עוד במרץ 2022, רשת מטבעות הקריפטו אל תפחדי מהחושך חשף שהוא נפל קורבן לאחת הפריצות הגדולות בכל הזמנים, כשהוא סובל מפרצה שאפשרה לתוקפים לגנוב יותר מ-540 מיליון דולר בשווי של מטבעות את'ריום ודולר ארה"ב. התקרית ראתה האקרים מנצלים פגיעות בשירות המכונה גשר רונין. זוהי אחת ממספר התקפות מוצלחות על "גשרי בלוקצ'יין" לאחרונה, אשר משכו את תשומת הלב לחוסר היעילות האבטחה הטבועה בהם.
גשרי בלוקצ'יין, הנקראים לפעמים גשרי רשת, הם שירותים המאפשרים לבעלי קריפטו להעביר את הנכסים הדיגיטליים שלהם מבלוקצ'יין אחד לאחר. הם מספקים תפקיד חשוב, מכיוון שמטבעות קריפטוגרפיים לרוב מכוסים וחסרים יכולת פעולה הדדית, כלומר אתה יכול לשלוח ביטקוין לכתובת של ארנק Ethereum, למשל. בגלל הטבע המטופש הזה, גשרים הופיעו כמנגנון מפתח בכלכלת הקריפטו.
שירותי ברידג' אינם למעשה מעבירים סוג אחד של נכס דיגיטלי לרשת אחרת. במקום זאת, מה שהם עושים זה "לעטוף" אסימוני מטבעות קריפטוגרפיים כדי להמיר אותם לנכס חדש בשרשרת השנייה. אז אם משתמש רוצה לגשר בין ביטקוין לסולנה, הגשר למעשה יקפיא את ה-BTC המקורי על ידי נעילתו בכתובת ארנק, לפני שירוק החוצה את מה שמכונה BTC עטוף (WBTC) שניתן להשתמש בו בשרשרת השנייה. אפשר לחשוב עליו כעל סוג של גיפט קארד שמספק את אותו ערך כספי בדיוק, שניתן להשתמש בו רק בחנות ספציפית.
בשל אופן העבודה שלהם, גשרים מחזיקים אפוא עתודות משמעותיות של אסימוני מטבעות קריפטוגרפיים הנעולים בחוזים חכמים, והעתודות הללו הופכות אותם לאטרקטיביים במיוחד עבור האקרים.
כפי שאומני קריפטו יודעים טוב מדי, כל ערך המוחזק בשרשרת נתון להתקפה בכל שעה של היום. האינטרנט אף פעם לא עובר לא מקוון, כלומר תמיד ניתן לגשת לאסימונים שבידי כל גשר.
רונין האק מראה את סכנת הריכוזיות
זו הייתה מערכה ריכוזית מאוד שנבעה מההחלטה של ה-Axie Dao להקים צומת RPC נטול גז בנובמבר 2021 כדי לנסות ולתקן עומס ברשת. ה-DAO רשם את המפתחות של Sky Mavis לחתום על עסקאות בשמה. זה היה אמור להיות רק הסדר זמני, אבל רשימת ההיתרים מעולם לא בוטלה. זֶה יצר פתח עבור התוקפים - לכאורה קבוצת Lazarus בחסות צפון קוריאה - שהשתמשה בטכניקות הנדסה חברתית כדי לסכן את ארבעת המפתחות של Sky Mavis. לאחר מכן, ההאקרים גילו נקודת תורפה בקוד של ה-RPC, מה שהעניק לו שליטה על אימות חמישי ואיפשר לו לבצע נסיגה בלתי חוקית.
הנושא המרכזי היה שמערכת ריבוי החתימות של רונין לחתימה על עסקאות נפגעה עקב חוסר ביזור. זה ממחיש את החולשה של מנגנוני אבטחה שבהם רוב הממשל מרוכז בידי ישות אחת.
פגיעויות חוזים חכמים נמשכות
Qubit Bridge נפרץ עקב מה שנאמר כ"שגיאה לוגית" בקוד החוזה החכם שלה. הפגיעות אפשרה להאקר לתפעל את הגשר באמצעות נתונים זדוניים, כך שהוא או היא יכלו למשוך אסימוני BSC מבלי לבצע הפקדה כלשהי ב-Ethereum. א נתיחה של המתקפה גילה שהחוזה החכם של QBridge לא אימת כראוי שהכמות הנדרשת של ETH ננעלה. במקום זאת, ההאקר הצליח להציג הוכחה מזויפת להפקדה לא קיימת.
האירוע שימש להדגיש כיצד פגיעויות חוזים חכמים נותרו בעיה מתמשכת ב-DeFi, ובמיוחד עבור גשרי בלוקצ'יין. הרוב המכריע של התקפות הגשר מכוונות לבאגים בחוזים חכמים, שהם חוזים אוטומטיים שמתבצעים בעצמם כאשר מתקיימים תנאים מסוימים.
גשרים הם המפתח להרחבת טווח ההגעה של Crypto
בניית גשרים טובים יותר
החדשות הטובות הן שיש כאלה בתעשייה שמכירים בחשיבות של קישוריות בלוקצ'יין מאובטחת. סיכוי מרגש אחד הוא AllianceBlock מבטיח מאוד AllianceBridge, התומך ברשתות גדולות כולל Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism ו-Energy Web עם תשתית ייחודית מבוזרת יותר ומספקת ביצועים מהירים ובטוחים יותר.
בניגוד לגשרים ריכוזיים, המסתמכים על גופים בודדים או רק על כמה ישויות כדי לוודא שעסקאות הן לגיטימיות, גשרים מבוזרים מבוססים על אותם עקרונות כמו הבלוקצ'יין עצמו. ישנם מספר מפעילים המשתמשים במנגנוני קונצנזוס מובנים היטב כדי לקבוע את תקפותן של עסקאות. AllianceBridge הוא גשר מבוזר שפיתח שיטה ייחודית להבטיח הגעה לקונצנזוס.
כמו אצל אחרים, AllianceBridge נועלת את האסימונים שהיא מקבלת בחוזה חכם ואז מנפיקה אסימונים עטופים ב-blockchain היעד. אותם אסימונים עטופים יהיו קיימים בשרשרת השנייה עד למועד שבו המשתמש יחליט לממש אותם ברשת המקורית. בשלב זה, האסימונים העטופים נשרפים, כלומר הם מפסיקים להתקיים, בעוד שהאסימונים המקוריים בשרשרת הילידים אינם נעולים.
המקום שבו AllianceBridge שונה הוא שהיא מעסיקה רשת תואמת EVM של מפעילי גשרים. בנוסף, הוא ממנף את הצד השלישי החזק שירות קונצנזוס חדרה האשגרף שמופעל על ידי "רכילות-על-רכילות" אלגוריתם קונצנזוס.
באמצעות שירות HCS, אפליקציות ורשתות בלוקצ'יין יכולות לשלוח הודעות לפנקס החשבונות של חדרה, שם הן מוחתמות בזמן ומוזמנות בשקיפות מלאה. זה מאפשר ל-AllianceBridge להגיע לקונצנזוס מבלי לשמור על סנכרון בין מפעילי הגשרים שלה. המשמעות היא ביצועים מהירים יותר עם רמה גבוהה של ביזור, בעוד HCS מספק שכבה נוספת של אמון שהופכת את הגשר לאבטח יותר.
החוזים החכמים של AllianceBridge, המשמשים לנעילה של הנכסים המקוריים ולצריבה ושריפת אסימונים עטופים, מספקים ביטחון עוד יותר. כל בסיס הקוד של החוזה החכם נכתב כדי להדהד עם תקן EIP-2535 והיה מבוקר מלא על ידי Omniscia. במהלך הביקורת, Omniscia הצביע על מספר בעיות פוטנציאליות שתוקנו מיד על ידי AllianceBlock לפני שהקוד עלה לאוויר.
האבטחה והאמינות של AllianceBridge מילאו תפקיד מפתח בהרחבת התועלת של חבילת הצעות ה-DeFi של AllianceBlock, כולל מסוף DeFi, המספק דרך קלה לפרויקטים להשיק קמפיינים של כריית נזילות והימור על פני מספר רשתות נתמכות ו-dApps. עם פרוטוקול הפעולה ההדדית המאובטחת של blockchain, AllianceBlock בונה את הבסיס החזק שדרושה מערכת אקולוגית עשירה ומקושרת של Web3 כדי לצמוח ולהתפתח.
- פרסומת -
Source: https://thecryptobasic.com/2022/09/21/web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean/?utm_source=rss&utm_medium=rss&utm_campaign=web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean