Web3 не станет мейнстримом до тех пор, пока не будет бесшовной интеграции с блокчейном: что это означает со все большим количеством мостовых атак?

Еще в марте 2022 года криптовалютная сеть Ронин выяснилось, что он стал жертвой одного из крупнейших взломов всех времен, получив нарушение, которое позволило злоумышленникам украсть более 540 миллионов долларов стоимость монет Ethereum и USD. В результате инцидента хакеры воспользовались уязвимостью в сервисе, известном как Ronin Bridge. Это одна из нескольких успешных атак на «блокчейн-мосты» за последнее время, которые привлекли внимание к присущей им неэффективности безопасности.

Мосты блокчейна, иногда называемые сетевыми мостами, — это сервисы, которые позволяют держателям криптовалюты перемещать свои цифровые активы из одного блокчейна в другой. Они играют важную роль, поскольку криптовалюты часто разрознены и не обладают функциональной совместимостью, а это означает, что вы можете отправить биткойны, например, на адрес кошелька Ethereum. Из-за такой разрозненной природы мосты стали ключевым механизмом в криптоэкономике.

Bridge-сервисы на самом деле не передают один вид цифровых активов в другую цепочку. Скорее, они «обертывают» токены криптовалюты, чтобы конвертировать их в новый актив в другой цепочке. Таким образом, если пользователь хочет соединить Биткойн с Соланой, мост, по сути, заморозит исходный BTC, заблокировав его в адресе кошелька, прежде чем выдать так называемый завернутый BTC (WBTC), который можно использовать во второй цепочке. Ее можно рассматривать как своего рода подарочную карту с точно такой же денежной стоимостью, которую можно использовать только в определенном магазине.

Таким образом, благодаря принципу своей работы мосты содержат значительные резервы токенов криптовалюты, которые заблокированы в смарт-контрактах, и эти резервы делают их особенно привлекательными для хакеров.

Как хорошо знают приверженцы криптовалюты, любая ценность, хранящаяся в цепочке, может быть атакована в любое время суток. Интернет никогда не отключается, а это означает, что токены, хранящиеся на любом мосту, всегда доступны.

Ronin Hack показывает опасность централизации

 Атака на сеть Ronin стала одним из крупнейших ограблений DeFi в денежном выражении. Ronin — это сайдчейн Ethereum, который позволяет проводить более дешевые транзакции на гораздо более высоких скоростях, чем в основной сети. Это был выбранный мост для популярной криптовалютной игры «играй, чтобы заработать» Axie Infinity, что означает, что он постоянно обрабатывал миллионы долларов в криптовалютах и ​​стейблкоинах.

Сайдчейны — это решение для масштабирования блокчейна, которому требуется мост для подключения к другим цепочкам. С помощью Ronin пользователи могут заблокировать свои ETH и ETH в мятной упаковке в альтернативных сетях. Транзакции обрабатываются и утверждаются с помощью консенсусного алгоритма Proof of Authority. В этой модели 5 из 9 валидаторов должны согласовать транзакцию для достижения консенсуса. Однако четырьмя валидаторами Ronin управляла одна компания — Sky Mavis, разработчик Ronin.

Это была сильно централизованная установка, возникшая в результате решения Axie Dao создать в ноябре 2021 года безгазовый узел RPC, чтобы попытаться устранить перегрузку сети. DAO внесла ключи Sky Mavis в разрешенный список для подписания транзакций от своего имени. Предполагалось, что это будет лишь временная мера, но список разрешенных так и не был отменен. Этот создал открытие для злоумышленников – предположительно спонсируемой Северной Кореей Lazarus Group – которые использовали методы социальной инженерии, чтобы скомпрометировать четыре ключа Sky Mavis. Затем хакеры обнаружили уязвимость в коде RPC, которая давала ему контроль над пятым валидатором и позволяла осуществлять незаконный вывод средств.

Основная проблема заключалась в том, что система мультиподписей Ronin для подписания транзакций была скомпрометирована из-за отсутствия децентрализации. Это иллюстрирует слабость механизмов безопасности, когда большая часть управления сосредоточена в руках одного субъекта.

Уязвимости смарт-контрактов сохраняются

 Взлом Ronin был не разовым, а, скорее, последним в череде громких атак на мосты блокчейна, которые привели к потере ценностей на миллионы долларов. Месяцем ранее злоумышленники успешно скрылись с Эфириумом на сумму около 80 миллионов долларов после атаки на мост Кубит.

Это сервис, управляемый платформой Qubit Finance, который позволяет пользователям кредитовать и брать взаймы цифровые активы в сетях Ethereum и Binance Smart Chain. Например, он позволяет внести токен ERC-20 и получить взамен монету BEP-20, которую затем можно использовать в цепочке Binance.

Qubit Bridge был взломан из-за «логической ошибки» в коде смарт-контракта. Уязвимость позволяла хакеру манипулировать мостом, используя вредоносные данные, поэтому он или она могли вывести токены BSC, не внося депозит в Ethereum. Ан вскрытие места нападения обнаружил, что смарт-контракт QBridge не проверял должным образом блокировку необходимого количества ETH. Вместо этого хакер смог предъявить фальшивое подтверждение несуществующего депозита.

Этот инцидент продемонстрировал, что уязвимости смарт-контрактов остаются постоянной проблемой в DeFi, особенно для мостов блокчейна. Подавляющее большинство атак на мосты нацелены на ошибки в смарт-контрактах, которые представляют собой автоматические контракты, которые автоматически выполняются при выполнении определенных условий.

Мосты — ключ к расширению охвата криптовалют

 Криптоплатформы подвергались бесконечному потоку атак с тех пор, как зарождающаяся индустрия начала становиться популярной. Приверженцы DeFi говорят, что он может предоставить более доступную и справедливую альтернативу традиционным финансовым услугам, но по мере развития этого пространства оно подверглось, по сути, испытанию огнем. Атаки на мосты стали таким же обычным явлением, как ограбления криптовалютных бирж и протоколов DeFi. Проблема в том, что мосты, подобно биржам и протоколам, представляют собой платформы с высокими ставками, которые имеют огромную ценность, и любой из них может быть уязвим для ошибок в их базовом коде.

Существует широко распространенное мнение, что криптовалюта и DeFi никогда не получат широкого распространения без надлежащего решения проблемы риска атак. Подавляющее большинство мировых ценностей принадлежит институциональным инвесторам, таким как инвестиционные банки и крупные хедж-фонды. Такие организации ставят соблюдение требований и безопасность своих средств превыше любой потенциальной прибыли. Таким образом, DeFi и криптовалюта вряд ли превратятся в нечто большее, чем просто нишевую инвестиционную отрасль, пока не будут решены проблемы безопасности.

Безопасность моста имеет особое значение. Разрозненный характер блокчейнов является серьезным препятствием, ограничивающим потенциальный охват любого децентрализованного приложения. dApp, построенный на Ethereum, не может взаимодействовать с другими приложениями, основанными на других блокчейнах. Он не может осуществлять транзакции с биткойнами, самой ценной и широко используемой криптовалютой в мире, а это означает, что держатели BTC не имеют возможности взаимодействовать с экосистемой DeFi. Если криптовалюта когда-нибудь станет повсеместной, у пользователей должен быть безопасный способ взаимодействия с различными цепочками.

Строим лучшие мосты

 Хорошей новостью является то, что в отрасли есть те, кто осознает важность безопасного подключения к блокчейну. Одна из интересных перспектив заключается в том, AllianceBlock's многообещающий АльянсБридж, который поддерживает основные сети, включая Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism и Energy Web, с уникальной инфраструктурой, которая более децентрализована и обеспечивает более быструю и безопасную работу.

В отличие от централизованных мостов, которые полагаются на один или несколько объектов для проверки легитимности транзакций, децентрализованные мосты основаны на тех же принципах, что и сам блокчейн. Существует множество операторов, которые используют хорошо структурированные механизмы консенсуса для установления действительности транзакций. AllianceBridge — это децентрализованный мост, который разработал уникальный метод обеспечения достижения консенсуса.

Как и в случае с другими, AllianceBridge блокирует полученные токены в смарт-контракте, а затем выпускает упакованные токены в целевой блокчейн. Эти упакованные токены будут существовать во второй цепочке до тех пор, пока пользователь не решит выкупить их в исходной сети. В этот момент упакованные токены сжигаются, то есть перестают существовать, а исходные токены в собственной цепочке разблокируются.

Отличие AllianceBridge заключается в том, что он использует EVM-совместимую сеть операторов мостов. Кроме того, он использует надежные сторонние Служба консенсуса Hedera Hashgraph это основано на инновационном «сплетни о сплетняхАлгоритм консенсуса.

Используя сервис HCS, приложения и сети блокчейна могут отправлять сообщения в публичный реестр Hedera, где им присваиваются временные метки и они упорядочиваются с полной прозрачностью. Это позволяет AllianceBridge достичь консенсуса без поддержания синхронизации между операторами мостов. Это означает более высокую производительность и высокую степень децентрализации, а HCS обеспечивает дополнительный уровень доверия, который делает мост более безопасным.

Смарт-контракты AllianceBridge, которые используются для блокировки исходных активов, а также выпуска и сжигания завернутых токенов, обеспечивают еще большую уверенность. Вся кодовая база смарт-контрактов была написана в соответствии со стандартом EIP-2535 и была полностью проверен Omniscia. В ходе аудита Omniscia указала на ряд потенциальных проблем, которые AllianceBlock оперативно устранил еще до запуска кода.

Безопасность и надежность AllianceBridge сыграли ключевую роль в расширении полезности набора предложений DeFi AllianceBlock, включая DeFi-терминал, который предоставляет проектам простой способ запуска кампаний по добыче ликвидности и стейкингу в нескольких поддерживаемых сетях и децентрализованных приложениях. Благодаря безопасному протоколу взаимодействия блокчейнов AllianceBlock создает надежную основу, необходимую богатой взаимосвязанной экосистеме Web3 для роста и развития.

- Рекламное объявление -