Web3 нема да оди на мејнстрим додека не дојде до беспрекорна блокчејн интеграција: со се повеќе и повеќе напади на мостови, што значи ова?

Назад во март 2022 година, мрежата за криптовалути Ronin откри дека станала жртва на еден од најголемите хакери на сите времиња, претрпувајќи повреда што им дозволила на напаѓачите да украде повеќе од 540 милиони долари вредни монети Ethereum и USD. Во инцидентот хакери ја искористија ранливоста во услугата позната како мост Ронин. Тоа е еден од бројните успешни напади на „блокчејн мостови“ неодамна кои го привлекоа вниманието на нивната инхерентна безбедносна неефикасност.

Блокчејн мостовите, понекогаш наречени мрежни мостови, се услуги кои им овозможуваат на сопствениците на крипто да ги преместат своите дигитални средства од еден блокчејн во друг. Тие обезбедуваат важна улога, бидејќи криптовалутите честопати се заглавени и немаат интероперабилност, што значи дека можете да испратите Bitcoin на адреса на паричникот Ethereum, на пример. Поради оваа забранета природа, мостовите се појавија како клучен механизам во крипто економијата.

Мостовите услуги всушност не пренесуваат еден вид дигитално средство на друг синџир. Наместо тоа, она што тие го прават е да ги „завиткаат“ токените за криптовалути со цел да ги претворат во ново средство на другиот синџир. Значи, ако корисникот сака да го премости Биткоин со Солана, мостот во суштина ќе го замрзне оригиналниот БТК со тоа што ќе го заклучи во адресата на паричникот, пред да го исплука она што е познато како завиткан БТК (WBTC) што може да се користи на вториот синџир. Може да се замисли како еден вид подарок-картичка која ја дава точно истата парична вредност, која може да се користи само во одредена продавница.

Поради начинот на кој работат, мостовите имаат значителни резерви на токени за криптовалути кои се заклучени во паметни договори, а тие резерви ги прават особено привлечни за хакерите.

Како што многу добро знаат крипто старешините, секоја вредност што се држи на синџирот е предмет на напад во секое време од денот. Интернетот никогаш не оди офлајн, што значи дека секогаш може да се пристапи до токените што ги држи кој било мост.

Ronin Hack ја покажува опасноста од централизација

 Нападот врз Ronin Network беше еден од најголемите грабежи на DeFi во однос на вредноста на доларот. Ronin е страничен синџир на Ethereum кој овозможува поевтини трансакции со многу поголеми брзини од главната мрежа. Тоа беше мостот на избор за популарната игра за криптовалути „игра за заработка“ Axie Infinity, што значи дека постојано обработуваше милиони долари во крипто и стабилни коини.

Страничните синџири се решение за скалирање на блокчејн за кое е потребен мост за поврзување со други синџири. Со Ronin, корисниците можат да го заклучат својот ETH и да го наведат завитканиот ETH на алтернативни мрежи. Трансакциите се обработуваат и се одобруваат преку алгоритам за консензус за доказ за овластување. Со овој модел, 5 од 9 валидатори мора да се договорат за трансакција за да се постигне консензус. Сепак, четири од валидаторите на Ronin беа управувани од една компанија - Sky Mavis, развивачот на Ronin.

Тоа беше силно централизирано поставување што произлезе од одлуката на Axie Dao да постави RPC јазол без гас во ноември 2021 година за да се обиде да го поправи мрежниот метеж. DAO ги дозволи клучевите на Sky Mavis за потпишување трансакции во негово име. Тоа требаше да биде само привремен аранжман, но списокот на дозволи никогаш не беше укинат. Ова создаде отвор за напаѓачите - се вели дека се Лазарус групацијата спонзорирана од Северна Кореја - која користела техники на социјален инженеринг за да ги компромитира четирите клучеви на Sky Mavis. Хакерите потоа открија ранливост во кодот на RPC, давајќи му контрола на петтиот валидатор и дозволувајќи му да направи незаконско повлекување.

Главното прашање беше што системот со повеќе потписи на Ронин за потпишување трансакции беше компромитиран поради недостаток на децентрализација. Тоа ја илустрира слабоста на безбедносните механизми каде што поголемиот дел од владеењето е концентрирано во рацете на еден ентитет.

Остануваат ранливостите на паметните договори

 Хакот на Ронин не беше еднократен, туку само последен во низата напади од висок профил на блокчејн мостови кои резултираа со загуба на вредност од милиони долари. Еден месец претходно, напаѓачите успешно се оддалечија со Ethereum вреден околу 80 милиони долари по нападот на мостот Кубит.

Тоа е услуга управувана од платформата Qubit Finance, која им овозможува на корисниците да позајмуваат и позајмуваат дигитални средства низ мрежите на паметниот синџир на Ethereum и Binance. На пример, овозможува да се депонира токен ERC-20 и да се добие монета BEP-20 во замена, која потоа може да се користи во синџирот Binance.

Qubit Bridge беше хакиран поради, како што се вели, „логичка грешка“ во кодот на неговиот паметен договор. Ранливоста му овозможи на хакерот да манипулира со мостот користејќи малициозни податоци, за да може да ги повлече BSC токените без да направи депозит на Ethereum. Ан обдукција на нападот откри дека паметниот договор QBridge не проверува правилно дека потребната количина на ETH е заклучена. Наместо тоа, хакерот можеше да покаже лажен доказ за непостоечки депозит.

