Web3 netiks izplatīts, kamēr nebūs nemanāma blokķēdes integrācija: ko tas nozīmē ar arvien vairāk tiltu uzbrukumu?

Vēl 2022. gada martā kriptovalūtu tīkls Ronin atklāja, ka tas ir kļuvis par upuri vienam no visu laiku lielākajiem uzlaušanas gadījumiem, piedzīvojot pārkāpumu, kas ļāva uzbrucējiem nozagt vairāk nekā 540 miljonus dolāru Ethereum un USD monētu vērtībā. Šajā incidentā hakeri izmantoja ievainojamību pakalpojumā, kas pazīstams kā Roninas tilts. Tas ir viens no vairākiem veiksmīgiem uzbrukumiem “blokķēdes tiltiem”, kas ir pievērsuši uzmanību tiem raksturīgajām drošības nepilnībām.

Blockchain tilti, ko dažreiz sauc par tīkla tiltiem, ir pakalpojumi, kas ļauj kriptovalūtu turētājiem pārvietot savus digitālos aktīvus no vienas blokķēdes uz citu. Tiem ir svarīga loma, jo kriptovalūtas bieži ir slēptas un tām nav savietojamības, kas nozīmē, ka varat nosūtīt Bitcoin, piemēram, uz Ethereum maka adresi. Šī slēptā rakstura dēļ tilti ir kļuvuši par galveno mehānismu kriptoekonomikā.

Tiltu pakalpojumi faktiski nepārsūta viena veida digitālos aktīvus uz citu ķēdi. Drīzāk viņi “iesaiņo” kriptovalūtas marķierus, lai pārvērstu tos par jaunu aktīvu otrā ķēdē. Tātad, ja lietotājs vēlas savienot Bitcoin ar Solana, tilts būtībā iesaldēs sākotnējo BTC, bloķējot to maka adresē, pirms tiek izspļauts tā sauktais iesaiņotais BTC (WBTC), ko var izmantot otrajā ķēdē. To var uzskatīt par sava veida dāvanu karti, kas nodrošina tieši tādu pašu naudas vērtību, kuru var izmantot tikai konkrētā veikalā.

Pateicoties tam, kā tie darbojas, tilti glabā ievērojamas kriptovalūtas marķieru rezerves, kas ir bloķētas viedos līgumos, un šīs rezerves padara tos īpaši pievilcīgus hakeriem.

Kā kriptovalūtu speciālisti pārāk labi zina, jebkura vērtība, kas tiek turēta ķēdē, var tikt pakļauta uzbrukumam jebkurā diennakts laikā. Internets nekad nepāriet bezsaistē, tas nozīmē, ka jebkura tilta žetoniem vienmēr var piekļūt.

Ronins Haks parāda centralizācijas briesmas

 Uzbrukums Ronin tīklam bija viens no visu laiku lielākajiem DeFi zādzībām dolāra vērtības izteiksmē. Ronin ir Ethereum sānu ķēde, kas nodrošina lētākus darījumus ar daudz lielāku ātrumu nekā galvenais tīkls. Tas bija populārās kriptovalūtas spēles Axie Infinity izvēles tilts “spēlēt, lai nopelnītu”, kas nozīmē, ka tā pastāvīgi apstrādāja miljoniem dolāru kriptovalūtās un stabilajās monētās.

Sideķēdes ir blokķēdes mērogošanas risinājums, kam nepieciešams tilts, lai izveidotu savienojumu ar citām ķēdēm. Izmantojot Ronin, lietotāji var bloķēt savu ETH un piparmētru ETH alternatīvos tīklos. Darījumi tiek apstrādāti un apstiprināti, izmantojot pilnvaru apliecinājuma konsensa algoritmu. Izmantojot šo modeli, 5 no 9 pārbaudītājiem ir jāvienojas par darījumu, lai panāktu vienprātību. Tomēr četrus Ronin validatorus pārvaldīja viens uzņēmums - Sky Mavis, Ronin izstrādātājs.

Tā bija ļoti centralizēta iestatīšana, ko izraisīja Axie Dao lēmums 2021. gada novembrī izveidot bezgāzes RPC mezglu, lai mēģinātu novērst tīkla pārslodzes. DAO iekļāva Sky Mavis atslēgas, lai tās vārdā parakstītu darījumus. Tam vajadzēja būt tikai pagaidu kārtībai, taču atļauju saraksts nekad netika atsaukts. Šis izveidoja atvērumu uzbrucējiem — tiek uzskatīts, ka tā ir Ziemeļkorejas sponsorētā Lazarus grupa —, kas izmantoja sociālās inženierijas metodes, lai kompromitētu Sky Mavis četras atslēgas. Pēc tam hakeri atklāja ievainojamību RPC kodā, dodot tam kontroli pār piekto pārbaudītāju un ļaujot tam veikt nelikumīgu izņemšanu.

Galvenā problēma bija tāda, ka Ronin vairāku parakstu sistēma darījumu parakstīšanai tika apdraudēta decentralizācijas trūkuma dēļ. Tas ilustrē drošības mehānismu vājumu, kur lielākā daļa pārvaldības ir koncentrēta vienas vienības rokās.

Viedo līgumu ievainojamības joprojām pastāv

 Ronin uzlaušana nebija vienreizējs, bet drīzāk tikai pēdējais no augsta profila uzbrukumiem blokķēdes tiltiem, kuru rezultātā tika zaudēta vērtība miljoniem dolāru. Mēnesi iepriekš uzbrucēji veiksmīgi ieguva Ethereum aptuveni 80 miljonu dolāru vērtībā pēc uzbrukuma Kubitas tiltam.

Tas ir Qubit Finance platformas pakalpojums, kas lietotājiem ļauj aizdot un aizņemties digitālos aktīvus Ethereum un Binance Smart Chain tīklos. Piemēram, tas ļauj noguldīt ERC-20 žetonu un apmaiņā saņemt BEP-20 monētu, ko pēc tam var izmantot Binance ķēdē.

Qubit Bridge tika uzlauzts, jo tā viedā līguma kodā tika uzskatīts par “loģisku kļūdu”. Ievainojamība ļāva hakeram manipulēt ar tiltu, izmantojot ļaunprātīgus datus, lai viņš vai viņa varētu izņemt BSC marķierus, neiemaksājot Ethereum. An uzbrukuma autopsija konstatēja, ka QBridge viedais līgums nav pareizi pārbaudījis, vai nepieciešamais ETH daudzums ir bloķēts. Tā vietā hakeris varēja uzrādīt viltotu pierādījumu par neesošu depozītu.

Šis incidents parādīja, ka viedo līgumu ievainojamības joprojām ir pastāvīga problēma DeFi, un jo īpaši blokķēdes tiltiem. Lielākā daļa tiltu uzbrukumu ir vērsti uz kļūdām viedajos līgumos, kas ir automatizēti līgumi, kas paši tiek izpildīti, ja ir izpildīti noteikti nosacījumi.

Tilti ir atslēga kriptovalūtas darbības jomas paplašināšanai

 Kopš topošā nozare sāka kļūt populāra, kriptoplatformas ir bijušas pakļautas bezgalīgai uzbrukumu straumei. DeFi piekritēji saka, ka tas var nodrošināt pieejamāku un vienlīdzīgāku alternatīvu tradicionālajiem finanšu pakalpojumiem, taču, telpai attīstoties, tā ir pakļauta ugunsgrēka izmēģinājumam. Uzbrukumi tiltiem ir kļuvuši tikpat ikdienišķi kā kriptovalūtas maiņa un DeFi protokolu laupīšanas. Problēma ir tāda, ka tilti, tāpat kā apmaiņas un protokoli, ir augstas likmes platformas, kurām ir milzīga vērtība, un jebkura no tām var būt neaizsargāta pret kļūdām savā pamatā esošajā kodā.

Pastāv plaši izplatīts uzskats, ka kriptogrāfija un DeFi nekad nesasniegs plašu ieviešanu bez atbilstoša risinājuma pret uzbrukumu risku. Lielāko daļu pasaules vērtības tur institucionālie investori, piemēram, investīciju bankas un lielie riska ieguldījumu fondi. Šādas organizācijas par prioritāti nosaka atbilstību un savu līdzekļu drošību, nevis iespējamo peļņu. Tātad DeFi un kriptovalūtas, visticamāk, nekļūs par daudz vairāk par nišas investīciju nozari, līdz tiks atrisinātas tās drošības problēmas.

