Web3 ei lähe põhivoolu enne, kui on tõrgeteta plokiahela integreerimine: mida see tähendab üha enamate sillarünnakute korral?

Veel 2022. aasta märtsis krüptovaluutade võrgustik Ronin paljastas, et see oli langenud kõigi aegade ühe suurima häkkimise ohvriks, kannatades rikkumise tõttu, mis võimaldas ründajatel varastada rohkem kui 540 miljonit dollarit Ethereumi ja USD müntide väärtuses. Juhtunu käigus kasutasid häkkerid ära Ronini silla nime all tuntud teenuse haavatavust. See on üks paljudest hiljutistest edukatest rünnakutest "plokiahela sildade" vastu, mis on juhtinud tähelepanu nende loomupärasele ebatõhususele.

Plokiahela sillad, mida mõnikord nimetatakse võrgusildadeks, on teenused, mis võimaldavad krüptoomanikel oma digitaalseid varasid ühest plokiahelast teise teisaldada. Need mängivad olulist rolli, kuna krüptovaluutad on sageli siledad ja neil puudub koostalitlusvõime, mis tähendab, et saate saata Bitcoini näiteks Ethereumi rahakoti aadressile. Selle vaikse olemuse tõttu on sillad kujunenud krüptomajanduse võtmemehhanismiks.

Sillateenused ei kanna tegelikult ühte tüüpi digitaalset vara teise ketti. Pigem "mähivad" nad krüptovaluuta žetoone, et teisendada need teise ahela uueks varaks. Nii et kui kasutaja soovib siduda Bitcoini Solanaga, külmutab sild sisuliselt algse BTC, lukustades selle rahakoti aadressi, enne kui sülitab välja nn pakitud BTC (WBTC), mida saab kasutada teises ahelas. Seda võib mõelda kui täpselt sama rahalist väärtust pakkuvat kinkekaarti, mida saab kasutada vaid konkreetses kaupluses.

Tänu nende toimimisviisile on sildadel seetõttu märkimisväärsed krüptovaluuta žetoonide tagavarad, mis on lukustatud nutikatesse lepingutesse, ja need varud muudavad need häkkerite jaoks eriti atraktiivseks.

Nagu krüptotargad teavad liigagi hästi, võivad kõik ahelas hoitavad väärtused rünnata igal kellaajal. Internet ei lähe kunagi võrguühenduseta, mis tähendab, et igal sillal olevatele žetoonidele pääseb alati juurde.

Ronin Hack näitab tsentraliseerimise ohtu

 Rünnak Ronini võrgule oli dollari väärtuses üks suurimaid DeFi vargusi. Ronin on Ethereumi külgahel, mis võimaldab teha odavamaid tehinguid palju suurema kiirusega kui põhivõrk. See oli populaarse krüptovaluutamängu Axie Infinity "mängimiseks teenimiseks" valitud sild, mis tähendab, et see töötles pidevalt miljoneid dollareid krüpto- ja stabiilseid münte.

Sidechains on plokiahela skaleerimise lahendus, mis nõuab teiste kettidega ühenduse loomiseks silda. Ronini abil saavad kasutajad lukustada oma ETH ja piparmündiga pakitud ETH alternatiivsetes võrkudes. Tehinguid töödeldakse ja kinnitatakse volituse tõendamise konsensusalgoritmi abil. Selle mudeli puhul peavad 5 valideerijat 9-st konsensuse saavutamiseks tehingus kokku leppima. Nelja Ronini validaatorit haldas aga üks ettevõte – Ronini arendaja Sky Mavis.

See oli tugevalt tsentraliseeritud seadistus, mis tulenes Axie Dao otsusest luua 2021. aasta novembris gaasivaba RPC-sõlm, et proovida lahendada võrgu ummikuid. DAO lisas Sky Mavise võtmed tema nimel tehingute allkirjastamiseks lubatud loendisse. See pidi olema ainult ajutine kokkulepe, kuid lubade nimekirja ei tühistatud kunagi. See lõi avause ründajate jaoks – väidetavalt on Põhja-Korea sponsoreeritud Lazarus Group –, kes kasutas Sky Mavise nelja klahvi kompromiteerimiseks sotsiaalse konstrueerimise tehnikaid. Seejärel avastasid häkkerid RPC koodis haavatavuse, andes sellele kontrolli viienda validaatori üle ja võimaldades sellel ebaseaduslikult välja võtta.

Peamine probleem seisnes selles, et Ronini mitme allkirjaga süsteem tehingute allkirjastamiseks oli detsentraliseerimise puudumise tõttu ohus. See illustreerib turvamehhanismide nõrkust, kus suurem osa valitsemisest on koondunud ühe üksuse kätte.

Tarkade lepingute haavatavused püsivad

 Ronini häkkimine ei olnud ühekordne, vaid pigem uusim plokiahela sildade vastu suunatud kõrgetasemeliste rünnakute jada, mille tulemusel on kaotatud miljonite dollarite väärtuses väärtust. Kuu aega varem said ründajad pärast Qubiti silla rünnakut edukalt välja umbes 80 miljoni dollari väärtuses Ethereumi.

See on Qubit Finance'i platvormi hallatav teenus, mis võimaldab kasutajatel laenata ja laenata digitaalseid varasid Ethereumi ja Binance Smart Chain võrkude kaudu. Näiteks võimaldab see deponeerida ERC-20 märgi ja saada vastutasuks BEP-20 mündi, mida saab seejärel kasutada Binance'i ketis.

Qubit Bridge'i häkiti selle nutika lepingu koodis väidetavalt "loogikavea" tõttu. Haavatavus võimaldas häkkeril sillaga pahatahtlike andmete abil manipuleerida, nii et ta võis BSC märgid välja võtta ilma Ethereumi sissemakset tegemata. An rünnaku lahkamine leidis, et QBridge'i nutileping ei kontrollinud nõuetekohaselt, et vajalik kogus ETH-d oleks lukustatud. Selle asemel suutis häkker näidata võltsitud tõendit olematu sissemakse kohta.

Juhtum rõhutas, kuidas arukate lepingute haavatavused on DeFi-s ja eriti plokiahela sildades püsivaks probleemiks. Valdav enamus sillarünnakutest on suunatud nutikate lepingute vigadele, mis on automatiseeritud lepingud, mis teatud tingimuste täitmisel käivituvad ise.

Sillad on krüpto haarde laiendamise võti

 Krüptoplatvorme on tabanud lõputu rünnakute voog alates sellest ajast, kui tärkav tööstus hakkas populaarseks saama. DeFi järgijad väidavad, et see võib pakkuda traditsioonilistele finantsteenustele juurdepääsetavamat ja õiglasemat alternatiivi, kuid ruumi arenedes on see läbinud sisuliselt tuleproovi. Rünnakud sildadele on muutunud sama igapäevaseks kui krüptovaluutavahetus ja DeFi protokolli vargused. Probleem on selles, et sillad, nagu vahetused ja protokollid, on suure panusega platvormid, millel on tohutult väärtust ja mis tahes neist võib olla haavatav nende aluseks olevas koodis olevate vigade suhtes.

Levinud on arvamus, et krüpto ja DeFi ei saavuta kunagi laialdast kasutuselevõttu ilma korraliku lahenduseta ründeriskile. Valdav osa maailma väärtusest on institutsionaalsete investorite, näiteks investeerimispankade ja suurte riskifondide käes. Sellised organisatsioonid seavad nõuete täitmist ja oma rahaliste vahendite turvalisust kõrgemale kui võimalik kasum. Nii et DeFi ja krüpto ei muutu tõenäoliselt palju enamaks kui nišiinvesteeringute tööstus, kuni selle turvaprobleemid on lahendatud.

Silla turvalisus on erilise tähtsusega. Plokiahelate silutud olemus on tõsine puue, mis piirab mis tahes detsentraliseeritud rakenduse võimalikku ulatust. Ethereumile ehitatud dApp ei saa erinevate plokiahelate alusel teistega rääkida. See ei saa tehinguid teha Bitcoiniga, maailma kõige väärtuslikuma ja laialdasemalt kasutatava krüptovaluutaga, mis tähendab, et BTC omanikel pole võimalust DeFi ökosüsteemiga suhelda. Kui krüpto muutub kunagi üldlevinud, peab kasutajatel olema turvaline viis erinevate kettidega suhtlemiseks.

Paremate sildade ehitamine

 Hea uudis on see, et selles valdkonnas on inimesi, kes tunnistavad turvalise plokiahela ühenduvuse tähtsust. Üks põnev väljavaade on AllianceBlock's paljulubav AllianceBridge, mis toetab suuremaid võrke, sealhulgas Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism ja Energy Web, millel on ainulaadne infrastruktuur, mis on detsentraliseeritum ning tagab kiirema ja turvalisema jõudluse.

Erinevalt tsentraliseeritud sildadest, mis tuginevad tehingute seaduslikkuse kontrollimiseks ühele või mõnele üksusele, põhinevad detsentraliseeritud sillad samadel põhimõtetel nagu plokiahel ise. On mitmeid operaatoreid, kes kasutavad tehingute kehtivuse kindlakstegemiseks hästi struktureeritud konsensusmehhanisme. AllianceBridge on detsentraliseeritud sild, mis on välja töötanud ainulaadse meetodi konsensuse saavutamiseks.

Nagu ka teiste puhul, lukustab AllianceBridge saadud märgid nutikasse lepingusse ja väljastab seejärel mähitud märgid sihtplokiahelasse. Need mähitud märgid eksisteerivad teises ahelas seni, kuni kasutaja otsustab need algses võrgus lunastada. Sel hetkel mähitud märgid põletatakse, mis tähendab, et need lakkavad olemast, samal ajal kui algse ahela algsed märgid avatakse.

AllianceBridge erineb selles, et see kasutab EVM-iga ühilduvat sillaoperaatorite võrgustikku. Lisaks kasutab see tugevat kolmandat osapoolt Hedera Hashgraphi konsensuse teenus mis põhineb uuenduslikul "klatš-jutt” konsensusalgoritm.

HCS-teenust kasutades saavad plokiahela rakendused ja võrgud saata sõnumeid Hedera avalikku pearaamatusse, kus need on ajatembeldatud ja täieliku läbipaistvusega järjestatud. See võimaldab AllianceBridge'il jõuda konsensusele ilma sillaoperaatorite vahelist sünkroonimist säilitamata. See tähendab kiiremat jõudlust suure detsentraliseerituse astmega, samas kui HCS pakub täiendavat usalduskihti, mis muudab silla turvalisemaks.

AllianceBridge'i nutikad lepingud, mida kasutatakse algsete varade lukustamiseks ning pakendatud žetoonide vermimiseks ja põletamiseks, pakuvad veelgi kindlustunnet. Kogu nutika lepingu koodibaas kirjutati nii, et see vastaks standardile EIP-2535 ja on seda ka tehtud täielikult auditeeritud Omniscia poolt. Auditi käigus juhtis Omniscia tähelepanu mitmetele võimalikele probleemidele, mille AllianceBlock enne koodi avaldamist viivitamatult parandas.

AllianceBridge'i turvalisus ja usaldusväärsus on mänginud võtmerolli AllianceBlocki DeFi pakkumiste komplekti kasulikkuse laiendamisel, sealhulgas DeFi terminal, mis pakub projektidele lihtsa viisi likviidsuse kaevandamise ja panustamise kampaaniate käivitamiseks mitmes toetatud võrgus ja rakendustes. Oma turvalise plokiahela koostalitlusvõime protokolliga loob AllianceBlock tugeva aluse, mida rikas, omavahel ühendatud Web3 ökosüsteem vajab kasvamiseks ja arenemiseks.

- reklaam -