Инцидентот служеше да се истакне како ранливостите на паметните договори остануваат постојан проблем во DeFi, а особено за блокчејн мостовите. Огромното мнозинство на напади со мост се насочени кон грешки во паметните договори, кои се автоматизирани договори кои сами се извршуваат кога се исполнети одредени услови.

Мостовите се клучни за проширување на досегот на крипто

 Крипто платформите се предмет на бесконечен прилив на напади уште откако индустријата во зародиш почна да станува популарна. Приврзаниците на DeFi велат дека тој може да обезбеди попристапна и правична алтернатива на традиционалните финансиски услуги, но како што просторот еволуираше, тој беше подложен на она што во суштина е проба со оган. Нападите на мостовите станаа вообичаени како размена на криптовалути и кражби на протоколот DeFi. Прашањето е дека мостовите, како размената и протоколите, се платформи со високи влогови кои имаат огромна вредност и секој од нив може да биде ранлив на грешки во нивниот основни код.

Постои широко распространето верување дека крипто и DeFi никогаш нема да постигнат широко усвојување без соодветно решение за ризикот од напади. Огромното мнозинство од светската вредност го држат институционални инвеститори, како што се инвестициските банки и големите хеџ фондови. Ваквите организации даваат приоритет на усогласеноста и безбедноста на нивните средства над која било потенцијална добивка. Така, DeFi и крипто веројатно нема да станат многу повеќе од инвестициска индустрија додека не се решат нејзините безбедносни проблеми.

Безбедноста на мостот е од особено значење. Забранетата природа на блокчејновите е сериозен хендикеп што го ограничува потенцијалниот досег на која било децентрализирана апликација. dApp изградена на Ethereum не може да разговара со други врз основа на различни блокчејнови. Таа не може да врши трансакции со Биткоин, највредната и најшироко користена криптовалута во светот, што значи дека имателите на БТК немаат начин да комуницираат со екосистемот DeFi. Ако криптото некогаш ќе стане сеприсутно, корисниците мора да имаат безбеден начин да комуницираат со различни синџири.

Градење подобри мостови

 Добрата вест е дека има такви во индустријата кои ја препознаваат важноста на безбедното поврзување со блокчејн. Една возбудлива перспектива е AllianceBlock's многу ветувачки АлијансБриџ, кој поддржува големи мрежи вклучувајќи Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism и Energy Web со уникатна инфраструктура која е подецентрализирана и обезбедува побрзи и побезбедни перформанси.

За разлика од централизираните мостови, кои се потпираат на еден или само неколку ентитети за да потврдат дека трансакциите се легитимни, децентрализираните мостови се засноваат на истите принципи како и самиот блокчејн. Постојат повеќе оператори кои користат добро структурирани механизми за консензус за да ја утврдат валидноста на трансакциите. AllianceBridge е децентрализиран мост кој разви уникатен метод за да обезбеди постигнување консензус.

Како и со другите, AllianceBridge ги заклучува токените што ги добива во паметен договор и потоа издава завиткани токени на целниот блокчејн. Тие завиткани токени ќе постојат на вториот синџир сè додека корисникот не одлучи да ги откупи на оригиналната мрежа. Во тој момент, завитканите токени се изгорени, што значи дека престануваат да постојат, додека оригиналните токени на мајчиниот синџир се отклучуваат.

Она што се разликува AllianceBridge е тоа што користи мрежа на оператори на мостови компатибилна со EVM. Дополнително, ја користи робусната, трета страна Услуга за консензус Hedera Hashgraph тоа е напојувано од иновативна “озборување-за-озборување“ Алгоритам за консензус.

Користејќи ја услугата HCS, блокчејн апликациите и мрежите можат да поднесуваат пораки до јавната книга на Hedera, каде што се означени со временски печат и нарачани со целосна транспарентност. Ова му овозможува на AllianceBridge да постигне консензус без одржување на синхронизација помеѓу операторите на мостот. Ова значи побрзи перформанси со висок степен на децентрализација, додека HCS обезбедува дополнителен слој на доверба што го прави мостот побезбеден.

Паметните договори на AllianceBridge, кои се користат за заклучување на оригиналните средства и нане и палење завиткани токени, обезбедуваат уште поголема сигурност. Целата база на кодови за паметни договори беше напишана за да резонира со стандардот EIP-2535 и беше целосно ревидиран од Omniscia. За време на ревизијата, Omniscia укажа на голем број потенцијални проблеми кои беа веднаш поправени од страна на AllianceBlock пред кодот да влезе во употреба.

Безбедноста и доверливоста на AllianceBridge одигра клучна улога во проширувањето на полезноста на пакетот DeFi понуди на AllianceBlock, вклучувајќи Дефи терминал, кој обезбедува лесен начин за проектите да започнат кампањи за ископување ликвидност и залог преку повеќе поддржани мрежи и dApps. Со својот безбеден протокол за интероперабилност на блокчејн, AllianceBlock ја гради стабилната основа што му е потребна на богатиот, меѓусебно поврзан Web3 екосистем за да расте и да се развива.

- Оглас -