Īpaša nozīme ir tiltu drošībai. Blokķēžu slēptais raksturs ir nopietns trūkums, kas ierobežo jebkuras decentralizētas lietojumprogrammas iespējamo sasniedzamību. Uz Ethereum izveidota dApp nevar sarunāties ar citiem, pamatojoties uz dažādām blokķēdēm. Tas nevar veikt darījumus ar Bitcoin, pasaulē visvērtīgāko un visplašāk izmantoto kriptovalūtu, kas nozīmē, ka BTC īpašniekiem nav iespējas mijiedarboties ar DeFi ekosistēmu. Ja kriptovalūta kādreiz kļūs visuresoša, lietotājiem ir jābūt drošam saziņas veidam ar dažādām ķēdēm.

Labāku tiltu veidošana

 Labā ziņa ir tā, ka nozarē ir cilvēki, kuri atzīst drošas blokķēdes savienojamības nozīmi. Viena aizraujoša perspektīva ir AllianceBlock's ļoti daudzsološs AllianceBridge, kas atbalsta lielākos tīklus, tostarp Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism un Energy Web ar unikālu infrastruktūru, kas ir vairāk decentralizēta un nodrošina ātrāku un drošāku veiktspēju.

Atšķirībā no centralizētajiem tiltiem, kas paļaujas uz vienu vai tikai dažām vienībām, lai pārbaudītu, vai darījumi ir likumīgi, decentralizētie tilti ir balstīti uz tiem pašiem principiem kā pati blokķēde. Ir vairāki operatori, kas izmanto labi strukturētus vienprātības mehānismus, lai noteiktu darījumu derīgumu. AllianceBridge ir decentralizēts tilts, kas ir izstrādājis unikālu metodi, lai nodrošinātu vienprātības panākšanu.

Tāpat kā citi, AllianceBridge bloķē saņemtos marķierus viedā līgumā un pēc tam izdod iesaiņotus marķierus mērķa blokķēdē. Šie iesaiņotie marķieri pastāvēs otrajā ķēdē līdz brīdim, kad lietotājs nolems tos izpirkt sākotnējā tīklā. Tajā brīdī iesaiņotie marķieri tiek sadedzināti, kas nozīmē, ka tie pārstāj eksistēt, savukārt sākotnējās ķēdes oriģinālie žetoni tiek atbloķēti.

AllianceBridge atšķiras ar to, ka tajā tiek izmantots ar EVM saderīgs tiltu operatoru tīkls. Turklāt tas izmanto izturīgo trešās puses pakalpojumu Hedera Hashgraph vienprātības dienests ko darbina novatoriskspļāpāt-par-pļāpāt” vienprātības algoritms.

Izmantojot HCS pakalpojumu, blokķēdes lietojumprogrammas un tīkli var iesniegt ziņojumus Hedera publiskajā virsgrāmatā, kur tie tiek apzīmēti ar laika zīmogu un pasūtīti ar pilnīgu pārredzamību. Tas ļauj AllianceBridge panākt vienprātību, neuzturot sinhronizāciju starp tilta operatoriem. Tas nozīmē ātrāku veiktspēju ar augstu decentralizācijas pakāpi, savukārt HCS nodrošina papildu uzticības līmeni, kas padara tiltu drošāku.

AllianceBridge viedie līgumi, kas tiek izmantoti oriģinālo līdzekļu bloķēšanai un iesaiņotu žetonu kalšanai un sadedzināšanai, sniedz vēl lielāku pārliecību. Visa viedā līguma kodu bāze tika uzrakstīta, lai rezonētu ar EIP-2535 standartu, un tā ir bijusi pilnībā auditēja Omniscia. Audita laikā Omniscia norādīja uz vairākām iespējamām problēmām, kuras AllianceBlock nekavējoties novērsa pirms koda aktivizēšanas.

AllianceBridge drošībai un uzticamībai ir bijusi galvenā loma, paplašinot AllianceBlock DeFi piedāvājumu komplekta lietderību, tostarp DeFi terminālis, kas nodrošina vienkāršu veidu, kā projektiem sākt likviditātes ieguves un līdzdalības kampaņas vairākos atbalstītos tīklos un dApps. Ar savu drošo blokķēdes sadarbspējas protokolu AllianceBlock veido stabilu pamatu, kas nepieciešams bagātīgai, savstarpēji savienotai Web3 ekosistēmai, lai tā varētu augt un attīstīties.

- Reklāma -