Децентрализованные финансы (DeFi) могли бы стать захватывающей категорией в экосистеме блокчейна, но их все еще зарождающееся состояние оставило многих участников подверженными сопутствующим рискам этой более демократизированной итерации финансовых услуг.
Последний эксплойт Wormhole, моста блокчейна между Solana и Ethereum, подчеркивает недостатки, которые продолжают возникать и влиять на пользователей DeFi. Для контекста, взлом на 325 миллионов долларов был фактически результатом ошибочной логики в программном наборе моста для обновления.
Обычно транзакция, проходящая через червоточину в Солану, требует действительной подписи транзакции и опекуна (утвержденного узла проверки). Если эти два условия соблюдены, запросы на транзакцию утверждаются. В случае недействительной подписи транзакции и действительного опекуна необходимые условия для инициирования транзакции не выполняются, что приводит к тому, что Солана отклоняет этот запрос. Однако вместо того, чтобы представить недопустимые условия, где была недействительная подпись транзакции и действительный опекун, хакер использовал недействительную подпись и нехранителя, фактически создав два неутвержденных условия.
Поскольку для формирования «совпадения» для принятия запросов на транзакцию необходимы два действительных условия, а два недопустимых условия также могут рассматриваться как «совпадение» в рамках существующей логики системы, это позволило хакеру создать обернутый Ethereum (wETH) на Солане. . Не внося 120,000 120,000 ETH на счет условного депонирования, хакер отчеканил XNUMX XNUMX wETH, которые затем были обменены, обманом заставив Червоточину разблокировать обычный Ethereum, который обеспечивал другие wETH на Солане.
Хотя команда Wormhole с тех пор закрыла уязвимость, неясно, как они намерены рекапитализировать средства, украденные с моста, несмотря на объявление об усилиях в этом отношении. Хотя они предложили хакеру награду, отсутствие ответа было оглушительным. Тем не менее, этот взлом выявляет значительные уязвимости в критически важных инфраструктурах взаимодействия, которые соединяют DeFi, и, что более важно, в тех, которые позволяют блокчейнам взаимодействовать.
Могут ли многосторонние вычисления означать более безопасную совместимость?
Интероперабельность или, в данном контексте, способность соединять разрозненные блокчейны и экосистемы — это клей, который скрепляет децентрализованные финансы с помощью множества мостов, оракулов и многого другого. Однако интероперабельность может также означать уязвимость, как в случае с Wormhole, особенно когда интероперабельность отвечает за наблюдение за безопасным обменом ценностями между двумя системами.
Идея требовать от нескольких сторон или доказательств (например, подписей) для утверждения определенных транзакций не нова для технологии блокчейна, а является довольно распространенной особенностью некоторых электронных кошельков. Идея распределения права подписи между несколькими сторонами снижает риск единой точки отказа.
Для кошельков mutlisig это означает решение о том, кто будет со-подписантом и сколько со-подписантов должно подписать транзакцию. Проблема с этой моделью заключается в изменении со-подписантов и разрешений, не говоря уже о том, что несколько подписей должны быть представлены одновременно, что приводит к требованиям доступности со-подписантов для каждой транзакции.
Многосторонние вычисления (MPC) могут помочь избежать этих сложностей, но их применение выходит далеко за рамки кошельков и проверки ключей. MPC использует полностью модифицируемые конечные точки, содержащие часть секретных ключей, но не все их целиком. Вместе эти конечные точки используются для формирования консенсуса, и устанавливается минимальное количество конечных точек для достижения этого консенсуса по транзакции.
Курт Нильсен, президент и соучредитель блокчейна Partisia, считает, что MPC является ключом к раскрытию истинного потенциала функциональной совместимости в более безопасной и надежной среде. Нильсен отмечает: «Взаимодействие через мосты токенов демонстрирует огромный потенциал, чтобы стать основным создателем стоимости в экосистеме блокчейна. Однако, как мы видели в эксплойте Wormhole, перемещение токенов за пределы их установленной модели безопасности создает значительные проблемы и уязвимости. Наш ответ — более сложные, проверенные принципы аудита и широкомасштабные меры безопасности MPC».
Далее он объясняет: «Во-первых, Oracle с регулярным истечением срока действия эффективно и прозрачно представляет значения в различных блокчейнах, как двойная бухгалтерия, которая доказала свою ценность со времен банка Медичи в 14 веке. Во-вторых, крупномасштабные меры безопасности MPC позволяют избежать накопления финансового риска между оракулами или эпохами. В-третьих, узлы, управляющие оракулом в данную эпоху, предоставляют залог для поддержки переданных ценностей, и, наконец, объективные дисбалансы компенсируются посредством децентрализованного процесса разрешения споров».
Partisia занимается коммерческими решениями MPC с 2008 года и теперь применяет свою проницательность к приложениям на основе блокчейна. Блокчейн Partisia эффективно действует как уровень взаимодействия, используя вычисления с доказательством с нулевым разглашением. Поскольку узлы оцениваются и ранжируются в соответствии с их оценкой доверия, пользователи DeFi могут больше доверять тому, как и кто перемещает их ценность между экосистемами.
Несмотря на то, что на данный момент это крупнейший подобный инцидент в 2022 году, червоточина, вероятно, будет далеко не единственным протоколом, мостом или блокчейном DeFi, на который нацелены хакеры в течение года. Тем не менее, как показывает Partisia, MPC выделяется как одна из стратегий развития связи между сетями, которые контролируют передачу данных или ценностей, не зная точно, что передается кем и куда.
Источник: https://zycrypto.com/wormhole-exploit-underlines-case-for-greater-mpc-use-across-blockchain-oracles-bridges/