Еще в марте 2022 года криптовалютная сеть Ронин выяснилось, что он стал жертвой одного из крупнейших взломов всех времен, получив нарушение, которое позволило злоумышленникам украсть более 540 миллионов долларов стоимость монет Ethereum и USD. В результате инцидента хакеры воспользовались уязвимостью в сервисе, известном как Ronin Bridge. Это одна из нескольких успешных атак на «блокчейн-мосты» за последнее время, которые привлекли внимание к присущей им неэффективности безопасности.
Мосты блокчейна, иногда называемые сетевыми мостами, — это сервисы, которые позволяют держателям криптовалюты перемещать свои цифровые активы из одного блокчейна в другой. Они играют важную роль, поскольку криптовалюты часто разрознены и не обладают функциональной совместимостью, а это означает, что вы можете отправить биткойны, например, на адрес кошелька Ethereum. Из-за такой разрозненной природы мосты стали ключевым механизмом в криптоэкономике.
Bridge-сервисы на самом деле не передают один вид цифровых активов в другую цепочку. Скорее, они «обертывают» токены криптовалюты, чтобы конвертировать их в новый актив в другой цепочке. Таким образом, если пользователь хочет соединить Биткойн с Соланой, мост, по сути, заморозит исходный BTC, заблокировав его в адресе кошелька, прежде чем выдать так называемый завернутый BTC (WBTC), который можно использовать во второй цепочке. Ее можно рассматривать как своего рода подарочную карту с точно такой же денежной стоимостью, которую можно использовать только в определенном магазине.
Таким образом, благодаря принципу своей работы мосты содержат значительные резервы токенов криптовалюты, которые заблокированы в смарт-контрактах, и эти резервы делают их особенно привлекательными для хакеров.
Как хорошо знают приверженцы криптовалюты, любая ценность, хранящаяся в цепочке, может быть атакована в любое время суток. Интернет никогда не отключается, а это означает, что токены, хранящиеся на любом мосту, всегда доступны.
Ronin Hack показывает опасность централизации
Это была сильно централизованная установка, возникшая в результате решения Axie Dao создать в ноябре 2021 года безгазовый узел RPC, чтобы попытаться устранить перегрузку сети. DAO внесла ключи Sky Mavis в разрешенный список для подписания транзакций от своего имени. Предполагалось, что это будет лишь временная мера, но список разрешенных так и не был отменен. Этот создал открытие для злоумышленников – предположительно спонсируемой Северной Кореей Lazarus Group – которые использовали методы социальной инженерии, чтобы скомпрометировать четыре ключа Sky Mavis. Затем хакеры обнаружили уязвимость в коде RPC, которая давала ему контроль над пятым валидатором и позволяла осуществлять незаконный вывод средств.
Основная проблема заключалась в том, что система мультиподписей Ronin для подписания транзакций была скомпрометирована из-за отсутствия децентрализации. Это иллюстрирует слабость механизмов безопасности, когда большая часть управления сосредоточена в руках одного субъекта.
Уязвимости смарт-контрактов сохраняются
Qubit Bridge был взломан из-за «логической ошибки» в коде смарт-контракта. Уязвимость позволяла хакеру манипулировать мостом, используя вредоносные данные, поэтому он или она могли вывести токены BSC, не внося депозит в Ethereum. Ан вскрытие места нападения обнаружил, что смарт-контракт QBridge не проверял должным образом блокировку необходимого количества ETH. Вместо этого хакер смог предъявить фальшивое подтверждение несуществующего депозита.
Этот инцидент продемонстрировал, что уязвимости смарт-контрактов остаются постоянной проблемой в DeFi, особенно для мостов блокчейна. Подавляющее большинство атак на мосты нацелены на ошибки в смарт-контрактах, которые представляют собой автоматические контракты, которые автоматически выполняются при выполнении определенных условий.
Мосты — ключ к расширению охвата криптовалют
Строим лучшие мосты
Хорошей новостью является то, что в отрасли есть те, кто осознает важность безопасного подключения к блокчейну. Одна из интересных перспектив заключается в том, AllianceBlock's многообещающий АльянсБридж, который поддерживает основные сети, включая Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism и Energy Web, с уникальной инфраструктурой, которая более децентрализована и обеспечивает более быструю и безопасную работу.
В отличие от централизованных мостов, которые полагаются на один или несколько объектов для проверки легитимности транзакций, децентрализованные мосты основаны на тех же принципах, что и сам блокчейн. Существует множество операторов, которые используют хорошо структурированные механизмы консенсуса для установления действительности транзакций. AllianceBridge — это децентрализованный мост, который разработал уникальный метод обеспечения достижения консенсуса.
Как и в случае с другими, AllianceBridge блокирует полученные токены в смарт-контракте, а затем выпускает упакованные токены в целевой блокчейн. Эти упакованные токены будут существовать во второй цепочке до тех пор, пока пользователь не решит выкупить их в исходной сети. В этот момент упакованные токены сжигаются, то есть перестают существовать, а исходные токены в собственной цепочке разблокируются.
Отличие AllianceBridge заключается в том, что он использует EVM-совместимую сеть операторов мостов. Кроме того, он использует надежные сторонние Служба консенсуса Hedera Hashgraph это основано на инновационном «сплетни о сплетняхАлгоритм консенсуса.
Используя сервис HCS, приложения и сети блокчейна могут отправлять сообщения в публичный реестр Hedera, где им присваиваются временные метки и они упорядочиваются с полной прозрачностью. Это позволяет AllianceBridge достичь консенсуса без поддержания синхронизации между операторами мостов. Это означает более высокую производительность и высокую степень децентрализации, а HCS обеспечивает дополнительный уровень доверия, который делает мост более безопасным.
Смарт-контракты AllianceBridge, которые используются для блокировки исходных активов, а также выпуска и сжигания завернутых токенов, обеспечивают еще большую уверенность. Вся кодовая база смарт-контрактов была написана в соответствии со стандартом EIP-2535 и была полностью проверен Omniscia. В ходе аудита Omniscia указала на ряд потенциальных проблем, которые AllianceBlock оперативно устранил еще до запуска кода.
Безопасность и надежность AllianceBridge сыграли ключевую роль в расширении полезности набора предложений DeFi AllianceBlock, включая DeFi-терминал, который предоставляет проектам простой способ запуска кампаний по добыче ликвидности и стейкингу в нескольких поддерживаемых сетях и децентрализованных приложениях. Благодаря безопасному протоколу взаимодействия блокчейнов AllianceBlock создает надежную основу, необходимую богатой взаимосвязанной экосистеме Web3 для роста и развития.
- Рекламное объявление -
Source: https://thecryptobasic.com/2022/09/21/web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean/?utm_source=rss&utm_medium=rss&utm_campaign=web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean