Web3 לא יעבור למיינסטרים עד שתהיה אינטגרציה חלקה של בלוקצ'יין: עם יותר ויותר התקפות גשר, מה זה אומר?

עוד במרץ 2022, רשת מטבעות הקריפטו אל תפחדי מהחושך חשף שהוא נפל קורבן לאחת הפריצות הגדולות בכל הזמנים, כשהוא סובל מפרצה שאפשרה לתוקפים לגנוב יותר מ-540 מיליון דולר בשווי של מטבעות את'ריום ודולר ארה"ב. התקרית ראתה האקרים מנצלים פגיעות בשירות המכונה גשר רונין. זוהי אחת ממספר התקפות מוצלחות על "גשרי בלוקצ'יין" לאחרונה, אשר משכו את תשומת הלב לחוסר היעילות האבטחה הטבועה בהם.

גשרי בלוקצ'יין, הנקראים לפעמים גשרי רשת, הם שירותים המאפשרים לבעלי קריפטו להעביר את הנכסים הדיגיטליים שלהם מבלוקצ'יין אחד לאחר. הם מספקים תפקיד חשוב, מכיוון שמטבעות קריפטוגרפיים לרוב מכוסים וחסרים יכולת פעולה הדדית, כלומר אתה יכול לשלוח ביטקוין לכתובת של ארנק Ethereum, למשל. בגלל הטבע המטופש הזה, גשרים הופיעו כמנגנון מפתח בכלכלת הקריפטו.

שירותי ברידג' אינם למעשה מעבירים סוג אחד של נכס דיגיטלי לרשת אחרת. במקום זאת, מה שהם עושים זה "לעטוף" אסימוני מטבעות קריפטוגרפיים כדי להמיר אותם לנכס חדש בשרשרת השנייה. אז אם משתמש רוצה לגשר בין ביטקוין לסולנה, הגשר למעשה יקפיא את ה-BTC המקורי על ידי נעילתו בכתובת ארנק, לפני שירוק החוצה את מה שמכונה BTC עטוף (WBTC) שניתן להשתמש בו בשרשרת השנייה. אפשר לחשוב עליו כעל סוג של גיפט קארד שמספק את אותו ערך כספי בדיוק, שניתן להשתמש בו רק בחנות ספציפית.

בשל אופן העבודה שלהם, גשרים מחזיקים אפוא עתודות משמעותיות של אסימוני מטבעות קריפטוגרפיים הנעולים בחוזים חכמים, והעתודות הללו הופכות אותם לאטרקטיביים במיוחד עבור האקרים.

כפי שאומני קריפטו יודעים טוב מדי, כל ערך המוחזק בשרשרת נתון להתקפה בכל שעה של היום. האינטרנט אף פעם לא עובר לא מקוון, כלומר תמיד ניתן לגשת לאסימונים שבידי כל גשר.

רונין האק מראה את סכנת הריכוזיות

 המתקפה על רשת רונין הייתה אחת מהשוד ה-DeFi הגדולות אי פעם במונחים של שווי דולר. רונין הוא רשת צדדית של Ethereum המאפשרת עסקאות זולות יותר במהירויות מהירות הרבה יותר מהרשת הראשית. זה היה הגשר המועדף על משחק המטבעות הקריפטוגרפיים הפופולרי "לשחק כדי להרוויח" Axie Infinity, כלומר עיבד כל הזמן מיליוני דולרים במטבעות קריפטו ו-stablecoins.

שרשראות צד הם פתרון קנה המידה של בלוקצ'יין הדורש גשר כדי להתחבר לשרשראות אחרות. עם רונין, המשתמשים יכולים לנעול את ה-ETH שלהם ולעטוף את ה-ETH שלהם ברשתות חלופיות. העסקאות מעובדות ומאושרות באמצעות אלגוריתם קונצנזוס של הוכחת סמכות. עם מודל זה, 5 מתוך 9 מאמתים חייבים להסכים על עסקה כדי להשיג קונצנזוס. עם זאת, ארבעה מהמאשרים של רונין הופעלו על ידי חברה אחת – Sky Mavis, המפתחת של רונין.

זו הייתה מערכה ריכוזית מאוד שנבעה מההחלטה של ​​ה-Axie Dao להקים צומת RPC נטול גז בנובמבר 2021 כדי לנסות ולתקן עומס ברשת. ה-DAO רשם את המפתחות של Sky Mavis לחתום על עסקאות בשמה. זה היה אמור להיות רק הסדר זמני, אבל רשימת ההיתרים מעולם לא בוטלה. זֶה יצר פתח עבור התוקפים - לכאורה קבוצת Lazarus בחסות צפון קוריאה - שהשתמשה בטכניקות הנדסה חברתית כדי לסכן את ארבעת המפתחות של Sky Mavis. לאחר מכן, ההאקרים גילו נקודת תורפה בקוד של ה-RPC, מה שהעניק לו שליטה על אימות חמישי ואיפשר לו לבצע נסיגה בלתי חוקית.

הנושא המרכזי היה שמערכת ריבוי החתימות של רונין לחתימה על עסקאות נפגעה עקב חוסר ביזור. זה ממחיש את החולשה של מנגנוני אבטחה שבהם רוב הממשל מרוכז בידי ישות אחת.

פגיעויות חוזים חכמים נמשכות

 הפריצה של רונין לא הייתה חד פעמית, אלא רק האחרונה בשורה של התקפות בפרופיל גבוה על גשרי בלוקצ'יין שהביאו לאיבוד ערך בשווי מיליוני דולרים. חודש לפני כן, התוקפים הצליחו לצאת עם Ethereum בשווי של כ-80 מיליון דולר בעקבות התקפה על גשר קוביט.

זהו שירות המופעל על ידי פלטפורמת Qubit Finance, המאפשרת למשתמשים להלוות ולהשאיל נכסים דיגיטליים ברשתות Ethereum ו-Binance Smart Chain. לדוגמה, זה מאפשר להפקיד אסימון ERC-20 ולקבל בתמורה מטבע BEP-20, שבו ניתן להשתמש בשרשרת Binance.

Qubit Bridge נפרץ עקב מה שנאמר כ"שגיאה לוגית" בקוד החוזה החכם שלה. הפגיעות אפשרה להאקר לתפעל את הגשר באמצעות נתונים זדוניים, כך שהוא או היא יכלו למשוך אסימוני BSC מבלי לבצע הפקדה כלשהי ב-Ethereum. א נתיחה של המתקפה גילה שהחוזה החכם של QBridge לא אימת כראוי שהכמות הנדרשת של ETH ננעלה. במקום זאת, ההאקר הצליח להציג הוכחה מזויפת להפקדה לא קיימת.

האירוע שימש להדגיש כיצד פגיעויות חוזים חכמים נותרו בעיה מתמשכת ב-DeFi, ובמיוחד עבור גשרי בלוקצ'יין. הרוב המכריע של התקפות הגשר מכוונות לבאגים בחוזים חכמים, שהם חוזים אוטומטיים שמתבצעים בעצמם כאשר מתקיימים תנאים מסוימים.

גשרים הם המפתח להרחבת טווח ההגעה של Crypto

 פלטפורמות קריפטו היו נתונות לזרם אינסופי של התקפות מאז שהתעשייה המתהווה החלה להיות פופולרית. חסידי DeFi אומרים שהוא יכול לספק אלטרנטיבה נגישה ושוויונית יותר לשירותים פיננסיים מסורתיים, אבל ככל שהמרחב התפתח הוא נתון למה שהוא בעצם משפט באש. התקפות על גשרים הפכו שגרתיות כמו חילופי מטבעות קריפטוגרפיים ושוד פרוטוקול DeFi. הבעיה היא שגשרים, כמו חילופים ופרוטוקולים, הם פלטפורמות בעלות הימור שמחזיקות כמויות אדירות של ערך וכל אחד מהם עלול להיות פגיע לבאגים בקוד הבסיסי שלהם.

ישנה אמונה רווחת שקריפטו ו-DeFi לעולם לא ישיגו אימוץ נרחב ללא פתרון הולם לסכנת התקפות. הרוב המכריע של שווי העולם מוחזק בידי משקיעים מוסדיים, כמו בנקי השקעות וקרנות גידור גדולות. ארגונים כאלה נותנים עדיפות לציות ובטיחות הכספים שלהם מעל הרווחים הפוטנציאליים שיכולים להיות. אז לא סביר ש-DeFi והקריפטו יהפכו להרבה יותר מתעשיית השקעות נישה עד שניתן יהיה לפתור את בעיות האבטחה שלה.

