jedinečnou infrastrukturou, která je více decentralizovaná a poskytuje rychlejší a bezpečnější výkon.
Na rozdíl od centralizovaných mostů, které se spoléhají na jeden nebo jen několik subjektů, aby ověřily, že transakce jsou legitimní, jsou decentralizované mosty založeny na stejných principech jako samotný blockchain. Existuje několik operátorů, kteří využívají dobře strukturované mechanismy konsenzu ke stanovení platnosti transakcí. AllianceBridge je decentralizovaný most, který vyvinul jedinečnou metodu k zajištění dosažení konsenzu.
Stejně jako u ostatních, AllianceBridge uzamkne tokeny, které obdrží, do inteligentní smlouvy a poté vydá zabalené tokeny na cílový blockchain. Tyto zabalené tokeny budou existovat ve druhém řetězci, dokud se uživatel nerozhodne je uplatnit v původní síti. V tomto okamžiku jsou zabalené tokeny spáleny, což znamená, že přestanou existovat, zatímco původní tokeny na nativním řetězci jsou odemčeny.
AlianceBridge se liší tím, že využívá síť operátorů mostů kompatibilní s EVM. Kromě toho využívá robustní, třetí strany Hedera Hashgraph Consensus Service který je poháněn inovativním „drby-o-drby“konsensuální algoritmus.
Pomocí služby HCS mohou blockchainové aplikace a sítě odesílat zprávy do veřejné knihy Hedera, kde jsou s plnou transparentností označeny časovým razítkem a objednány. To umožňuje společnosti AllianceBridge dosáhnout konsensu bez zachování synchronizace mezi operátory mostů. To znamená rychlejší výkon s vysokým stupněm decentralizace, zatímco HCS poskytuje další vrstvu důvěry, díky které je most bezpečnější.
Chytré smlouvy AllianceBridge, které se používají k uzamčení původních aktiv a ražení a vypalování zabalených tokenů, poskytují ještě větší jistotu. Celá kódová základna inteligentních kontraktů byla napsána tak, aby rezonovala se standardem EIP-2535 a byla plně auditováno společností Omniscia. Během auditu společnost Omniscia poukázala na řadu potenciálních problémů, které AllianceBlock okamžitě napravila před uvedením kódu do provozu.
Bezpečnost a spolehlivost AllianceBridge hrála klíčovou roli při rozšiřování užitečnosti sady nabídek AllianceBlock DeFi, včetně Terminál DeFi, která poskytuje projektům snadný způsob, jak spustit těžbu likvidity a sázkové kampaně napříč mnoha podporovanými sítěmi a dApps. Se svým bezpečným protokolem pro interoperabilitu blockchainu vytváří AllianceBlock robustní základ, který potřebuje bohatý, propojený ekosystém Web3, aby mohl růst a vyvíjet se.
- Reklama -
Source: https://thecryptobasic.com/2022/09/21/web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean/?utm_source=rss&utm_medium=rss&utm_campaign=web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean