מימון מבוזר (DeFi) עשוי היה להופיע כקטגוריה מרגשת במערכת האקולוגית של הבלוקצ'יין, אך מצבו המתהווה השאיר משתתפים רבים חשופים לסיכונים הנלווים של איטרציה של שירותים פיננסיים יותר דמוקרטיים.
הניצול האחרון של Wormhole, גשר בלוקצ'יין בין סולנה לאתריום, מדגיש את הפגמים שממשיכים לצוץ ולהשפיע על משתמשי DeFi. לצורך ההקשר, הפריצה של 325 מיליון דולר הייתה למעשה תוצאה של לוגיקה פגומה בערכת התכנות של הגשר לעדכון.
בדרך כלל, עסקה שזורמת דרך חור תולעת לסולנה דורשת חתימת עסקה חוקית ואפוטרופוס (צומת אימות מאושר). אם שני התנאים הללו מתקיימים, בקשות העסקה יאושרו. במקרה של חתימת עסקה לא חוקית ואפוטרופוס תקף, לא מתקיימים התנאים הדרושים לביצוע עסקה, מה שמוביל את סולנה לדחות בקשה זו. עם זאת, במקום להציג תנאים לא חוקיים שבהם הייתה חתימת עסקה לא חוקית ואפוטרופוס חוקי, ההאקר השתמש בחתימה לא חוקית ובאי אפוטרופוס, ולמעשה יצר שני תנאים לא אושרו.
מכיוון שנדרשים שני תנאים חוקיים כדי ליצור "התאמה" כדי לקבל את בקשות העסקה, ושני תנאים לא חוקיים יכולים להיחשב גם כ"התאמה" בתוך ההיגיון הקיים של המערכת, זה איפשר להאקר להטביע Ethereum (wETH) עטוף בסולנה . מבלי להפקיד 120,000 ETH במה שמתפקד כחשבון נאמנות, ההאקר טבע 120,000 wETH, אשר הוחלפו לאחר מכן, והערים את חור התולעת על מנת לפתוח את Ethereum רגיל שהעניק בטחונות ל-WETH אחר על סולנה.
למרות שצוות חור התולעים סגר מאז את הפגם, לא ברור כיצד הם מתכוונים להחזיר את הכספים שנגנבו מהגשר למרות שהכריזו על מאמצים לכך. בעוד שהם עשו פתיחות פרס להאקר, אי התגובה מחריש אוזניים. ובכל זאת, הפריצה הזו מדגישה את הפגיעויות המשמעותיות בתשתיות ההדדיות הקריטיות שמחברות את DeFi, וחשוב מכך, את אלו שמאפשרות לבלוקצ'יין לתקשר.
האם חישוב מרובה צדדים יכול להוות יכולת פעולה הדדית בטוחה יותר?
יכולת פעולה הדדית, או בהקשר זה, היכולת לחבר בלוקצ'יין מנותקים ומערכות אקולוגיות, היא הדבק שמחזיק את הפיננסים המבוזרים יחד באמצעות התפשטות של גשרים, אורקלים ועוד. עם זאת, יכולת פעולה הדדית יכולה להיות גם פגיעות, כפי שהיה במקרה של Wormhole, במיוחד כאשר יכולת פעולה הדדית אחראית לפקח על החלפת ערך מאובטחת בין שתי מערכות.
הרעיון לדרוש מספר צדדים או הוכחות (כמו חתימות) כדי לאשר עסקאות מסוימות אינו זר לטכנולוגיית הבלוקצ'יין אלא מאפיין נפוץ למדי של ארנקים אלקטרוניים מסוימים. הרעיון של חלוקת כוח חתימה למספר צדדים מפחית את הסיכון לנקודת כשל בודדת.
עבור ארנקי mutlisig, משמעות הדבר היא להחליט מי יהיו החותמים השותפים וכמה חותמים שותפים חייבים לחתום על עסקה. הבעיה במודל זה היא שינוי חותמים והרשאות שותפים, שלא לדבר על כך שצריך להציג מספר חתימות בו זמנית, וכתוצאה מכך דרישות זמינות מהחותמים השותפים לכל עסקה.
חישוב רב-צדדי (MPC) יכול לעזור למנוע סיבוכים אלה, אבל היישום שלו משתרע הרבה מעבר לארנקים ולאימות מפתח. MPC משתמש בנקודות קצה הניתנות לשינוי לחלוטין המכילות חלק מהמפתחות הסודיים אך לא את כלם. יחד, נקודות קצה אלו משמשות ליצירת הסכמה, ומספר מינימלי של נקודות קצה מוגדר כדי להגיע לקונצנזוס זה על עסקה.
קורט נילסן, הנשיא והמייסד השותף של Partisia blockchain, מאמין ש-MPC מחזיק במפתח לפתיחת הפוטנציאל האמיתי של יכולת פעולה הדדית במסגרת מאובטחת ואמינה יותר. נילסן מציינת, "יכולת פעולה הדדית באמצעות גשרים אסימונים מציגה פוטנציאל עצום להפוך ליוצר ערך עיקרי במערכת האקולוגית של הבלוקצ'יין. עם זאת, כפי שראינו ב-Wormhole exploit, העברת אסימונים מחוץ למודל האבטחה המבוסס שלהם מציבה אתגרים ופגיעויות משמעותיות. התשובה שלנו היא יותר מתוחכמת, עקרונות ביקורת מוכחים ואמצעי אבטחה בקנה מידה גדול של MPC."
עוד הוא מסביר, "ראשית, אורקל שפג תוקפו באופן קבוע מייצג בצורה יעילה ושקופה את הערכים על פני הבלוקצ'יין השונים כמו הנהלת חשבונות כפולה שהוכיחה את ערכה מאז בנק מדיצ'י במאה ה-14. שנית, אמצעי אבטחה בקנה מידה גדול של MPC מונעים הצטברות של סיכון פיננסי על פני אורקל או תקופות. שלישית, הצמתים המפעילים את האורקל בתקופה נתונה מספקים בטחונות לגיבוי הערכים המועברים, ולבסוף, חוסר איזון אובייקטיבי מפוצה באמצעות תהליך מחלוקת מבוזר".
Partisia הייתה מעורבת בפתרונות MPC בדרגה מסחרית מאז 2008 וכעת היא מיישמת את החוש שלה על יישומים מבוססי בלוקצ'יין. Partisia Blockchain פועלת למעשה כשכבת יכולת פעולה הדדית באמצעות חישובי הוכחת אפס ידע. כשהצמתים מדורגים ומדורגים לפי ציון האמון שלהם, משתמשי DeFi יכולים לקבל אמון רב יותר כיצד ומי מעביר את הערך שלהם בין מערכות אקולוגיות.
למרות שהתקרית הגדולה ביותר שכזו בשנת 2022 עד כה, ככל הנראה, חור תולעת תהיה רחוקה מפרוטוקול ה-DeFi, הגשר או הבלוקצ'יין היחידים שממוקדים על ידי האקרים ככל שהשנה תתקדם. עם זאת, כפי שמראה Partisia, MPC בולט כאסטרטגיה אחת לטיפוח תקשורת בין רשתות המפקחות על נתונים או העברת ערכים מבלי לדעת בדיוק מה מועבר על ידי מי ולאן.
מקור: https://zycrypto.com/wormhole-exploit-underlines-case-for-greater-mpc-use-across-blockchain-oracles-bridges/