Чи безпечні Blockchain Bridges? Чому мости є мішенями хакерів

У березні 2022 року над 625 мільйонів доларів криптовалюти було викрадено з протоколу Ronin Bridge в результаті зловмисної атаки хакерів, що відзначило цю подію як ONE з найбільших крадіжок Криптовалюта в історії. У червні Harmony One's Horizon Bridge програв 100 мільйонів доларів в нападі. У серпні ще один 200 мільйонів доларів було втрачено з Nomad Bridge внаслідок використання вразливості в базовій Технології — розумні контракти.

Загалом Chainalysis оцінює понад 2 мільярди доларів Лише у 2022 році з блокчейн-мостів було вкрадено цифрові активи. Ця цифра становить приблизно 69% усіх викрадених Крипто коштів за рік.

Частота цих зломів мостів стала попереджувальним сигналом для користувачів і значною загрозою для зміцнення довіри до Технології блокчейн. У міру того, як впровадження Криптовалюта прискорюється, галузь стикається зі зростаючим тиском, щоб виправити недоліки, які дозволили ці експлойти.

У цій статті ми розглянемо, чому блокчейн-мости стали невід’ємною частиною Крипто екосистеми, різницю між довірчими та ненадійними мостами, а також потенційні недоліки кожної моделі, які дозволяли хакерам викачувати кошти в кожній з ONE.

Що таке блокчейн-мости?

Блокчейн мости, також відомий як мережеві мости або міжланцюгові мости, є інструментом, призначеним для вирішення проблеми сумісності між блокчейнами. Мости стали необхідним компонентом індустрії блокчейнів, тому що в поточному стані блокчейни працюють ізольовано і не можуть спілкуватися ONE з одним.

Наприклад, користувачі не можуть використовувати Bitcoin (BTC) на блокчейні Ethereum або ефірі (ETH) на блокчейні Bitcoin . Отже, якщо ONE користувач (назвемо його Біллі), який зберігає всі свої кошти в BTC, хоче заплатити іншому користувачу (назвемо її Етель) за товар, але Етель приймає лише ETH, Біллі натикається на стіну. Він T може надіслати BTC безпосередньо Етель. Він може зробити додаткові кроки, щоб купити ETH або обміняти частину своїх BTC на ETH, але BTC не можна надіслати безпосередньо Етель. Це можна розглядати як серйозний недолік порівняно з фіатними валютами та кредитними картками, які можна використовувати кількома постачальниками.

Блокчейн-мости спрямовані на усунення цієї проблеми.

Хоча кожен міст блокчейну розроблений по-різному, ці мости зазвичай дозволяють користувачам заблокувати певну кількість цифрових активів на ONE блокчейні. В обмін на це протокол потім кредитуватиме або карбуватиме ту саму суму активів на іншому блокчейні, еквівалентну заблокованим коштам.

Ці нові активи відомі як "загорнутий"версії токена. Наприклад, користувач, який заблокував свій ефір (ETH) в ONE блокчейні, отримає "загорнутий" ефір (wETH) в іншому блокчейні. Це дозволяє Біллі використовувати міст для надсилання Wrapped Bitcoin (WBTC), який працює на блокчейні Ethereum , до Етель більш плавним способом.

Дивіться також: Що таке загорнуті токени?

Блокчейн-мости на основі довіри проти безнадійних

З точки зору безпеки, мости можна класифікувати на дві основні групи: надійні (також відомі як охоронні) і ненадійні (неохоронні). Довірені платформи — це, по суті, платформи, які покладаються на треті сторони для перевірки транзакцій, діючи як зберігачі переведених активів. Наприклад, усі Wrapped Bitcoin зберігаються BitGo. Якщо ONE компанія контролює всі активи, це означає, що це єдина точка відмови. Якщо компанія корумпована, збанкрутує або має інші фундаментальні проблеми, Крипто , яку вона зберігає, знаходиться під загрозою.

Для ілюстрації протокол Ronin Bridge покладався на дев’ять валідаторів, чотири з яких належала команді Sky Mavis. Щоб підтримувати безпеку, Ronin Bridge вимагає, щоб більшість цих вузлів перевірки (п’ять або більше вузлів) ініціювали будь-яке зняття чи депозит. Однак, оскільки зловмисники змогли скомпрометувати всі чотири вузли, які контролювала команда Sky Mavis, їм потрібен був лише один додатковий вузол, щоб взяти під контроль. Вони зробили це, і це дозволило їм вичерпати протокол у розмірі 625 мільйонів доларів під прикриттям «перевіреного» зняття.

Інші приклади мостів на основі довіри включають Binance Bridge, Polygon POS Bridge, Avalanche міст, Міст Harmony і Міст Terra Shuttle.

З іншого боку, платформи, які покладаються виключно на смарт-контракти та алгоритми для зберігання депозитарних активів, називаються безнадійними мостами. Його обмеження пов’язані з цілісністю базового коду.

Наприклад, Червоточина це платформа, яка полегшує перехресні транзакції між Solana та Ethereum. Wormhole — це мостовий протокол блокчейну, який зазнав експлойту в лютому 2022 року через помилку в смарт-контракті. Це дозволило зловмисникам обійти його процеси перевірки та призвело до злому, який коштує понад усе 326 мільйонів доларів.

Інші приклади безнадійних мостів Райдужний міст, Сніжний міст Полкадота і IBC Cosmos.

Чи безпечні блокчейн-мости?

І надійний, і ненадійний підходи можуть мати фундаментальні або технічні недоліки. Якщо бути більш точним, аспект централізації довіреного мосту є фундаментальною вадою, а безнадійні мости вразливі до експлойтів, які походять від програмного забезпечення та основного коду. Просто, якщо в смарт-контракті є недолік, майже напевно, що сторони зі злими намірами спробують ним скористатися.

На жаль, T було ідеального вирішення проблеми, з якою стикається галузь. Як надійні, так і ненадійні платформи мають неявні недоліки у своєму дизайні та ставлять під загрозу безпеку мосту блокчейну у відповідний спосіб.

Крім того, у міру KEEP цінності та користувачів індустрії Криптовалюта хакери стають все більш досвідченими. Традиційні кібератаки, такі як соціальна інженерія та фішингові атаки, також адаптувалися до наративу Web3, щоб націлюватися як на централізовані, так і на децентралізовані протоколи.

Незважаючи на те, що це не надійно, цінним першим кроком до вирішення проблем безпеки на блокчейн-мостах може бути надзвичайно ретельний аудит вихідного коду перед розгортанням мосту на блокчейні. Це має бути ґрунтовна перевірка, щоб звести до мінімуму будь-які недоліки, тому що достатньо ONE промаху з неправильним рядком коду, і хакери знайдуть доступ.

У зв’язку з цим користувачам життєво важливо перед взаємодією з будь-якою сполучною екосистемою провести належну обачність, що включає перевірку документації, коду та зрілості системи. Це засіб захисту їхньої Крипто , у той час як розробники знаходять рішення для подолання обмежень поточних протоколів з’єднання блокчейнів.

Читайте також: Як залишатися в безпеці в DeFi