Web3 vil ikke gå mainstream før det er sømløs blokkjede-integrasjon: Med flere og flere broangrep, hva betyr dette?

Tilbake i mars 2022, kryptovalutanettverket Ronin avslørte at den hadde blitt offer for en av de største hackene gjennom tidene, og led et brudd som tillot angripere å stjele mer enn 540 millioner dollar verdi av Ethereum og USD-mynter. Hendelsen så hackere utnytte en sårbarhet i en tjeneste kjent som Ronin Bridge. Det er et av en rekke vellykkede angrep på "blockchain-broer" nylig som har trukket oppmerksomheten til deres iboende sikkerhetsineffektivitet.

Blokkjedebroer, noen ganger kalt nettverksbroer, er tjenester som gjør det mulig for kryptoholdere å flytte sine digitale eiendeler fra en blokkjede til en annen. De gir en viktig rolle, fordi kryptovalutaer ofte er siled og mangler interoperabilitet, noe som betyr at du kan sende Bitcoin til en Ethereum-lommebokadresse, for eksempel. På grunn av denne silede naturen har broer dukket opp som en nøkkelmekanisme i kryptoøkonomien.

Bridge-tjenester overfører faktisk ikke en type digital eiendel til en annen kjede. Snarere, det de gjør er å "pakke inn" kryptovaluta-tokens for å konvertere dem til et nytt aktivum i den andre kjeden. Så hvis en bruker ønsker å bygge bro over Bitcoin til Solana, vil broen i hovedsak fryse den originale BTC-en ved å låse den i en lommebok-adresse, før den spytter ut det som er kjent som innpakket BTC (WBTC) som kan brukes på den andre kjeden. Det kan tenkes på som et slags gavekort som gir nøyaktig samme pengeverdi, som kun kan brukes i en bestemt butikk.

På grunn av måten de fungerer på, har broer derfor betydelige reserver av kryptovaluta-tokens som er låst i smarte kontrakter, og disse reservene gjør dem spesielt attraktive for hackere.

Som krypto-trofaste vet altfor godt, er enhver verdi som holdes i kjeden utsatt for angrep når som helst på dagen. Internett går aldri offline, noe som betyr at tokens som holdes av en hvilken som helst bro alltid er tilgjengelig.

Ronin Hack viser faren for sentralisering

 Angrepet på Ronin Network var et av de største DeFi-ranene noensinne når det gjelder dollarverdi. Ronin er en Ethereum-sidekjede som muliggjør billigere transaksjoner med mye raskere hastigheter enn hovednettverket. Det var den foretrukne broen for det populære "play-to-earn" kryptovalutaspillet Axie Infinity, noe som betyr at det hele tiden behandlet millioner av dollar i krypto- og stablecoins.

Sidekjeder er en blokkjedeskaleringsløsning som krever en bro for å koble til andre kjeder. Med Ronin er brukere i stand til å låse opp ETH og mintpakket ETH på alternative nettverk. Transaksjoner behandles og godkjennes via en konsensusalgoritme for bevis på autoritet. Med denne modellen må 5 av 9 validatorer bli enige om en transaksjon for at konsensus skal oppnås. Imidlertid ble fire av Ronins validatorer drevet av ett selskap - Sky Mavis, utvikleren av Ronin.

Det var et sterkt sentralisert oppsett som ble resultatet av Axie Daos beslutning om å sette opp en gassfri RPC-node i november 2021 for å prøve å fikse nettverksoverbelastning. DAO-godkjente Sky Mavis-nøkler for å signere transaksjoner på deres vegne. Det skulle bare være en midlertidig ordning, men tillatelseslisten ble aldri opphevet. Dette skapte en åpning for angriperne – som sies å være den Nord-Korea-sponsede Lazarus Group – som brukte sosiale ingeniørteknikker for å kompromittere Sky Mavis sine fire nøkler. Hackerne oppdaget deretter en sårbarhet i RPC-koden, noe som ga den kontroll over en femte validator og tillot den å foreta en ulovlig tilbaketrekking.

Hovedproblemet var at Ronins multisignatursystem for å signere transaksjoner ble kompromittert på grunn av mangel på desentralisering. Det illustrerer svakhetene til sikkerhetsmekanismer der størstedelen av styringen er konsentrert i hendene på en enkelt enhet.

Sårbarheter i smarte kontrakter vedvarer

 Ronin-hacket var ikke en engangstilfelle, men snarere det siste i en rekke høyprofilerte angrep på blokkjedebroer som har resultert i at verdier for millioner av dollar har gått tapt. En måned tidligere klarte angriperne Ethereum til en verdi av rundt 80 millioner dollar etter et angrep på Qubit Bridge.

Det er en tjeneste som drives av Qubit Finance-plattformen, som gjør det mulig for brukere å låne ut og låne digitale eiendeler på tvers av Ethereum- og Binance Smart Chain-nettverkene. Det gjør det for eksempel mulig å sette inn et ERC-20-token og motta en BEP-20-mynt i bytte, som deretter kan brukes på Binance-kjeden.

Qubit Bridge ble hacket på grunn av det som ble sagt å være en "logisk feil" i smartkontraktens kode. Sårbarheten gjorde det mulig for hackeren å manipulere broen ved å bruke ondsinnede data, slik at han eller hun kunne trekke ut BSC-tokens uten å gjøre noe innskudd på Ethereum. An obduksjon av angrepet fant ut at QBridge-smartkontrakten ikke riktig bekreftet at den nødvendige mengden ETH var låst. I stedet kunne hackeren vise falske bevis på et ikke-eksisterende innskudd.

Hendelsen tjente til å fremheve hvordan sårbarheter i smarte kontrakter forblir et vedvarende problem i DeFi, og spesielt for blockchain-broer. De aller fleste broangrep retter seg mot feil i smarte kontrakter, som er automatiserte kontrakter som selvutføres når visse betingelser er oppfylt.

Broer er nøkkelen til å utvide kryptos rekkevidde

 Kryptoplattformer har vært utsatt for en endeløs strøm av angrep helt siden den begynnende industrien begynte å bli populær. Tilhengere av DeFi sier at det kan gi et mer tilgjengelig og rettferdig alternativ til tradisjonelle finansielle tjenester, men etter hvert som plassen har utviklet seg har den blitt utsatt for det som egentlig er en brannprøve. Angrep på broer har blitt like vanlig som kryptovalutautveksling og DeFi-protokollran. Problemet er at broer, som børser og protokoller, er plattformer med høy innsats som har enorme mengder verdi, og enhver av dem kan være sårbar for feil i den underliggende koden.

Det er en utbredt oppfatning at krypto og DeFi aldri vil oppnå utbredt bruk uten en riktig løsning på risikoen for angrep. Det store flertallet av verdens verdier holdes av institusjonelle investorer, som investeringsbanker og store hedgefond. Slike organisasjoner prioriterer overholdelse og sikkerheten til deres midler over potensiell fortjeneste. Så DeFi og krypto vil neppe bli mye mer enn en nisjeinvesteringsindustri før sikkerhetsproblemene kan løses.

Brosikkerhet er av spesiell betydning. Den silede naturen til blokkjeder er et alvorlig handikap som begrenser den potensielle rekkevidden til enhver desentralisert applikasjon. En dApp bygget på Ethereum kan ikke snakke med andre basert på forskjellige blokkjeder. Det kan ikke handle med Bitcoin, verdens mest verdifulle og mest brukte kryptovaluta, noe som betyr at BTC-innehavere ikke har noen måte å samhandle med DeFi-økosystemet. Hvis krypto noen gang kommer til å bli allestedsnærværende, må brukerne ha en sikker måte å kommunisere med forskjellige kjeder på.

Bygge bedre broer

 Den gode nyheten er at det er de i bransjen som anerkjenner viktigheten av sikker blockchain-tilkobling. Et spennende prospekt er AllianceBlock er svært lovende AllianceBridge, som støtter store nettverk inkludert Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism og Energy Web med en unik infrastruktur som er mer desentralisert og gir raskere og sikrere ytelse.

I motsetning til sentraliserte broer, som er avhengige av en enkelt eller bare noen få enheter for å bekrefte at transaksjoner er legitime, er desentraliserte broer basert på de samme prinsippene som selve blokkjeden. Det er flere operatører som bruker godt strukturerte konsensusmekanismer for å fastslå gyldigheten av transaksjoner. AllianceBridge er en desentralisert bro som har utviklet en unik metode for å sikre konsensus.

Som med andre, låser AllianceBridge tokenene den mottar i en smart kontrakt og utsteder deretter innpakket tokens på målblokkkjeden. De innpakkede tokenene vil eksistere på den andre kjeden inntil brukeren bestemmer seg for å løse dem inn på det opprinnelige nettverket. På det tidspunktet blir de innpakkede tokenene brent, noe som betyr at de slutter å eksistere, mens de originale tokenene på den opprinnelige kjeden låses opp.

Der AllianceBridge skiller seg ut er at den bruker et EVM-kompatibelt nettverk av brooperatører. I tillegg utnytter den den robuste tredjeparten Hedera Hashgraph Consensus Service som er drevet av en innovativ "sladder-om-sladder" konsensusalgoritme.

Ved hjelp av HCS-tjenesten kan blokkjedeapplikasjoner og -nettverk sende meldinger til Hedera offentlige hovedbok, hvor de blir tidsstemplet og bestilt med full åpenhet. Dette gjør det mulig for AllianceBridge å nå konsensus uten å opprettholde synkronisering mellom brooperatørene. Dette betyr raskere ytelse med høy grad av desentralisering, mens HCS gir et ekstra lag med tillit som gjør broen sikrere.

AllianceBridges smarte kontrakter, som brukes til å låse de originale eiendelene og lage og brenne innpakket tokens, gir enda mer trygghet. Hele den smarte kontraktskodebasen ble skrevet for å resonere med EIP-2535-standarden og har blitt det fullstendig revidert av Omniscia. Under tilsynet påpekte Omniscia en rekke potensielle problemer som ble løst umiddelbart av AllianceBlock før koden ble publisert.

Sikkerheten og påliteligheten til AllianceBridge har spilt en nøkkelrolle i å utvide nytten av AllianceBlocks pakke med DeFi-tilbud, inkludert DeFi-terminal, som gir en enkel måte for prosjekter å lansere likviditetsutvinning og innsatskampanjer på tvers av flere støttede nettverk og dApps. Med sin sikre blokkjede-interoperabilitetsprotokoll bygger AllianceBlock det robuste grunnlaget som et rikt, sammenkoblet Web3-økosystem trenger for å vokse og utvikle seg.

- Annonse -