אבטחת הגשרים היא בעלת חשיבות מיוחדת. האופי המטופח של בלוקצ'יין הוא מגבלה חמורה המגבילה את טווח ההגעה הפוטנציאלי של כל יישום מבוזר. dApp הבנויה על Ethereum לא יכולה לדבר עם אחרים על סמך רשתות בלוקצ'יין שונות. הוא לא יכול לבצע עסקאות עם ביטקוין, המטבע הקריפטו היקר והנפוץ בעולם, כלומר לבעלי BTC אין דרך לקיים אינטראקציה עם מערכת האקולוגית של DeFi. אם הקריפטו יהפוך אי פעם לכל מקום, למשתמשים חייבת להיות דרך בטוחה לתקשר עם רשתות שונות.

בניית גשרים טובים יותר

 החדשות הטובות הן שיש כאלה בתעשייה שמכירים בחשיבות של קישוריות בלוקצ'יין מאובטחת. סיכוי מרגש אחד הוא AllianceBlock מבטיח מאוד AllianceBridge, התומך ברשתות גדולות כולל Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism ו-Energy Web עם תשתית ייחודית מבוזרת יותר ומספקת ביצועים מהירים ובטוחים יותר.

בניגוד לגשרים ריכוזיים, המסתמכים על גופים בודדים או רק על כמה ישויות כדי לוודא שעסקאות הן לגיטימיות, גשרים מבוזרים מבוססים על אותם עקרונות כמו הבלוקצ'יין עצמו. ישנם מספר מפעילים המשתמשים במנגנוני קונצנזוס מובנים היטב כדי לקבוע את תקפותן של עסקאות. AllianceBridge הוא גשר מבוזר שפיתח שיטה ייחודית להבטיח הגעה לקונצנזוס.

כמו אצל אחרים, AllianceBridge נועלת את האסימונים שהיא מקבלת בחוזה חכם ואז מנפיקה אסימונים עטופים ב-blockchain היעד. אותם אסימונים עטופים יהיו קיימים בשרשרת השנייה עד למועד שבו המשתמש יחליט לממש אותם ברשת המקורית. בשלב זה, האסימונים העטופים נשרפים, כלומר הם מפסיקים להתקיים, בעוד שהאסימונים המקוריים בשרשרת הילידים אינם נעולים.

המקום שבו AllianceBridge שונה הוא שהיא מעסיקה רשת תואמת EVM של מפעילי גשרים. בנוסף, הוא ממנף את הצד השלישי החזק שירות קונצנזוס חדרה האשגרף שמופעל על ידי "רכילות-על-רכילות" אלגוריתם קונצנזוס.

באמצעות שירות HCS, אפליקציות ורשתות בלוקצ'יין יכולות לשלוח הודעות לפנקס החשבונות של חדרה, שם הן מוחתמות בזמן ומוזמנות בשקיפות מלאה. זה מאפשר ל-AllianceBridge להגיע לקונצנזוס מבלי לשמור על סנכרון בין מפעילי הגשרים שלה. המשמעות היא ביצועים מהירים יותר עם רמה גבוהה של ביזור, בעוד HCS מספק שכבה נוספת של אמון שהופכת את הגשר לאבטח יותר.

החוזים החכמים של AllianceBridge, המשמשים לנעילה של הנכסים המקוריים ולצריבה ושריפת אסימונים עטופים, מספקים ביטחון עוד יותר. כל בסיס הקוד של החוזה החכם נכתב כדי להדהד עם תקן EIP-2535 והיה מבוקר מלא על ידי Omniscia. במהלך הביקורת, Omniscia הצביע על מספר בעיות פוטנציאליות שתוקנו מיד על ידי AllianceBlock לפני שהקוד עלה לאוויר.

האבטחה והאמינות של AllianceBridge מילאו תפקיד מפתח בהרחבת התועלת של חבילת הצעות ה-DeFi של AllianceBlock, כולל מסוף DeFi, המספק דרך קלה לפרויקטים להשיק קמפיינים של כריית נזילות והימור על פני מספר רשתות נתמכות ו-dApps. עם פרוטוקול הפעולה ההדדית המאובטחת של blockchain, AllianceBlock בונה את הבסיס החזק שדרושה מערכת אקולוגית עשירה ומקושרת של Web3 כדי לצמוח ולהתפתח.

- פרסומת -